Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Applica a: ✔️ macchine virtuali Linux Windows set di scalabilità uniformi di ✔️ macchine virtuali ✔️ Linux ✔️
Questa pagina è un indice di Criteri di Azure definizioni di criteri predefinite per Macchine virtuali di Azure. Per altre Criteri di Azure predefinite per altri servizi, vedere Criteri di Azure definizioni predefinite.
Il nome di ogni definizione di criteri predefinita è collegata alla definizione dei criteri nel portale di Azure. Usare il collegamento nella colonna Version per visualizzare l'origine nel repository Criteri di Azure GitHub.
Microsoft. Calcolare
| Name (portale di Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Anteprima]: È necessario abilitare un'identità gestita nei computer | Le risorse gestite da Gestione automatica devono avere un'identità gestita. | Controllo, Disabilitato | 1.0.0-preview |
| [Anteprima]: Aggiungere un'identità gestita assegnata dall'utente per abilitare l'assegnazione della configurazione guest alle macchine virtuali | Questo criterio aggiunge un'identità gestita assegnata dall'utente alle macchine virtuali ospitate in Azure supportate dalla configurazione guest. Un'identità gestita assegnata dall’utente è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 2.1.0-preview |
| [Anteprima]: Assegnare Built-In User-Assigned'identità gestita a set di scalabilità di macchine virtuali | Creare e assegnare un'identità gestita assegnata dall'utente predefinita o assegnare un'identità gestita assegnata dall'utente precedente su larga scala ai set di scalabilità di macchine virtuali. Per una documentazione più dettagliata, visitare aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 1.1.0-preview |
| [Anteprima]: Assegnare Built-In User-Assigned'identità gestita a Macchine virtuali | Creare e assegnare un'identità gestita assegnata dall'utente predefinita o assegnare un'identità gestita assegnata dall'utente precedente su larga scala alle macchine virtuali. Per una documentazione più dettagliata, visitare aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 1.1.0-preview |
| [Anteprima]: Controllare il comportamento di sicurezza SSH per Windows | Questo criterio controlla la configurazione di sicurezza del server SSH nei computer Windows Server 2019, 2022 e 2025 (macchine virtuali Azure e computer abilitati per Arc). Per altre informazioni, inclusi i prerequisiti, le impostazioni nell'ambito, le impostazioni predefinite e la personalizzazione, vedere https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | VerificaSeNonEsiste, Disabilitato | 1.1.0-preview |
| [Anteprima]: l'assegnazione del profilo di configurazione automatica deve essere conforme | Le risorse gestite da Gestione automatica devono avere lo stato Conforme o ConformeCorrected. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: Backup di Azure deve essere abilitato per Managed Disks | Garantire la protezione delle Managed Disks abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati sicura e conveniente per Azure. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: La diagnostica di avvio deve essere abilitata nelle macchine virtuali | Azure macchine virtuali deve essere abilitata la diagniostics di avvio. | Controllo, Disabilitato | 1.0.0-preview |
| [Anteprima]: È consigliabile installare l’estensione ChangeTracking nelle macchine virtuali Linux | Installare l'estensione ChangeTracking nelle macchine virtuali Linux per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Azure Monitoring Agent. | VerificaSeNonEsiste, Disabilitato | 2.0.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nella macchina virtuale Windows | Installare l'estensione ChangeTracking nelle macchine virtuali Windows per abilitare monitoraggio dell'integrità dei file in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Azure Monitoring Agent. | VerificaSeNonEsiste, Disabilitato | 2.0.0-preview |
| [Anteprima]: Configurare Azure Defender per SQL Agent nella macchina virtuale | Configurare Windows computer per installare automaticamente il Azure Defender per SQL Agent in cui è installato Monitoraggio di Azure Agent. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Crea un gruppo di risorse e Log Analytics'area di lavoro nella stessa area del computer. Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DistribuisciSeNonEsiste, Disattivato | 1.0.0-preview |
| [Anteprima]: Configurare il backup per dischi Azure (Managed Disks) con un tag specificato per un insieme di credenziali di backup esistente nella stessa area | Applicare il backup per tutti i dischi Azure (Managed Disks) che contengono un tag specificato in un insieme di credenziali di backup centrale. Per altre informazioni: https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0-preview |
| [Anteprima]: Configurare il backup per dischi Azure (Managed Disks) senza un tag specificato per un insieme di credenziali di backup esistente nella stessa area | Applicare il backup per tutti i dischi Azure (Managed Disks) che non contengono un tag specificato in un insieme di credenziali di backup centrale. Per altre informazioni: https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0-preview |
| [Anteprima]: Configurare il comportamento di sicurezza SSH per Windows | Questo criterio configura la configurazione di sicurezza del server SSH nei computer Windows Server 2019, 2022 e 2025 (macchine virtuali Azure e computer abilitati per Arc). Per altre informazioni, inclusi i prerequisiti, le impostazioni nell'ambito, le impostazioni predefinite e la personalizzazione, vedere https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | DistribuisciSeNonEsiste, Disattivato | 1.1.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest | Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DistribuisciSeNonEsiste, Disattivato | 6.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per abilitare automaticamente l'avvio protetto | Configurare le macchine virtuali Linux supportate per abilitare automaticamente l'avvio protetto per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. | DistribuisciSeNonEsiste, Disattivato | 5.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per installare automaticamente l'estensione Attestazione guest | Configurare le macchine virtuali Linux supportate per installare automaticamente l'estensione Attestazione guest per consentire alle Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DistribuisciSeNonEsiste, Disattivato | 7.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali supportate per abilitare automaticamente vTPM | Configurare le macchine virtuali supportate per abilitare automaticamente vTPM per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. | DistribuisciSeNonEsiste, Disattivato | 2.0.0-preview |
| [Anteprima]: Configurare Windows i set di scalabilità di macchine virtuali supportati per installare automaticamente l'estensione Attestazione guest | Configurare Windows set di scalabilità di macchine virtuali supportati per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DistribuisciSeNonEsiste, Disattivato | 4.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows supportate per abilitare automaticamente l'avvio protetto | Configurare le macchine virtuali supportate Windows per abilitare automaticamente l'avvio protetto per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. | DistribuisciSeNonEsiste, Disattivato | 3.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali supportate Windows per installare automaticamente l'estensione attestazione guest | Configurare le macchine virtuali supportate Windows per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DistribuisciSeNonEsiste, Disattivato | 5.1.0-preview |
| [Anteprima]: Configurare l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Monitoraggio di Azure nelle macchine virtuali | Configurare l'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Monitoraggio di Azure e non dispongono di un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Monitoraggio di Azure e deve essere aggiunta ai computer prima di usare qualsiasi estensione Monitoraggio di Azure. Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | Modifica, Disabilitato | 6.2.0-preview |
| [Anteprima]: Configurare le macchine virtuali create con immagini Raccolta immagini condivise per installare l'estensione Attestazione guest | Configurare le macchine virtuali create con Raccolta immagini condivise immagini per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DistribuisciSeNonEsiste, Disattivato | 2.0.0-preview |
| [Anteprima]: Configurare vmSS create con immagini Raccolta immagini condivise per installare l'estensione Attestazione guest | Configurare il set di scalabilità di macchine virtuali creato con Raccolta immagini condivise immagini per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DistribuisciSeNonEsiste, Disattivato | 2.1.0-preview |
| [Anteprima]: Configurare Windows Server per disabilitare gli utenti locali. | Crea un'assegnazione di configurazione guest per configurare la disabilitazione degli utenti locali in Windows Server. Ciò garantisce che Windows Server sia accessibile solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | DistribuisciSeNonEsiste, Disattivato | 1.3.0-preview |
| [Anteprima]: Distribuire l'agente Microsoft Defender per endpoint in macchine virtuali Linux | Distribuisce Microsoft Defender per endpoint agente nelle immagini di macchine virtuali Linux applicabili. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 3.0.0-preview |
| [Anteprima]: Distribuire l'agente Microsoft Defender per endpoint in macchine virtuali Windows | Distribuisce Microsoft Defender per endpoint nelle immagini di macchine virtuali Windows applicabili. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 2.0.1-preview |
| [Anteprima]: Abilitare l'identità assegnata dal sistema alla macchina virtuale SQL | Abilitare l'identità assegnata dal sistema su larga scala alle macchine virtuali SQL. È necessario assegnare questo criterio a livello di sottoscrizione. L'assegnazione a livello di gruppo di risorse non funzionerà come previsto. | DistribuisciSeNonEsiste, Disattivato | 1.0.0-preview |
| [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate | Installare l'estensione Attestazione guest nelle macchine virtuali Linux supportate per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Linux riservate e di avvio attendibile. | VerificaSeNonEsiste, Disabilitato | 6.0.0-preview |
| [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Linux supportate | Installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali Linux supportati per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai set di scalabilità di macchine virtuali Linux riservate e di avvio attendibile. | VerificaSeNonEsiste, Disabilitato | 5.1.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali supportate Windows | Installare l'estensione Attestazione guest nelle macchine virtuali supportate per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Di avvio attendibile e Riservato Windows. | VerificaSeNonEsiste, Disabilitato | 4.0.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali supportati Windows | Installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali supportati per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica a Avvio attendibile e Riservato Windows set di scalabilità di macchine virtuali. | VerificaSeNonEsiste, Disabilitato | 3.1.0-preview |
| [Anteprima]: i computer Linux devono soddisfare i requisiti per la baseline di sicurezza Azure per gli host Docker | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza Azure per gli host Docker. | VerificaSeNonEsiste, Disabilitato | 1.2.0-preview |
| [Anteprima]: i computer Linux devono soddisfare i requisiti di conformità STIG per Azure calcolo | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per uno dei consigli indicati nel requisito di conformità STIG per Azure calcolo. DISA (Defense Information Systems Agency) fornisce guide tecniche STIG (Security Technical Implementation Guide) per proteggere il sistema operativo di calcolo come richiesto dal Dipartimento della Difesa (DoD). Per altri dettagli: https://public.cyber.mil/stigs/. | VerificaSeNonEsiste, Disabilitato | 1.2.0-preview |
| [Anteprima]: i computer Linux con OMI installato devono avere la versione 1.6.8-1 o successiva | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. A causa di una correzione di sicurezza inclusa nella versione 1.6.8-1 del pacchetto OMI per Linux, tutti i computer devono essere aggiornati alla versione più recente. Aggiornare app/pacchetti che usano OMI per risolvere il problema. Per ulteriori informazioni, vedere https://aka.ms/omiguidance. | VerificaSeNonEsiste, Disabilitato | 1.2.0-preview |
| [Anteprima]: Le macchine virtuali Linux devono usare solo componenti di avvio firmati e attendibili | Tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) devono essere firmati da autori attendibili. Defender per il cloud ha identificato componenti di avvio del sistema operativo non attendibili in uno o più computer Linux. Per proteggere i computer da componenti potenzialmente dannosi, aggiungerli all'elenco di elementi consentiti o rimuovere i componenti identificati. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: Le macchine virtuali Linux devono usare l'avvio protetto | Per proteggersi dall'installazione di rootkit e kit di avvio basati su malware, abilitare l'avvio protetto nelle macchine virtuali Linux supportate. L'avvio protetto garantisce che solo i sistemi operativi e i driver firmati possano essere eseguiti. Questa valutazione si applica solo alle macchine virtuali Linux in cui è installato Monitoraggio di Azure Agent. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: I carichi di lavoro Linux devono essere conformi al benchmark ufficiale della sicurezza CIS | Questo criterio consente di personalizzare e distribuire benchmark di sicurezza CIS a scopo di controllo per i carichi di lavoro Linux in ambienti Azure, locali e ibridi. I contenuti dei benchmark di sicurezza CIS sono in parità con i benchmark pubblicati in https://cisecurity.org. Il criterio è basato su azure-osconfig. Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 2.0.0-preview |
| [anteprima]: Le porte che potrebbero esporre i computer a vettori di attacco devono essere chiuse | le condizioni per l'utilizzo di Azure vietano l'uso di servizi Azure in modi che potrebbero danneggiare, disabilitare, sovraccaricare o compromettere qualsiasi server Microsoft o la rete. Le porte esposte identificate da questa raccomandazione devono essere chiuse per la sicurezza continua. Per ogni porta identificata, la raccomandazione fornisce anche una spiegazione della potenziale minaccia. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: Managed Disks deve essere Resiliente alla zona | Managed Disks può essere configurato in modo che sia allineato alla zona, ridondante della zona o nessuno dei due. Managed Disks con esattamente un'assegnazione di zona sono Allineati alla zona. Managed Disks con un nome sku che termina con l'archiviazione con ridondanza della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza per Managed Disks. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | Il Centro sicurezza usa l'agente di dipendenza di Microsoft per raccogliere i dati del traffico di rete dalle macchine virtuali Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. | VerificaSeNonEsiste, Disabilitato | 1.0.2-preview |
| [Anteprima]: l'agente di raccolta dati del traffico di rete deve essere installato in macchine virtuali Windows | Il Centro sicurezza usa l'agente di dipendenza di Microsoft per raccogliere i dati del traffico di rete dalle macchine virtuali Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. | VerificaSeNonEsiste, Disabilitato | 1.0.2-preview |
| [Anteprima]: Benchmark di sicurezza CIS ufficiali per Windows Server | Questo criterio consente di personalizzare e distribuire benchmark di sicurezza CIS a scopo di controllo ai Windows Server in ambienti Azure, locali e ibridi. I contenuti dei benchmark di sicurezza CIS sono in parità con i benchmark pubblicati in https://cisecurity.org. Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: l'avvio protetto deve essere abilitato nelle macchine virtuali supportate Windows | Abilitare l'avvio protetto nelle macchine virtuali supportate Windows per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica alle macchine virtuali Di avvio attendibile e Riservato Windows. | Controllo, Disabilitato | 4.0.0-preview |
| [Anteprima]: set di scalabilità di macchine virtuali deve essere Resiliente alla zona | set di scalabilità di macchine virtuali può essere configurato in modo che sia allineato alla zona, ridondante della zona o nessuno dei due. set di scalabilità di macchine virtuali che hanno esattamente una voce nella matrice di zone sono considerate allineate alla zona. Al contrario, set di scalabilità di macchine virtuali con 3 o più voci nella matrice di zone e una capacità di almeno 3 vengono riconosciute come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| [Anteprima]: set di scalabilità di macchine virtuali con più di 2 zone di disponibilità deve avere il ribilanciamento az automatico abilitato | Questo criterio abilita il ribilanciamento az automatico per set di scalabilità di macchine virtuali che sono altrimenti resilienti alla zona. Il ribilanciamento automatico della zona consente di garantire che i set di scalabilità di macchine virtuali vengano distribuiti uniformemente tra le zone dell'area. | Modifica, Disabilitato | 1.0.0-preview |
| [Anteprima]: lo stato dell'attestazione guest delle macchine virtuali deve essere integro | L'attestazione guest viene eseguita inviando un log attendibile (TCGLog) a un server di attestazione. Il server usa questi log per determinare se i componenti di avvio sono attendibili. Questa valutazione è destinata a rilevare compromissioni della catena di avvio che potrebbe essere il risultato di un bootkit o di un'infezione da rootkit. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile in cui è installata l'estensione Attestazione guest. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: Macchine virtuali deve essere allineato alla zona | Macchine virtuali può essere configurato in modo che sia allineato o meno alla zona. Vengono considerate allineate alla zona se hanno una sola voce nella matrice di zone. Questo criterio garantisce che siano configurate per operare all'interno di una singola zona di disponibilità. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | Abilitare il dispositivo TPM virtuale nelle macchine virtuali supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile. | Controllo, Disabilitato | 2.0.0-preview |
| [Anteprima]: i computer Windows devono soddisfare i requisiti di conformità STIG per Azure calcolo | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per uno dei requisiti di conformità STIG per Azure calcolo. DISA (Defense Information Systems Agency) fornisce guide tecniche STIG (Security Technical Implementation Guide) per proteggere il sistema operativo di calcolo come richiesto dal Dipartimento della Difesa (DoD). Per altri dettagli: https://public.cyber.mil/stigs/. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. il piano tariffario standard di Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate dalla configurazione guest, ma non hanno identità gestite. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate dalla configurazione guest e hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
| Aggiunge un tag alle macchine virtuali e ai set di scalabilità di macchine virtuali (NVA) per il supporto MANA | Applica un tag per le distribuzioni di appliance virtuali di rete del Marketplace quando l'appliance virtuale di rete usa le dimensioni di vm esistenti. Fare riferimento a https://aka.ms/manasupportforexistingvmfamilynva. | Modifica, Disabilitato | 1.0.0 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Centro sicurezza di Azure ha identificato alcune delle regole in ingresso dei gruppi di sicurezza di rete troppo permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| SKU di dimensioni di macchine virtuali consentiti | Questo criterio consente di specificare un set di SKU di dimensioni di macchine virtuali che possono essere distribuiti dall'organizzazione. | Deny | 1.0.1 |
| Assegnare l'identità assegnata dal sistema a SQL Macchine virtuali | Assegnare l'identità assegnata dal sistema su larga scala a Windows macchine virtuali SQL. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Controlla i computer Linux che consentono connessioni remote da account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password | VerificaSeNonEsiste, Disabilitato | 3.1.0 |
| Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 | VerificaSeNonEsiste, Disabilitato | 3.1.0 |
| Controlla i computer Linux in cui non sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la risorsa Chef InSpec indica che uno o più pacchetti forniti dal parametro non sono installati. | VerificaSeNonEsiste, Disabilitato | 4.2.0 |
| Controlla i computer Linux in cui sono presenti account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux sono presenti account senza password | VerificaSeNonEsiste, Disabilitato | 3.1.0 |
| Controlla i computer Linux in cui sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la risorsa Chef InSpec indica che uno o più pacchetti forniti dal parametro sono installati. | VerificaSeNonEsiste, Disabilitato | 4.2.0 |
| Controllare il comportamento di sicurezza SSH per Linux (basato su OSConfig) | Questo criterio controlla la configurazione della sicurezza del server SSH nei computer Linux (Azure macchine virtuali e computer con abilitazione di Arc). Per altre informazioni, inclusi i prerequisiti, le impostazioni nell'ambito, le impostazioni predefinite e la personalizzazione, vedere https://aka.ms/SshPostureControlOverview | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Controlla macchine virtuali che non usano dischi gestiti | Questo criterio controlla le macchine virtuali che non usano dischi gestiti | audit | 1.0.0 |
| Audit Windows computer che mancano membri specificati nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale non contiene uno o più membri elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Audit Windows connettività di rete dei computer | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se lo stato di una connessione di rete a un indirizzo IP e alla porta TCP non corrisponde al parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Audit Windows computer in cui la configurazione DSC non è conforme | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il comando di PowerShell Windows Get-DSCConfigurationStatus restituisce che la configurazione DSC per il computer non è conforme. | auditIfNotExists | 3.0.0 |
| Audit Windows computer in cui l'agente Log Analytics non è connesso come previsto | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se l'agente non è installato o se è installato ma l'oggetto COM AgentConfigManager.MgmtSvcCfg restituisce che è registrato in un'area di lavoro diversa dall'ID specificato nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Audit Windows computer in cui i servizi specificati non sono installati e "In esecuzione" | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il risultato del comando di PowerShell Windows Get-Service non includono il nome del servizio con lo stato di corrispondenza specificato dal parametro dei criteri. | auditIfNotExists | 3.0.0 |
| Audit Windows computer in cui la console seriale Windows non è abilitata | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nel computer non è installato il software della console seriale o se il numero di porta o la velocità in baud di Servizi di gestione emergenze non sono configurati con gli stessi valori dei parametri dei criteri. | auditIfNotExists | 3.0.0 |
| Audit Windows computer che consentono di riutilizzare le password dopo il numero specificato di password univoche | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se Windows computer che consentono di riutilizzare le password dopo il numero specificato di password univoche. Il valore predefinito per le password univoche è 24 | VerificaSeNonEsiste, Disabilitato | 2.1.0 |
| Audit Windows computer non aggiunti al dominio specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il valore della proprietà del dominio nella classe WMI win32_computersystem non corrisponde il valore nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Audit Windows computer non impostati sul fuso orario specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il valore della proprietà StandardName nella classe WMI Win32_TimeZone non corrisponde al fuso orario selezionato per parametro dei criteri. | auditIfNotExists | 4.0.0 |
| Audit Windows computer che contengono certificati in scadenza entro il numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i certificati nell'archivio specificato presentano una data di scadenza non compresa nell'intervallo consentito per il numero di giorni fornito come parametro. Il criterio offre inoltre l'opzione di controllare solo certificati specifici o di escludere determinati certificati e inviare una segnalazione per i certificati scaduti. | auditIfNotExists | 2.0.0 |
| Audit Windows computer che non contengono i certificati specificati in Radice attendibile | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se l'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale (Cert:\LocalMachine\Root) non contiene uno o più certificati elencati nel parametro dei criteri. | auditIfNotExists | 3.0.0 |
| Audit Windows computer che non hanno la validità massima della password impostata sul numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se Windows computer che non hanno la validità massima della password impostata sul numero di giorni specificato. Il valore predefinito per la validità massima della password è 70 giorni | VerificaSeNonEsiste, Disabilitato | 2.1.0 |
| Audit Windows computer che non hanno la validità minima della password impostata sul numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se Windows computer che non hanno la validità minima della password impostata sul numero di giorni specificato. Il valore predefinito per l'età minima della password è 1 giorno | VerificaSeNonEsiste, Disabilitato | 2.1.0 |
| Audit Windows computer in cui non è abilitata l'impostazione di complessità delle password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se Windows computer in cui non è abilitata l'impostazione di complessità delle password | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| Audit Windows computer che non dispongono dei criteri di esecuzione Windows di PowerShell specificati | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il comando di PowerShell Windows Get-ExecutionPolicy restituisce un valore diverso da quello selezionato nel parametro dei criteri. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Audit Windows computer in cui non sono installati i moduli di PowerShell Windows specificati | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se un modulo non è disponibile in una posizione specificata dalla variabile di ambiente PSModulePath. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Audit Windows computer che non limitano la lunghezza minima della password al numero specificato di caratteri | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se Windows computer che non limitano la lunghezza minima della password al numero specificato di caratteri. Il valore predefinito per la lunghezza minima della password è di 14 caratteri | VerificaSeNonEsiste, Disabilitato | 2.1.0 |
| Audit Windows computer che non archiviano le password usando la crittografia reversibile | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se Windows computer che non archiviano le password usando la crittografia reversibile | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| Audit Windows computer in cui non sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il nome dell'applicazione non viene trovato in uno dei percorsi del Registro di sistema seguenti: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows computer con account aggiuntivi nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Audit Windows computer non riavviati entro il numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la proprietà WMI LastBootUpTime nella classe Win32_Operatingsystem non è compresa nell'intervallo di giorni fornito dal parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Audit Windows computer in cui sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il nome dell'applicazione viene trovato in uno dei percorsi del Registro di sistema seguenti: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows computer con i membri specificati nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Audit Windows macchine virtuali con un riavvio in sospeso | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer è in attesa di riavvio per uno dei motivi seguenti: manutenzione basata su componenti, Windows Update, ridenominazione file in sospeso, ridenominazione del computer in sospeso, gestione configurazione in attesa di riavvio. Per ogni rilevamento è presente un percorso del Registro di sistema univoco. | auditIfNotExists | 2.0.0 |
| L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed | VerificaSeNonEsiste, Disabilitato | 3.2.0 |
| Backup di Azure deve essere abilitato per Macchine virtuali | Assicurarsi di proteggere i Macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati sicura e conveniente per Azure. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| L'estensione ChangeTracking deve essere installata nei set di scalabilità di macchine virtuali Linux | Installare l'estensione ChangeTracking nei set di scalabilità di macchine virtuali Linux per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Azure Monitoring Agent. | VerificaSeNonEsiste, Disabilitato | 2.0.1 |
| ChangeTracking estensione deve essere installata nei set di scalabilità di macchine virtuali Windows | Installare l'estensione ChangeTracking in Windows set di scalabilità di macchine virtuali per abilitare monitoraggio dell'integrità dei file in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Azure Monitoring Agent. | VerificaSeNonEsiste, Disabilitato | 2.0.1 |
| Le istanze di ruolo Servizi cloud (supporto esteso) devono essere configurate in modo sicuro | Proteggere le istanze di ruolo Servizio cloud (supporto esteso) da attacchi, verificando che non siano esposte a vulnerabilità del sistema operativo. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Per le istanze di ruolo Servizi cloud (supporto esteso) devono essere installati gli aggiornamenti di sistema | Proteggere le istanze di ruolo Servizi cloud (supporto esteso) assicurandosi che in queste istanze siano installati gli aggiornamenti critici e di sicurezza più recenti. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Configurare Azure Defender per i server da disabilitare per tutte le risorse (livello di risorsa) | Azure Defender per i server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. Questo criterio disabiliterà il Defender per il piano server per tutte le risorse (VM, VMSS e computer ARC) nell'ambito selezionato (sottoscrizione o gruppo di risorse). | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Azure Defender per i server da disabilitare per le risorse (livello di risorsa) con il tag selezionato | Azure Defender per i server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. Questo criterio disabiliterà la Defender per i server per tutte le risorse (VM, VMSS e computer ARC) con il nome e i valori dei tag selezionati. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare Azure Defender per i server da abilitare (sottopiano 'P1' ) per tutte le risorse (livello di risorsa) con il tag selezionato | Azure Defender per i server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. Questo criterio abiliterà la Defender per il piano server (con sottopiano "P1") per tutte le risorse (VM e computer ARC) con il nome e i valori dei tag selezionati. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Azure Defender per i server da abilitare (con sottopiano "P1") per tutte le risorse (livello di risorsa) | Azure Defender per i server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. Questo criterio abiliterà la Defender per il piano server (con sottopiano "P1") per tutte le risorse (macchine virtuali e computer ARC) nell'ambito selezionato (sottoscrizione o gruppo di risorse). | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare il backup nelle macchine virtuali con un tag specifico in un nuovo insieme di credenziali di Servizi di ripristino con un criterio predefinito | Impone il backup per tutte le macchine virtuali distribuendo un insieme di credenziali di Servizi di ripristino nella stessa località e nello stesso gruppo di risorse della macchina virtuale. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile includere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabilitato, Disabilitato | 9.5.0 |
| Configurare il backup nelle macchine virtuali con un tag specifico in un insieme di credenziali di Servizi di ripristino esistente nella stessa località | Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile includere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabilitato, Disabilitato | 9.5.0 |
| Configurare il backup nelle macchine virtuali senza un tag specifico in un nuovo insieme di credenziali di Servizi di ripristino con un criterio predefinito | Impone il backup per tutte le macchine virtuali distribuendo un insieme di credenziali di Servizi di ripristino nella stessa località e nello stesso gruppo di risorse della macchina virtuale. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabilitato, Disabilitato | 9.5.0 |
| Configurare il backup nelle macchine virtuali senza un tag specifico in un insieme di credenziali di Servizi di ripristino esistente nella stessa località | Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabilitato, Disabilitato | 9.5.0 |
| Configurare l'estensione ChangeTracking per i set di scalabilità di macchine virtuali Linux | Configurare i set di scalabilità di macchine virtuali Linux per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Monitoraggio di Azure Agent. | DistribuisciSeNonEsiste, Disattivato | 2.1.0 |
| Configurare l'estensione ChangeTracking per le macchine virtuali Linux | Configurare le macchine virtuali Linux per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Monitoraggio di Azure Agent. | DistribuisciSeNonEsiste, Disattivato | 2.2.0 |
| Configurare l'estensione ChangeTracking per i set di scalabilità di macchine virtuali Windows | Configurare Windows set di scalabilità di macchine virtuali per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Monitoraggio di Azure Agent. | DistribuisciSeNonEsiste, Disattivato | 2.1.0 |
| Configurare l'estensione ChangeTracking per Windows macchine virtuali | Configurare Windows macchine virtuali per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Monitoraggio di Azure Agent. | DistribuisciSeNonEsiste, Disattivato | 2.2.0 |
| Configurare il ripristino di emergenza nelle macchine virtuali abilitando la replica tramite Azure Site Recovery | Le macchine virtuali senza configurazioni di ripristino di emergenza sono vulnerabili a interruzioni e altre interruzioni. Se la macchina virtuale non dispone già di un ripristino di emergenza configurato, verrà avviata la stessa operazione abilitando la replica usando configurazioni predefinite per facilitare la continuità aziendale. Facoltativamente, è possibile includere/escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | DistribuisciSeNonEsiste, Disattivato | 2.1.1 |
| Configurare le risorse di accesso al disco con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse di accesso al disco, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare computer Linux da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare macchine virtuali Linux, set di scalabilità di macchine virtuali e computer Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DistribuisciSeNonEsiste, Disattivato | 6.8.0 |
| Configurare il server Linux per disabilitare gli utenti locali. | Crea un'assegnazione di configurazione guest per configurare la disabilitazione degli utenti locali in Linux Server. In questo modo, i server Linux possono accedere solo tramite l'account AAD (Azure Active Directory) o un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | DistribuisciSeNonEsiste, Disattivato | 1.4.0-preview |
| Configurare set di scalabilità di macchine virtuali Linux da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare i set di scalabilità di macchine virtuali Linux alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DistribuisciSeNonEsiste, Disattivato | 4.7.0 |
| Configurare i set di scalabilità di macchine virtuali Linux per eseguire Monitoraggio di Azure Agent con l'autenticazione gestita basata su identità assegnata dal sistema | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nei set di scalabilità di macchine virtuali Linux per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 3.10.0 |
| Configurare i set di scalabilità di macchine virtuali Linux per eseguire Monitoraggio di Azure Agent con l'autenticazione gestita gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nei set di scalabilità di macchine virtuali Linux per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 3.11.0 |
| Configurare Macchine virtuali Linux da associare a una regola di raccolta dati per ChangeTracking e Inventory | Distribuire Association per collegare le macchine virtuali Linux alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DistribuisciSeNonEsiste, Disattivato | 1.2.0 |
| Configurare Macchine virtuali Linux da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Implementare associazione per collegare le macchine virtuali Linux alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DistribuisciSeNonEsiste, Disattivato | 4.7.0 |
| Configurare le macchine virtuali Linux per eseguire Monitoraggio di Azure Agent con l'autenticazione gestita basata su identità assegnata dal sistema | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nelle macchine virtuali Linux per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 3.10.0 |
| Configurare le macchine virtuali Linux per eseguire Monitoraggio di Azure Agent con l'autenticazione gestita basata su identità assegnata dall'utente | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nelle macchine virtuali Linux per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 3.14.0 |
| Configurare le macchine virtuali Linux per installare AMA per ChangeTracking e Inventario con l'identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nelle macchine virtuali Linux per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 1.7.0 |
| Configurare il set di scalabilità di macchine virtuali Linux da associare a una regola di raccolta dati per ChangeTracking e inventario | Distribuire Association per collegare i set di scalabilità di macchine virtuali Linux alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare il set di scalabilità di macchine virtuali Linux per installare AMA per ChangeTracking e Inventario con l'identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nei set di scalabilità di macchine virtuali Linux per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 1.5.0 |
| Configurare i computer per ricevere un provider di valutazione della vulnerabilità | Azure Defender include l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. Non è necessaria una licenza Qualys, né un account Qualys: tutto viene gestito senza interruzioni all'interno del Centro sicurezza. Quando si abilita questo criterio, Azure Defender distribuisce automaticamente il provider di valutazione della vulnerabilità Qualys in tutti i computer supportati che non sono già installati. | DistribuisciSeNonEsiste, Disattivato | 4.0.0 |
| Configurare i dischi gestiti per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa disco gestita, in modo che non sia accessibile su Internet. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | Modifica, Disabilitato | 2.0.0 |
| Configurare il controllo periodico per gli aggiornamenti di sistema mancanti nelle macchine virtuali Azure | Configurare la valutazione automatica (ogni 24 ore) per gli aggiornamenti del sistema operativo nelle macchine virtuali native Azure. È possibile controllare l'ambito dell'assegnazione in base alla sottoscrizione del computer, al gruppo di risorse, alla posizione o al tag. Per altre informazioni, vedere Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.10.0 |
| Configurare i protocolli di comunicazione sicura (TLS 1.1 o TLS 1.2) nei computer Windows | Crea un'assegnazione di configurazione guest per configurare la versione del protocollo sicura specificata (TLS 1.1 o TLS 1.2) nel computer Windows. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare Macchine virtuali SQL per installare automaticamente Monitoraggio di Azure Agent | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nel Macchine virtuali SQL Windows. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 1.6.0 |
| Configurare Macchine virtuali SQL per installare automaticamente Microsoft Defender per SQL | Configurare Windows Macchine virtuali SQL per installare automaticamente il Microsoft Defender per l'estensione SQL. Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). | DistribuisciSeNonEsiste, Disattivato | 1.6.0 |
| Configurare Macchine virtuali SQL per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse, una regola di raccolta dati e Log Analytics'area di lavoro nella stessa area del computer. | DistribuisciSeNonEsiste, Disattivato | 1.9.0 |
| Configurare Macchine virtuali SQL per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro LA definita dall'utente | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e una regola di raccolta dati nella stessa area dell'area di lavoro definita dall'utente Log Analytics. | DistribuisciSeNonEsiste, Disattivato | 1.10.0 |
| Configurare Macchine virtuali SQL per installare automaticamente Microsoft Defender per l'estensione SQL | Configurare Windows Macchine virtuali SQL per installare automaticamente il Microsoft Defender per l'estensione SQL. Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare il comportamento di sicurezza SSH per Linux (basato su OSConfig) | Questo criterio controlla e configura la configurazione della sicurezza del server SSH nei computer Linux (Azure macchine virtuali e computer abilitati per Arc). Per altre informazioni, inclusi i prerequisiti, le impostazioni nell'ambito, le impostazioni predefinite e la personalizzazione, vedere https://aka.ms/SshPostureControlOverview | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare il fuso orario in Windows machines. | Questo criterio crea un'assegnazione di configurazione guest per impostare il fuso orario specificato nelle macchine virtuali Windows. | deployIfNotExists | 3.1.0 |
| Configurare le macchine virtuali di cui eseguire l'onboarding in Gestione automatica di Azure | Gestione automatica di Azure registra, configura e monitora le macchine virtuali con le procedure consigliate definite nel Cloud Adoption Framework Microsoft per Azure. Usare questo criterio per applicare Gestione automatica all'ambito selezionato. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 2.4.0 |
| Configurare le macchine virtuali da caricare in Gestione automatica di Azure con profilo di configurazione personalizzato | Gestione automatica di Azure registra, configura e monitora le macchine virtuali con le procedure consigliate definite nel Cloud Adoption Framework Microsoft per Azure. Usare questo criterio per applicare la gestione automatica con il proprio profilo di configurazione personalizzato all'ambito selezionato. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 1.4.0 |
| Configurare i computer Windows da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare Windows macchine virtuali, set di scalabilità di macchine virtuali e computer Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DistribuisciSeNonEsiste, Disattivato | 4.8.0 |
| Configurare Windows set di scalabilità di macchine virtuali da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare Windows set di scalabilità di macchine virtuali alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DistribuisciSeNonEsiste, Disattivato | 3.7.0 |
| Configurare Windows set di scalabilità di macchine virtuali per eseguire Monitoraggio di Azure Agent usando l'identità gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nei set di scalabilità di macchine virtuali Windows per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 3.7.0 |
| Configurare Windows set di scalabilità di macchine virtuali per eseguire Monitoraggio di Azure Agent con l'autenticazione gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nei set di scalabilità di macchine virtuali Windows per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 1.9.0 |
| Configurare protezione di Windows da associare a una regola di raccolta dati per ChangeTracking e Inventory | Distribuisci associazione per collegare Windows macchine virtuali alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventory. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DistribuisciSeNonEsiste, Disattivato | 1.3.0 |
| Configurare protezione di Windows da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare Windows macchine virtuali alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DistribuisciSeNonEsiste, Disattivato | 3.6.0 |
| Configurare le macchine virtuali di Windows per eseguire Monitoraggio di Azure Agent usando l'identità gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nelle macchine virtuali Windows per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 4.7.0 |
| Configurare le macchine virtuali Windows per eseguire Monitoraggio di Azure Agent con l'autenticazione gestita gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nelle macchine virtuali Windows per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 1.9.0 |
| Configurare le macchine virtuali di Windows per installare AMA per ChangeTracking e Inventario con identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nelle macchine virtuali Windows per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 1.4.0 |
| Configurare Windows VMSS da associare a una regola di raccolta dati per ChangeTracking e Inventario | Distribuisci associazione per collegare Windows set di scalabilità di macchine virtuali alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventory. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DistribuisciSeNonEsiste, Disattivato | 1.2.0 |
| Configurare Windows VMSS per installare AMA per ChangeTracking e Inventario con identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nei set di scalabilità di macchine virtuali Windows per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 1.3.0 |
| Creare e assegnare un'identità gestita assegnata dall'utente predefinita | Creare e assegnare un'identità gestita assegnata dall'utente predefinita su larga scala alle macchine virtuali SQL. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 1.8.0 |
| Dependency Agent deve essere abilitato nelle immagini delle macchine virtuali nell'elenco | Segnala le macchine virtuali come non conformi se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. L'elenco delle immagini del sistema operativo viene aggiornato nel tempo, man mano che il supporto viene aggiornato. | VerificaSeNonEsiste, Disabilitato | 2.1.0 |
| Dependency Agent deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. L'elenco delle immagini del sistema operativo viene aggiornato nel tempo, man mano che il supporto viene aggiornato. | VerificaSeNonEsiste, Disabilitato | 2.1.0 |
| Deploy - Configurare Dependency Agent per l'abilitazione in Windows set di scalabilità di macchine virtuali | Distribuire Dependency Agent per Windows set di scalabilità di macchine virtuali se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. | DistribuisciSeNonEsiste, Disattivato | 3.3.0 |
| Deploy - Configurare Dependency Agent da abilitare nelle macchine virtuali Windows | Distribuire Dependency Agent per Windows macchine virtuali se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. | DistribuisciSeNonEsiste, Disattivato | 3.3.0 |
| Deploy predefinita Microsoft estensione IaaSAntimalware per Windows Server | Questo criterio distribuisce un'estensione IaaSAntimalware Microsoft con una configurazione predefinita quando una macchina virtuale non è configurata con l'estensione antimalware. | deployIfNotExists | 1.1.0 |
| Distribuisci Dependency Agent per i set di scalabilità di macchine virtuali Linux | Distribuisce Dependency Agent per i set di scalabilità di macchine virtuali Linux se l'immagine (sistema operativo) della macchina virtuale è nell'elenco definito e l'agente non è installato. Nota: se la proprietà upgradePolicy del set di scalabilità è impostata su Manual, è necessario applicare l'estensione a tutte le macchine virtuali nel set chiamandone l'aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. | deployIfNotExists | 5.1.0 |
| Deploy Dependency Agent per i set di scalabilità di macchine virtuali Linux con impostazioni dell'agente di monitoraggio Azure | Distribuire Dependency Agent per i set di scalabilità di macchine virtuali Linux con le impostazioni dell'agente di monitoraggio Azure se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. Nota: se la proprietà upgradePolicy del set di scalabilità è impostata su Manual, è necessario applicare l'estensione a tutte le macchine virtuali nel set chiamandone l'aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. | DistribuisciSeNonEsiste, Disattivato | 3.2.0 |
| Distribuisci Dependency Agent per le macchine virtuali Linux | Distribuisce Dependency Agent per le macchine virtuali Linux se l'immagine della macchina virtuale (sistema operativo) è nell'elenco definito e l'agente non è installato. | deployIfNotExists | 5.1.0 |
| Deploy Dependency Agent for Linux virtual machines with Azure Monitoring Agent settings | Distribuire Dependency Agent per le macchine virtuali Linux con le impostazioni dell'agente di monitoraggio Azure se l'immagine della macchina virtuale (sistema operativo) è nell'elenco definito e l'agente non è installato. | DistribuisciSeNonEsiste, Disattivato | 3.2.0 |
| Deploy Dependency Agent da abilitare in Windows set di scalabilità di macchine virtuali con impostazioni dell'agente di monitoraggio Azure | Distribuire Dependency Agent per Windows set di scalabilità di macchine virtuali con impostazioni Azure Monitoring Agent se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. | DistribuisciSeNonEsiste, Disattivato | 1.4.0 |
| Deploy Dependency Agent da abilitare nelle macchine virtuali Windows con le impostazioni dell'agente di monitoraggio Azure | Distribuire Dependency Agent per Windows macchine virtuali con impostazioni di Azure Monitoring Agent se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. | DistribuisciSeNonEsiste, Disattivato | 1.4.0 |
| Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest Linux nelle macchine virtuali Linux ospitate in Azure supportate dalla configurazione guest. L'estensione Configurazione guest di Linux è un prerequisito per tutte le assegnazioni di Configurazione guest di Linux e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 3.2.0 |
| Distribuire l'estensione configurazione guest Windows per abilitare le assegnazioni di configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione configurazione guest Windows in Windows macchine virtuali ospitate in Azure supportate da Configurazione guest. L'estensione configurazione guest Windows è un prerequisito per tutte le assegnazioni di configurazione guest Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.3.0 |
| Le risorse di accesso al disco devono usare collegamenti privati | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| I dischi e l'immagine del sistema operativo devono supportare TrustedLaunch | TrustedLaunch migliora la sicurezza di una macchina virtuale che richiede il supporto dell'immagine del disco del sistema operativo (Gen 2). Per altre informazioni su TrustedLaunch, visitare https://aka.ms/trustedlaunch | Controllo, Disabilitato | 1.0.0 |
| L'estensione Configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, i criteri guest saranno disponibili, ad esempio "Windows Exploit Guard deve essere abilitato". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| Hotpatch deve essere abilitato per le macchine virtuali Windows Server Azure Edition | Ridurre al minimo i riavvii e installare rapidamente gli aggiornamenti con hotpatch. Per altre informazioni: https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Verifica, Nega, Disabilitato | 1.0.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di calcolo Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo Azure. | VerificaSeNonEsiste, Disabilitato | 2.3.1 |
| I computer Linux devono includere solo account locali consentiti | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. La gestione degli account utente tramite Azure Active Directory è una procedura consigliata per la gestione delle identità. La riduzione degli account del computer locale consente di evitare la proliferazione delle identità gestite all'esterno di un sistema centrale. I computer non sono conformi se esistono account utente locali abilitati e non elencati nel parametro dei criteri. | VerificaSeNonEsiste, Disabilitato | 2.2.0 |
| Set di scalabilità di macchine virtualilinux devono essere installati Monitoraggio di Azure Agent | I set di scalabilità di macchine virtuali Linux devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla i set di scalabilità di macchine virtuali con immagini del sistema operativo supportate nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview | VerificaSeNonEsiste, Disabilitato | 3.6.0 |
| Le macchine virtualiLinux devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e archiviazione non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 1.2.1 |
| Le macchine virtuali Linux devono essere installate Monitoraggio di Azure Agent | Le macchine virtuali Linux devono essere monitorate e protette tramite l'agente di Monitoraggio di Azure distribuito. L'agente Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla le macchine virtuali con immagini del sistema operativo supportate nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview | VerificaSeNonEsiste, Disabilitato | 3.6.0 |
| I metodi di autenticazione locali devono essere disabilitati nei computer Linux | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i server Linux non dispongono di metodi di autenticazione locali disabilitati. Ciò consente di verificare che i server Linux siano accessibili solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | VerificaSeNonEsiste, Disabilitato | 1.2.0-preview |
| I metodi di autenticazione Local devono essere disabilitati nei server Windows | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se Windows server non dispongono di metodi di autenticazione locali disabilitati. Ciò consente di verificare che Windows Server sia accessibile solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| Log Analytics agent deve essere installato nelle istanze del ruolo servizi cloud (supporto esteso) | Centro sicurezza raccoglie i dati dalle istanze di ruolo Servizi cloud (supporto esteso) per monitorare le vulnerabilità e le minacce per la sicurezza. | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti del sistema mancanti | Per garantire che le valutazioni periodiche per gli aggiornamenti di sistema mancanti vengano attivate automaticamente ogni 24 ore, la proprietà AssessmentMode deve essere impostata su "AutomaticByPlatform". Altre informazioni sulla proprietà AssessmentMode per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Verifica, Nega, Disabilitato | 3.9.0 |
| È necessario che i risultati per i segreti delle macchine virtuali siano risolti | Controlla le macchine virtuali per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nelle macchine virtuali. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| Ai dischi gestiti deve essere applicata la doppia crittografia con chiave gestita dalla piattaforma e chiave gestita dal cliente | I clienti sensibili alla sicurezza elevata che temono il rischio associato alla compromissione di un particolare algoritmo, implementazione o chiave di crittografia possono optare per un livello di crittografia aggiuntivo che utilizza un algoritmo/modalità di crittografia diverso a livello di infrastruttura, utilizzando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per ulteriori informazioni, vedi https://aka.ms/disks-doubleEncryption. | Verifica, Nega, Disabilitato | 1.0.0 |
| I dischi gestiti devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che un disco gestito non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei dischi gestiti. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | Verifica, Nega, Disabilitato | 2.1.0 |
| I dischi gestiti devono usare un set di crittografia dischi specifico per la crittografia con chiave gestita dal cliente | La richiesta di un set specifico di set di crittografia del disco da usare con i dischi gestiti consente di controllare le chiavi usate per la crittografia dei dati inattivi. È possibile selezionare i set crittografati consentiti e tutti gli altri vengono rifiutati quando collegati a un disco. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Verifica, Nega, Disabilitato | 2.0.0 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | L'accesso JIT (Just-In-Time) di rete possibile verrà monitorato da Centro sicurezza di Azure come raccomandazioni | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Microsoft L'antimalware per Azure deve essere configurato per aggiornare automaticamente le firme di protezione | Questo criterio controlla qualsiasi macchina virtuale Windows non configurata con l'aggiornamento automatico delle firme di protezione antimalware Microsoft. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Microsoft estensione IaaSAntimalware deve essere distribuita nei server Windows | Questo criterio controlla qualsiasi macchina virtuale del server Windows senza Microsoft'estensione IaaSAntimalware distribuita. | VerificaSeNonEsiste, Disabilitato | 1.1.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Devono essere installate solo le estensioni macchina virtuale approvate | Questo criterio regolamenta le estensioni macchina virtuale non approvate. | Verifica, Nega, Disabilitato | 1.0.0 |
| Il sistema operativo e i dischi dati devono essere crittografati con una chiave gestita dal cliente | Utilizzare le chiavi gestite dal cliente per gestire la crittografia a riposo del contenuto dei dischi gestiti. Per impostazione predefinita, i dati sono crittografati quando sono inattivi con chiavi gestite dalla piattaforma, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Verifica, Nega, Disabilitato | 3.0.0 |
| Gli endpoint privati per le assegnazioni di Configurazione guest devono essere abilitati | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alla configurazione guest per le macchine virtuali. Le macchine virtuali non saranno conformi a meno che non dispongano del tag "EnablePrivateNetworkGC". Questo tag applica la comunicazione sicura tramite la connettività privata alla configurazione guest per Macchine virtuali. La connettività privata limita l'accesso al traffico proveniente solo da reti note e impedisce l'accesso da tutti gli altri indirizzi IP, inclusi i Azure. | Verifica, Nega, Disabilitato | 1.1.0 |
| Proteggere i dati con i requisiti di autenticazione durante l'esportazione o il caricamento in un disco o uno snapshot. | Quando si usa l'URL di esportazione/caricamento, il sistema controlla se l'utente ha un'identità in Azure Active Directory e dispone delle autorizzazioni necessarie per esportare/caricare i dati. Fare riferimento a aka.ms/DisksAzureADAuth. | Modifica, Disabilitato | 1.0.0 |
| Require l'applicazione automatica di patch alle immagini del sistema operativo in set di scalabilità di macchine virtuali | Questo criterio applica l'abilitazione dell'applicazione automatica delle patch alle immagini del sistema operativo in set di scalabilità di macchine virtuali per mantenere sempre Macchine virtuali sicuro applicando le patch di sicurezza più recenti ogni mese. | deny | 1.0.0 |
| Aggioni ricorrenti con Gestore aggiornamenti di Azure | È possibile usare Gestore aggiornamenti di Azure in Azure per salvare le pianificazioni di distribuzione ricorrenti per installare gli aggiornamenti del sistema operativo per i computer Windows Server e Linux in Azure, in ambienti locali e in altri ambienti cloud connessi usando server abilitati per Azure Arc. Questo criterio modificherà anche la modalità patch per la macchina virtuale Azure in 'AutomaticByPlatform'. Altro: https://aka.ms/umc-scheduled-patching | DistribuisciSeNonEsiste, Disattivato | 3.14.0 |
| Impostare i prerequisiti per la pianificazione degli aggiornamenti ricorrenti nelle macchine virtuali Azure. | Questo criterio imposta i prerequisiti necessari per pianificare gli aggiornamenti ricorrenti in Gestore aggiornamenti di Azure configurando l'orchestrazione delle patch su "Pianificazioni gestite dal cliente". Questa modifica imposta automaticamente la modalità patch su 'AutomaticByPlatform' e abilita 'BypassPlatformSafetyChecksOnUserSchedule' su 'True' nelle macchine virtuali Azure. Il prerequisito non è applicabile per i server abilitati per Arc. Altre informazioni: https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DistribuisciSeNonEsiste, Disattivato | 1.3.0 |
| I risultati delle vulnerabilità devono essere risolti nei server SQL | Valutazione della vulnerabilità di SQL analizza il database per individuare vulnerabilità a livello di sicurezza ed espone eventuali scostamenti dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| È consigliabile installare gli aggiornamenti di sistema nei computer (tramite Update Center) | Nei computer mancano aggiornamenti di sistema, di sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| L'estensione di Log Analytics legacy non deve essere installata nei set di scalabilità di macchine virtuali Linux | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione da agenti legacy a Monitoraggio di Azure Agent. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nei set di scalabilità di macchine virtuali Linux. Altre informazioni: https://aka.ms/migratetoAMA | Rifiutare, controllare, disabilitato | 1.0.0 |
| L'estensione di Log Analytics legacy non deve essere installata nelle macchine virtuali Linux | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione da agenti legacy a Monitoraggio di Azure Agent. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nelle macchine virtuali Linux. Altre informazioni: https://aka.ms/migratetoAMA | Rifiutare, controllare, disabilitato | 1.0.0 |
| Il'estensione di Log Analytics legacy non deve essere installata nei set di scalabilità di macchine virtuali | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione da agenti legacy a Monitoraggio di Azure Agent. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy in Windows set di scalabilità di macchine virtuali. Altre informazioni: https://aka.ms/migratetoAMA | Rifiutare, controllare, disabilitato | 1.0.0 |
| Il'estensione di Log Analytics legacy non deve essere installata nelle macchine virtuali | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione da agenti legacy a Monitoraggio di Azure Agent. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy in Windows macchine virtuali. Altre informazioni: https://aka.ms/migratetoAMA | Rifiutare, controllare, disabilitato | 1.0.0 |
| Per la macchina virtuale deve essere abilitato TrustedLaunch | Abilitare TrustedLaunch nella macchina virtuale per una sicurezza avanzata, usare lo SKU della macchina virtuale (Gen 2) che supporta TrustedLaunch. Per altre informazioni su TrustedLaunch, visitare https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Controllo, Disabilitato | 1.0.0 |
| Per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/disco dati. Quando è abilitata la crittografia nell'host, i dischi temporanei e del sistema operativo temporaneo vengono crittografati con chiavi gestite dalla piattaforma. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. | Verifica, Nega, Disabilitato | 1.0.0 |
| Le macchine virtuali devono essere migrate a nuove risorse di Azure Resource Manager | Usare le nuove Azure Resource Manager per le macchine virtuali per offrire miglioramenti alla sicurezza, ad esempio: controllo degli accessi (RBAC), controllo migliore, distribuzione e governance basata su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, Azure Autenticazione basata su ACTIVE Directory e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza | Verifica, Nega, Disabilitato | 1.0.0 |
| L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Azure macchine virtuali nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi contro un'ampia gamma di vettori di attacco e comportamenti di blocco comunemente usati negli attacchi malware, consentendo alle aziende di bilanciare i requisiti di sicurezza e produttività (solo Windows). | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| Windows i computer devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | VerificaSeNonEsiste, Disabilitato | 4.1.1 |
| Windows i computer devono configurare Windows Defender per aggiornare le firme di protezione entro un giorno | Per garantire una protezione adeguata contro il malware appena rilasciato, è necessario aggiornare regolarmente le firme di protezione Windows Defender per tenere conto del malware appena rilasciato. Questo criterio non viene applicato ai server connessi ad Arc e richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Windows i computer devono abilitare Windows Defender protezione in tempo reale | Windows computer devono abilitare la protezione in tempo reale nel Windows Defender per garantire una protezione adeguata contro il malware appena rilasciato. Questo criterio non è applicabile ai server connessi ad arco e richiede che i prerequisiti di Configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Windows i computer devono soddisfare i requisiti per 'Modelli amministrativi - Pannello di controllo' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria "Modelli amministrativi - Pannello di controllo" per la personalizzazione dell'input e la prevenzione dell'abilitazione delle schermate di blocco. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Modelli amministrativi - MSS (legacy)' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - MSS (legacy)' per l'accesso automatico, screen saver, comportamento di rete, DLL sicura e registro eventi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Modelli amministrativi - Rete' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Rete' per gli accessi guest, connessioni simultanee, bridge di rete, ICS e risoluzione dei nomi multicast. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Modelli amministrativi - Sistema' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Sistema' per le impostazioni che controllano l'esperienza amministrativa e Assistenza remota. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - Account' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Account' per limitare l'uso dell'account locale di password vuote e stato dell'account guest. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Controllo' per forzare la sottocategoria dei criteri di controllo e arrestarsi se non è possibile registrare i controlli di sicurezza. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - Dispositivi' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Dispositivi' per l'annullamento dell'accesso senza l'accesso, l'installazione dei driver di stampa e la formattazione/rimozione di supporti. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso interattivo' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso interattivo' per visualizzare il cognome utente e richiedere CTRL-ALT-CANC. Questo criterio richiede che i prerequisiti di Configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - Microsoft Client di rete' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - client di rete Microsoft' per Microsoft client/server di rete e SMB v1. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - server di rete Microsoft' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - server di rete Microsoft' per disabilitare il server SMB v1. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso alla rete' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso di rete' per includere l'accesso per utenti anonimi, account locali e accesso remoto al Registro di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Sicurezza di rete' per includere il comportamento del sistema locale, PKU2U, LAN Manager, client LDAP e NTLM SSP. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - Console di ripristino' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria "Opzioni di sicurezza - Console di ripristino" per consentire la copia floppy e l'accesso a tutte le unità e cartelle. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - Arresto' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Arresto' per consentire l'arresto senza accedere e cancellare il file di pagina della memoria virtuale. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - Oggetti di sistema' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Oggetti di sistema' per la distinzione tra maiuscole e minuscole per sottosistemi non Windows e autorizzazioni di oggetti di sistema interni. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - Impostazioni di sistema' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Impostazioni di sistema' per le regole di certificato nei file eseguibili per SRP e sottosistemi facoltativi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo account utente' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Controllo account utente' per la modalità per gli amministratori, il comportamento della richiesta di elevazione dei privilegi e la virtualizzazione dei file e degli errori di scrittura del Registro di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Impostazioni di sicurezza - Criteri account' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria "Impostazioni di sicurezza - Criteri account" per la cronologia delle password, l'età, la lunghezza, la complessità e l'archiviazione delle password tramite la crittografia reversibile. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso account' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso account' per il controllo della convalida delle credenziali e altri eventi di accesso dell'account. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Criteri di controllo sistema - Gestione account' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria "Criteri di controllo sistema - Gestione account" per il controllo di applicazioni, sicurezza e gestione dei gruppi di utenti e altri eventi di gestione. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Criteri di controllo sistema - Rilevamento dettagliato' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Rilevamento dettagliato' per il controllo di DPAPI, creazione/terminazione del processo, eventi RPC e attività PNP. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso-Disconnessione' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Logon-Logoff' per il controllo di IPSec, criteri di rete, attestazioni, blocco dell'account, appartenenza ai gruppi e eventi di accesso/disconnessione. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso agli oggetti' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso agli oggetti' per il controllo di file, registro, SAM, archiviazione, filtro, kernel e altri tipi di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Criteri di controllo sistema - Modifica dei criteri' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Modifica dei criteri' per il controllo delle modifiche ai criteri di controllo del sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Uso privilegi' per il controllo senza distinzione e altri usi dei privilegi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Criteri di controllo sistema - Sistema' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Sistema' per il controllo del driver IPsec, l'integrità del sistema, l'estensione del sistema, la modifica dello stato e altri eventi di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Assegnazione diritti utente' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Assegnazione diritti utente' per consentire l'accesso in locale, RDP, accesso dalla rete e molte altre attività utente. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Windows Components' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria "componenti Windows" per l'autenticazione di base, il traffico non crittografato, gli account Microsoft, i dati di telemetria, Cortana e altri comportamenti Windows. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti per 'Windows Proprietà firewall' | Windows computer devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Windows Proprietà firewall' per lo stato del firewall, le connessioni, la gestione delle regole e le notifiche. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Windows i computer devono soddisfare i requisiti della baseline di sicurezza di calcolo Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo Azure. | VerificaSeNonEsiste, Disabilitato | 2.1.1 |
| Windows i computer devono avere solo account locali consentiti | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Questa definizione non è supportata in Windows Server 2012 o 2012 R2. La gestione degli account utente tramite Azure Active Directory è una procedura consigliata per la gestione delle identità. La riduzione degli account del computer locale consente di evitare la proliferazione delle identità gestite all'esterno di un sistema centrale. I computer non sono conformi se esistono account utente locali abilitati e non elencati nel parametro dei criteri. | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| Windows set di scalabilità di macchine virtuali devono essere installati Monitoraggio di Azure Agent | Windows set di scalabilità di macchine virtuali devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. I set di scalabilità di macchine virtuali con sistema operativo supportato e nelle aree supportate vengono monitorati per la distribuzione di Monitoraggio di Azure Agent. Altre informazioni: https://aka.ms/AMAOverview | VerificaSeNonEsiste, Disabilitato | 3.5.0 |
| Windows le macchine virtuali devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e archiviazione non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 1.1.1 |
| Windows le macchine virtuali devono essere installate Monitoraggio di Azure Agent | Windows le macchine virtuali devono essere monitorate e protette tramite l'agente di Monitoraggio di Azure distribuito. L'agente Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Windows macchine virtuali con sistema operativo supportato e nelle aree supportate vengono monitorate per la distribuzione di Monitoraggio di Azure Agent. Altre informazioni: https://aka.ms/AMAOverview | VerificaSeNonEsiste, Disabilitato | 3.5.0 |
Microsoft. VirtualMachineImages
| Name (portale di Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Verifica, Disabilitato, Nega | 1.1.0 |
Microsoft. ClassicCompute
| Name (portale di Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. il piano tariffario standard di Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Centro sicurezza di Azure ha identificato alcune delle regole in ingresso dei gruppi di sicurezza di rete troppo permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| È necessario che i risultati per i segreti delle macchine virtuali siano risolti | Controlla le macchine virtuali per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nelle macchine virtuali. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Le macchine virtuali devono essere migrate a nuove risorse di Azure Resource Manager | Usare le nuove Azure Resource Manager per le macchine virtuali per offrire miglioramenti alla sicurezza, ad esempio: controllo degli accessi (RBAC), controllo migliore, distribuzione e governance basata su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, Azure Autenticazione basata su ACTIVE Directory e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza | Verifica, Nega, Disabilitato | 1.0.0 |
Passaggi successivi
- Vedere le impostazioni predefinite nel repository Criteri di Azure GitHub.
- Esaminare la struttura di definizione Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.