Definizioni predefinite di Criteri di Azure per Macchine virtuali di Azure
Si applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili ✔️ set di scalabilità uniformi
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Macchine virtuali di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Microsoft.Compute
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: È necessario abilitare un'identità gestita nei computer | Le risorse gestite da Gestione automatica devono avere un'identità gestita. | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: Aggiungere un'identità gestita assegnata dall'utente per abilitare le assegnazioni di configurazione guest nelle macchine virtuali | Questo criterio aggiunge un'identità gestita assegnata dall'utente alle macchine virtuali ospitate in Azure supportate dalla configurazione guest. Un'identità gestita assegnata dall'utente è un prerequisito per tutte le assegnazioni di configurazione guest e deve essere aggiunta ai computer prima di usare le definizioni dei criteri di configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: Assegnare un'identità gestita assegnata dall'utente predefinita a set di scalabilità di macchine virtuali | Creare e assegnare un'identità gestita assegnata dall'utente predefinita o assegnare un'identità gestita assegnata dall'utente precedente su larga scala ai set di scalabilità di macchine virtuali. Per una documentazione più dettagliata, visitare aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
| [Anteprima]: Assegnare un'identità gestita assegnata dall'utente predefinita a Macchine virtuali | Creare e assegnare un'identità gestita assegnata dall'utente predefinita o assegnare un'identità gestita assegnata dall'utente precedente su larga scala alle macchine virtuali. Per una documentazione più dettagliata, visitare aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
| [Anteprima]: l'assegnazione del profilo di configurazione automatica deve essere conforme | Le risorse gestite da Gestione automatica devono avere lo stato Conforme o ConformeCorrected. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Backup di Azure deve essere abilitato per Managed Disks | Garantire la protezione dei dischi gestiti abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: L'agente di sicurezza di Azure deve essere installato nei set di scalabilità di macchine virtuali Linux | Installare l'agente di sicurezza di Azure nei set di scalabilità di macchine virtuali Linux per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti in Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: L'agente di sicurezza di Azure deve essere installato nelle macchine virtuali Linux | Installare l'agente di sicurezza di Azure nelle macchine virtuali Linux per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti in Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: L'agente di sicurezza di Azure deve essere installato nei set di scalabilità di macchine virtuali Windows | Installare l'agente di sicurezza di Azure nei set di scalabilità di macchine virtuali Windows per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti in Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: L'agente di sicurezza di Azure deve essere installato nelle macchine virtuali Windows | Installare l'agente di sicurezza di Azure nelle macchine virtuali Windows per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti in Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: La diagnostica di avvio deve essere abilitata nelle macchine virtuali | Le macchine virtuali di Azure devono avere la diagniostics di avvio abilitata. | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nella macchina virtuale Linux | Installare l'estensione ChangeTracking in macchine virtuali Linux per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nei set di scalabilità di macchine virtuali Linux | Installare l'estensione ChangeTracking nei set di scalabilità di macchine virtuali Linux per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nella macchina virtuale Windows | Installare l'estensione ChangeTracking nelle macchine virtuali Windows per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nei set di scalabilità di macchine virtuali Windows | Installare l'estensione ChangeTracking nei set di scalabilità di macchine virtuali Windows per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare Azure Defender per SQL Agent nella macchina virtuale | Configurare i computer Windows per installare automaticamente l'agente di Azure Defender per SQL in cui è installato l'agente di Monitoraggio di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Crea un gruppo di risorse e un'area di lavoro Log Analytics nella stessa area del computer. Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per i set di scalabilità di macchine virtuali Linux | Configurare i set di scalabilità di macchine virtuali Linux per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per le macchine virtuali Linux | Configurare le macchine virtuali Linux per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per i set di scalabilità di macchine virtuali Windows | Configurare i set di scalabilità di macchine virtuali Windows per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per le macchine virtuali Windows | Configurare le macchine virtuali Windows per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'Macchine virtuali Linux da associare a una regola di raccolta dati per ChangeTracking e inventario | Distribuire Association per collegare le macchine virtuali Linux alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventory. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux per installare AMA per ChangeTracking e Inventario con l'identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Linux per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0-preview |
| [Anteprima]: Configurare un set di scalabilità di macchine virtuali Linux da associare a una regola di raccolta dati per ChangeTracking e inventario | Distribuire Association per collegare i set di scalabilità di macchine virtuali Linux alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventory. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare il set di scalabilità di macchine virtuali Linux per installare AMA per ChangeTracking e Inventario con l'identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Linux per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'agente di sicurezza di Azure | Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest | Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 6.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per abilitare automaticamente l'avvio protetto | Configurare le macchine virtuali Linux supportate per abilitare automaticamente l'avvio protetto per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i driver kernel e kernel saranno autorizzati a essere eseguiti. | DeployIfNotExists, Disabled | 5.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per installare automaticamente l'agente di sicurezza di Azure | Configurare le macchine virtuali Linux supportate per installare automaticamente l'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 7.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per installare automaticamente l'estensione Attestazione guest | Configurare le macchine virtuali Linux supportate per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 7.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali supportate per abilitare automaticamente vTPM | Configurare le macchine virtuali supportate per abilitare automaticamente vTPM per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare i computer Windows supportati per installare automaticamente l'agente di sicurezza di Azure | Configurare i computer Windows supportati per installare automaticamente l'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 5.1.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Windows supportati per installare automaticamente l'agente di sicurezza di Azure | Configurare i set di scalabilità di macchine virtuali Windows supportati per installare automaticamente l'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). I set di scalabilità di macchine virtuali Windows di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Windows supportati per installare automaticamente l'estensione attestazione guest | Configurare i set di scalabilità di macchine virtuali Windows supportati per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 4.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows supportate per abilitare automaticamente l'avvio protetto | Configurare le macchine virtuali Windows supportate per abilitare automaticamente l'avvio protetto per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i driver kernel e kernel saranno autorizzati a essere eseguiti. | DeployIfNotExists, Disabled | 3.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows supportate per installare automaticamente l'estensione attestazione guest | Configurare le macchine virtuali Windows supportate per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 5.1.0-preview |
| [Anteprima]: Configurare l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Monitoraggio di Azure nelle macchine virtuali | Configurare l'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Monitoraggio di Azure e non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Monitoraggio di Azure e deve essere aggiunta ai computer prima di usare qualsiasi estensione di Monitoraggio di Azure. Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | Modificare, Disabilitata | 6.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali create con immagini Raccolta immagini condivise per installare l'estensione Attestazione guest | Configurare le macchine virtuali create con Raccolta immagini condivise immagini per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare il set di scalabilità di macchine virtuali creato con immagini Raccolta immagini condivise per installare l'estensione attestazione guest | Configurare il set di scalabilità di macchine virtuali creato con Raccolta immagini condivise immagini per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: configurare Windows Server per disabilitare gli utenti locali. | Crea un'assegnazione configurazione guest per configurare la disabilitazione degli utenti locali in Windows Server. In questo modo si garantisce che i server Windows possano accedere solo tramite l'account AAD (Azure Active Directory) o un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | DeployIfNotExists, Disabled | 1.2.0-preview |
| [Anteprima]: Configurare Windows Macchine virtuali da associare a una regola di raccolta dati per ChangeTracking e inventario | Distribuisci associazione per collegare le macchine virtuali Windows alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows per installare AMA per ChangeTracking e Inventario con identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Windows per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare il set di scalabilità di macchine virtuali Windows da associare a una regola di raccolta dati per ChangeTracking e inventario | Distribuisci associazione per collegare i set di scalabilità di macchine virtuali Windows alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare il set di scalabilità di macchine virtuali Windows per installare AMA per ChangeTracking e Inventario con l'identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Windows per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Distribuire Microsoft Defender per endpoint agente in macchine virtuali Linux | Distribuisce Microsoft Defender per endpoint agente nelle immagini di macchine virtuali Linux applicabili. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Anteprima]: Distribuire Microsoft Defender per endpoint agente in macchine virtuali Windows | Distribuisce Microsoft Defender per endpoint nelle immagini di macchine virtuali Windows applicabili. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Anteprima]: Abilitare l'identità assegnata dal sistema alla macchina virtuale SQL | Abilitare l'identità assegnata dal sistema su larga scala alle macchine virtuali SQL. È necessario assegnare questo criterio a livello di sottoscrizione. L'assegnazione a livello di gruppo di risorse non funzionerà come previsto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate | Installare l'estensione Attestazione guest nelle macchine virtuali Linux supportate per consentire alle Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Linux riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati | Installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali Linux supportati per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai set di scalabilità di macchine virtuali Linux attendibili e di avvio attendibile. | AuditIfNotExists, Disabled | 5.1.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Windows supportate | Installare l'estensione Attestazione guest nelle macchine virtuali supportate per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Di avvio attendibili e Riservate di Windows. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Windows supportati | Installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali supportati per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai set di scalabilità di macchine virtuali Windows riservati e all'avvio attendibile. | AuditIfNotExists, Disabled | 3.1.0-preview |
| [Anteprima]: i computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Azure per gli host Docker | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di Azure per gli host Docker. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Anteprima]: i computer Linux devono soddisfare i requisiti di conformità STIG per il calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per uno dei consigli indicati nel requisito di conformità STIG per l'ambiente di calcolo di Azure. DISA (Defense Information Systems Agency) fornisce guide tecniche STIG (Security Technical Implementation Guide) per proteggere il sistema operativo di calcolo come richiesto dal Dipartimento della Difesa (DoD). Per altri dettagli, https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Anteprima]: i computer Linux con OMI installato devono avere la versione 1.6.8-1 o successiva | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. A causa di una correzione di sicurezza inclusa nella versione 1.6.8-1 del pacchetto OMI per Linux, tutti i computer devono essere aggiornati alla versione più recente. Aggiornare app/pacchetti che usano OMI per risolvere il problema. Per ulteriori informazioni, vedere https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Anteprima]: Le macchine virtuali Linux devono usare solo componenti di avvio firmati e attendibili | Tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) devono essere firmati da autori attendibili. Defender per il cloud ha identificato componenti di avvio del sistema operativo non attendibili in uno o più computer Linux. Per proteggere i computer da componenti potenzialmente dannosi, aggiungerli all'elenco di elementi consentiti o rimuovere i componenti identificati. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Le macchine virtuali Linux devono usare l'avvio protetto | Per proteggersi dall'installazione di rootkit e kit di avvio basati su malware, abilitare l'avvio protetto nelle macchine virtuali Linux supportate. L'avvio protetto garantisce che solo i sistemi operativi e i driver firmati possano essere eseguiti. Questa valutazione si applica solo alle macchine virtuali Linux in cui è installato l'agente di Monitoraggio di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | Segnala le macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. | AuditIfNotExists, Disabled | 2.0.1-preview |
| [Anteprima]: i computer devono avere porte chiuse che potrebbero esporre vettori di attacco | Le Condizioni per l'utilizzo di Azure impediscono l'uso dei servizi di Azure in modi che potrebbero danneggiare, disabilitare, sovraccaricare o compromettere qualsiasi server Microsoft o la rete. Le porte esposte identificate da questa raccomandazione devono essere chiuse per la sicurezza continua. Per ogni porta identificata, la raccomandazione fornisce anche una spiegazione della potenziale minaccia. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Managed Disks deve essere resiliente alla zona | I dischi gestiti possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I dischi gestiti con un'assegnazione di zona sono allineati alla zona. Managed Disks con un nome sku che termina con l'archiviazione con ridondanza della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza per Managed Disks. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Anteprima]: l'avvio protetto deve essere abilitato nelle macchine virtuali Windows supportate | Abilitare l'avvio protetto nelle macchine virtuali Windows supportate per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i driver kernel e kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica alle macchine virtuali Di avvio attendibili e Riservate di Windows. | Audit, Disabled | 4.0.0-preview |
| [Anteprima]: È consigliabile installare gli aggiornamenti nei computer (tramite Update Center) | Nei computer mancano aggiornamenti di sistema, di sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: set di scalabilità di macchine virtuali deve essere resiliente alla zona | set di scalabilità di macchine virtuali può essere configurato in modo che sia allineato alla zona, ridondante della zona o nessuno dei due. set di scalabilità di macchine virtuali che hanno esattamente una voce nella matrice di zone vengono considerate allineate alla zona. Al contrario, set di scalabilità di macchine virtuali con 3 o più voci nella matrice di zone e una capacità di almeno 3 vengono riconosciute come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Lo stato dell'attestazione guest delle macchine virtuali deve essere integro | L'attestazione guest viene eseguita inviando un log attendibile (TCGLog) a un server di attestazione. Il server usa questi log per determinare se i componenti di avvio sono attendibili. Questa valutazione è destinata a rilevare compromissioni della catena di avvio che potrebbe essere il risultato di un bootkit o di un'infezione da rootkit. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile in cui è installata l'estensione Attestazione guest. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Macchine virtuali deve essere allineato alla zona | Macchine virtuali può essere configurato in modo che sia allineato o meno alla zona. Vengono considerati allineati alla zona se hanno una sola voce nella matrice di zone. Questo criterio garantisce che siano configurati per operare all'interno di una singola zona di disponibilità. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | Abilitare il dispositivo TPM virtuale nelle macchine virtuali supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile. | Audit, Disabled | 2.0.0-preview |
| [Anteprima]: i computer Windows devono soddisfare i requisiti di conformità STIG per l'ambiente di calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni riportate nei requisiti di conformità STIG per l'ambiente di calcolo di Azure. DISA (Defense Information Systems Agency) fornisce guide tecniche STIG (Security Technical Implementation Guide) per proteggere il sistema operativo di calcolo come richiesto dal Dipartimento della Difesa (DoD). Per altri dettagli, https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-preview |
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
| Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| SKU di dimensioni di macchine virtuali consentiti | Questo criterio consente di specificare un set di SKU di dimensioni di macchine virtuali che possono essere distribuiti dall'organizzazione. | Nega | 1.0.1 |
| Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
| Controlla i computer Linux che consentono connessioni remote da account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password | AuditIfNotExists, Disabled | 3.1.0 |
| Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 | AuditIfNotExists, Disabled | 3.1.0 |
| Controlla i computer Linux in cui non sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la risorsa Chef InSpec indica che uno o più pacchetti forniti dal parametro non sono installati. | AuditIfNotExists, Disabled | 4.2.0 |
| Controlla i computer Linux in cui sono presenti account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux sono presenti account senza password | AuditIfNotExists, Disabled | 3.1.0 |
| Controlla i computer Linux in cui sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la risorsa Chef InSpec indica che uno o più pacchetti forniti dal parametro sono installati. | AuditIfNotExists, Disabled | 4.2.0 |
| Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Controlla macchine virtuali che non usano dischi gestiti | Questo criterio controlla le macchine virtuali che non usano dischi gestiti | controllo | 1.0.0 |
| Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale non contiene uno o più membri elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla la connettività di rete dei computer Windows | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se lo stato di una connessione di rete a un indirizzo IP e alla porta TCP non corrisponde al parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui la configurazione DSC non è conforme | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il comando Get-DSCConfigurationStatus di Windows PowerShell restituisce che la configurazione DSC per il computer non è conforme. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se l'agente non è installato o se è installato ma l'oggetto COM AgentConfigManager.MgmtSvcCfg restituisce che è registrato in un'area di lavoro diversa dall'ID specificato nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui i servizi specificati non sono installati e in esecuzione | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il risultato del comando Get-Service di Windows PowerShell non include il nome del servizio con stato corrispondente come specificato nel parametro dei criteri. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows in cui la console seriale Windows non è abilitata | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nel computer non è installato il software della console seriale o se il numero di porta o la velocità in baud di Servizi di gestione emergenze non sono configurati con gli stessi valori dei parametri dei criteri. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche. Il valore predefinito per le password univoche è 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows che non sono aggiunti al dominio specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il valore della proprietà del dominio nella classe WMI win32_computersystem non corrisponde il valore nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows che non sono impostati sul fuso orario specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il valore della proprietà StandardName nella classe WMI Win32_TimeZone non corrisponde al fuso orario selezionato per parametro dei criteri. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i certificati nell'archivio specificato presentano una data di scadenza non compresa nell'intervallo consentito per il numero di giorni fornito come parametro. Il criterio offre inoltre l'opzione di controllare solo certificati specifici o di escludere determinati certificati e inviare una segnalazione per i certificati scaduti. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows che non contengono i certificati specificati nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se l'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale (Cert:\LocalMachine\Root) non contiene uno o più certificati elencati nel parametro dei criteri. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows che non hanno la validità massima della password impostata sul numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato. Il valore predefinito per la validità massima della password è 70 giorni | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni. Il valore predefinito per l'età minima della password è 1 giorno | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Windows non è abilitata l'impostazione relativa alla complessità della password | AuditIfNotExists, Disabled | 2.0.0 |
| Controlla i computer Windows in cui non sono disponibili i criteri di esecuzione di Windows PowerShell specificati | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il comando Get-ExecutionPolicy di Windows PowerShell restituisce un valore diverso da quello selezionato nel parametro dei criteri. | AuditIfNotExists, Disabled | 3.0.0 |
| Controlla i computer Windows in cui non sono installati i moduli di Windows PowerShell specificati | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se un modulo non è disponibile in una posizione specificata dalla variabile di ambiente PSModulePath. | AuditIfNotExists, Disabled | 3.0.0 |
| Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri. Il valore predefinito per la lunghezza minima della password è di 14 caratteri | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile | AuditIfNotExists, Disabled | 2.0.0 |
| Controlla i computer Windows in cui non sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il nome dell'applicazione non viene trovato in uno dei percorsi del Registro di sistema seguenti: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui sono presenti account in eccesso nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows che non sono stati riavviati entro il numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la proprietà WMI LastBootUpTime nella classe Win32_Operatingsystem non è compresa nell'intervallo di giorni fornito dal parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il nome dell'applicazione viene trovato in uno dei percorsi del Registro di sistema seguenti: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla le macchine virtuali Windows in attesa di riavvio | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il computer è in attesa di riavvio per uno dei motivi seguenti: manutenzione basata su componenti, Windows Update, ridenominazione file in sospeso, ridenominazione computer in sospeso, Gestione configurazione in attesa di riavvio. Per ogni rilevamento è presente un percorso del Registro di sistema univoco. | auditIfNotExists | 2.0.0 |
| L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
| le istanze del ruolo Servizi cloud (supporto esteso) devono essere configurate in modo sicuro | Proteggere le istanze del ruolo del servizio cloud (supporto esteso) dagli attacchi assicurandosi che non siano esposte ad alcuna vulnerabilità del sistema operativo. | AuditIfNotExists, Disabled | 1.0.0 |
| le istanze del ruolo di Servizi cloud (supporto esteso) devono avere una soluzione endpoint protection installata | Proteggere le istanze del ruolo di Servizi cloud (supporto esteso) da minacce e vulnerabilità assicurandosi che in esse sia installata una soluzione endpoint protection. | AuditIfNotExists, Disabled | 1.0.0 |
| le istanze del ruolo Servizi cloud (supporto esteso) devono avere gli aggiornamenti di sistema installati | Proteggere le istanze del ruolo di Servizi cloud (supporto esteso) assicurandosi che siano installati gli aggiornamenti critici e della sicurezza più recenti. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per server da disabilitare per tutte le risorse (livello di risorsa) | Azure Defender per server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni per la protezione avanzata, nonché avvisi sulle attività sospette. Questo criterio disabiliterà il piano Defender per server per tutte le risorse (VM, VMSS e computer ARC) nell'ambito selezionato (sottoscrizione o gruppo di risorse). | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per server da disabilitare per le risorse (livello di risorsa) con il tag selezionato | Azure Defender per server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni per la protezione avanzata, nonché avvisi sulle attività sospette. Questo criterio disabiliterà il piano Defender per server per tutte le risorse (VM, VMSS e computer ARC) con il nome e i valori di tag selezionati. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per server da abilitare (sottopiano 'P1' ) per tutte le risorse (livello di risorsa) con il tag selezionato | Azure Defender per server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni per la protezione avanzata, nonché avvisi sulle attività sospette. Questo criterio abiliterà il piano Defender per server (con sottopiano "P1") per tutte le risorse (VM e computer ARC) con il nome e i valori dei tag selezionati. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per server da abilitare (con sottopiano "P1") per tutte le risorse (livello di risorsa) | Azure Defender per server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni per la protezione avanzata, nonché avvisi sulle attività sospette. Questo criterio abiliterà il piano Defender per server (con sottopiano "P1") per tutte le risorse (VM e computer ARC) nell'ambito selezionato (sottoscrizione o gruppo di risorse). | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare il backup nelle macchine virtuali con un tag specificato in un nuovo insieme di credenziali di Servizi di ripristino con un criterio predefinito | Impone il backup per tutte le macchine virtuali distribuendo un insieme di credenziali di Servizi di ripristino nella stessa località e nello stesso gruppo di risorse della macchina virtuale. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile includere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurare il backup nelle macchine virtuali con un tag specificato in un insieme di credenziali dei servizi di ripristino esistente nella stessa posizione | Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile includere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurare il backup nelle macchine virtuali senza un tag specificato in un nuovo insieme di credenziali dei servizi di ripristino con un criterio predefinito | Impone il backup per tutte le macchine virtuali distribuendo un insieme di credenziali di Servizi di ripristino nella stessa località e nello stesso gruppo di risorse della macchina virtuale. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurare il backup nelle macchine virtuali senza un tag specificato in un insieme di credenziali dei servizi di ripristino esistente nella stessa posizione | Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurare il ripristino di emergenza nelle macchine virtuali abilitando la replica tramite Azure Site Recovery | Le macchine virtuali senza configurazioni di ripristino di emergenza sono vulnerabili a interruzioni e altre interruzioni. Se la macchina virtuale non dispone già di un ripristino di emergenza configurato, verrà avviata la stessa operazione abilitando la replica usando configurazioni predefinite per facilitare la continuità aziendale. Facoltativamente, è possibile includere/escludere macchine virtuali contenenti un tag specificato per controllare l'ambito dell'assegnazione. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurare le risorse di accesso al disco con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse di accesso al disco, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i computer Linux da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare macchine virtuali Linux, set di scalabilità di macchine virtuali e computer Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 6.3.0 |
| Configurare Linux Server per disabilitare gli utenti locali. | Crea un'assegnazione di configurazione guest per configurare la disabilitazione degli utenti locali in Linux Server. In questo modo, i server Linux possono accedere solo tramite l'account AAD (Azure Active Directory) o un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | DeployIfNotExists, Disabled | 1.3.0-preview |
| Configurare linux set di scalabilità di macchine virtuali da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare i set di scalabilità di macchine virtuali Linux alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 4.2.0 |
| Configurare i set di scalabilità di macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Configurare i set di scalabilità di macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Configurare linux Macchine virtuali da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare le macchine virtuali Linux alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 4.2.0 |
| Configurare le macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Configurare le macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Configurare i computer per ricevere un provider di valutazione della vulnerabilità | Azure Defender include l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. Non è necessaria una licenza Qualys, né un account Qualys: tutto viene gestito senza interruzioni all'interno del Centro sicurezza. Quando si abilita questo criterio, Azure Defender distribuisce automaticamente il provider di valutazione della vulnerabilità Qualys in tutti i computer supportati che non lo hanno già installato. | DeployIfNotExists, Disabled | 4.0.0 |
| Configurare i dischi gestiti per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa disco gestito in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | Modificare, Disabilitata | 2.0.0 |
| Configurare il controllo periodico della presenza di aggiornamenti di sistema mancanti nelle macchine virtuali di Azure | Configurare la valutazione automatica (ogni 24 ore) per gli aggiornamenti del sistema operativo in macchine virtuali native di Azure. È possibile controllare l'ambito dell'assegnazione in base alla sottoscrizione del computer, al gruppo di risorse, alla posizione o al tag. Altre informazioni su questo argomento per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
| Configurare protocolli di comunicazione sicuri (TLS 1.1 o TLS 1.2) nei computer Windows | Crea un'assegnazione di configurazione guest per configurare la versione del protocollo sicura specificata (TLS 1.1 o TLS 1.2) nel computer Windows. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare sql Macchine virtuali per installare automaticamente l'agente di Monitoraggio di Azure | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nell'Macchine virtuali SQL di Windows. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Configurare sql Macchine virtuali per installare automaticamente Microsoft Defender per SQL | Configurare Windows SQL Macchine virtuali per installare automaticamente l'estensione Microsoft Defender per SQL. Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). | DeployIfNotExists, Disabled | 1.3.0 |
| Configurare SQL Macchine virtuali per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse, una regola di raccolta dati e un'area di lavoro Log Analytics nella stessa area del computer. | DeployIfNotExists, Disabled | 1.5.0 |
| Configurare SQL Macchine virtuali per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro LA definita dall'utente | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e una regola di raccolta dati nella stessa area dell'area di lavoro Log Analytics definita dall'utente. | DeployIfNotExists, Disabled | 1.5.0 |
| Configurare l'area di lavoro Microsoft Defender per SQL Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e un'area di lavoro Log Analytics nella stessa area del computer. | DeployIfNotExists, Disabled | 1.3.0 |
| Configura il fuso orario nelle macchine Windows. | Questo criterio crea un'assegnazione della configurazione guest per impostare il fuso orario specificato nelle macchine virtuali Windows. | deployIfNotExists | 2.1.0 |
| Configurare le macchine virtuali di cui eseguire l'onboarding in Gestione automatica di Azure | Gestione automatica di Azure registra, configura e monitora le macchine virtuali con le procedure consigliate definite in Microsoft Cloud Adoption Framework per Azure. Usare questo criterio per applicare Gestione automatica all'ambito selezionato. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Configurare le macchine virtuali di cui eseguire l'onboarding in Gestione automatica di Azure con profilo di configurazione personalizzato | Gestione automatica di Azure registra, configura e monitora le macchine virtuali con le procedure consigliate definite in Microsoft Cloud Adoption Framework per Azure. Usare questo criterio per applicare la gestione automatica con il proprio profilo di configurazione personalizzato all'ambito selezionato. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Configurare i computer Windows da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare macchine virtuali Windows, set di scalabilità di macchine virtuali e computer Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 4.5.0 |
| Configurare Windows set di scalabilità di macchine virtuali da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare i set di scalabilità di macchine virtuali Windows alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 3.3.0 |
| Configurare i set di scalabilità di macchine virtuali Windows per eseguire l'agente di Monitoraggio di Azure usando l'identità gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Windows per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
| Configurare i set di scalabilità di macchine virtuali Windows per eseguire l'agente di Monitoraggio di Azure con l'autenticazione gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Windows per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| Configurare Windows Macchine virtuali da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare le macchine virtuali Windows alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 3.3.0 |
| Configurare le macchine virtuali Windows per eseguire l'agente di Monitoraggio di Azure usando l'identità gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Windows per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 4.4.0 |
| Configurare le macchine virtuali Windows per eseguire l'agente di Monitoraggio di Azure con l'autenticazione gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Windows per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| Creare e assegnare un'identità gestita assegnata dall'utente predefinita | Creare e assegnare un'identità gestita assegnata dall'utente predefinita su larga scala alle macchine virtuali SQL. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.5.0 |
| L'agente di dipendenza deve essere abilitato per le immagini delle macchine virtuali elencate | Segnala le macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'agente non è installato. L'elenco delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aggiornato il supporto. | AuditIfNotExists, Disabled | 2.0.0 |
| L'agente di dipendenza deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'agente non è installato. L'elenco delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aggiornato il supporto. | AuditIfNotExists, Disabled | 2.0.0 |
| Distribuisci: configurare Dependency Agent da abilitare nei set di scalabilità di macchine virtuali Windows | Distribuire Dependency Agent per i set di scalabilità di macchine virtuali Windows se l'immagine della macchina virtuale si trova nell'elenco definito e l'agente non è installato. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. | DeployIfNotExists, Disabled | 3.1.0 |
| Distribuisci : configurare Dependency Agent da abilitare nelle macchine virtuali Windows | Distribuire Dependency Agent per le macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. | DeployIfNotExists, Disabled | 3.1.0 |
| Distribuisci : configurare l'estensione Log Analytics da abilitare nei set di scalabilità di macchine virtuali Windows | Distribuire l'estensione Log Analytics per i set di scalabilità di macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. Avviso di deprecazione: l'agente di Log Analytics si trova in un percorso di deprecazione e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. | DeployIfNotExists, Disabled | 3.1.0 |
| Deploy - Configurare l'estensione Log Analytics da abilitare nelle macchine virtuali Windows | Distribuire l'estensione Log Analytics per le macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Avviso di deprecazione: l'agente di Log Analytics si trova in un percorso di deprecazione e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. | DeployIfNotExists, Disabled | 3.1.0 |
| Distribuisci estensione IaaSAntimalware Microsoft predefinita per Windows Server | Questo criterio distribuisce un'estensione IaaSAntimalware Microsoft con una configurazione predefinita quando in una macchina virtuale non è configurata l'estensione antimalware. | deployIfNotExists | 1.1.0 |
| Distribuisci Dependency Agent per i set di scalabilità di macchine virtuali Linux | Distribuisce Dependency Agent per i set di scalabilità di macchine virtuali Linux se l'immagine (sistema operativo) della macchina virtuale è nell'elenco definito e l'agente non è installato. Nota: se la proprietà upgradePolicy del set di scalabilità è impostata su Manual, è necessario applicare l'estensione a tutte le macchine virtuali nel set chiamandone l'aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Distribuire Dependency Agent per set di scalabilità di macchine virtuali Linux con le impostazioni dell'agente di monitoraggio di Azure | Distribuire Dependency Agent per i set di scalabilità di macchine virtuali Linux con le impostazioni dell'agente di monitoraggio di Azure se l'immagine della macchina virtuale (sistema operativo) è nell'elenco definito e l'agente non è installato. Nota: se la proprietà upgradePolicy del set di scalabilità è impostata su Manual, è necessario applicare l'estensione a tutte le macchine virtuali nel set chiamandone l'aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. | DeployIfNotExists, Disabled | 3.1.1 |
| Distribuisci Dependency Agent per le macchine virtuali Linux | Distribuisce Dependency Agent per le macchine virtuali Linux se l'immagine della macchina virtuale (sistema operativo) è nell'elenco definito e l'agente non è installato. | deployIfNotExists | 5.0.0 |
| Distribuire Dependency Agent per macchine virtuali Linux con le impostazioni dell'agente di monitoraggio di Azure | Distribuire Dependency Agent per le macchine virtuali Linux con le impostazioni dell'agente di monitoraggio di Azure se l'immagine della macchina virtuale (sistema operativo) è nell'elenco definito e l'agente non è installato. | DeployIfNotExists, Disabled | 3.1.1 |
| Distribuire Dependency Agent da abilitare nei set di scalabilità di macchine virtuali Windows con le impostazioni dell'agente di monitoraggio di Azure | Distribuire Dependency Agent per i set di scalabilità di macchine virtuali Windows con le impostazioni dell'agente di monitoraggio di Azure se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. | DeployIfNotExists, Disabled | 1.2.2 |
| Distribuire Dependency Agent da abilitare nelle macchine virtuali Windows con le impostazioni dell'agente di monitoraggio di Azure | Distribuire Dependency Agent per le macchine virtuali Windows con le impostazioni dell'agente di monitoraggio di Azure se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. | DeployIfNotExists, Disabled | 1.2.2 |
| Distribuire l'estensione Log Analytics per i set di scalabilità di macchine virtuali Linux. Vedere l'avviso di deprecazione riportato di seguito | Distribuire l'estensione Log Analytics per i set di scalabilità di macchine virtuali Linux se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Nota: se il set di scalabilità upgradePolicy è impostato su manuale, è necessario applicare l'estensione a tutte le VM del set tramite una chiamata di aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. Avviso di deprecazione: l'agente di Log Analytics non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione alla sostituzione dell'agente di Monitoraggio di Azure prima di tale data | deployIfNotExists | 3.0.0 |
| Distribuire l'estensione Log Analytics per le macchine virtuali Linux. Vedere l'avviso di deprecazione riportato di seguito | Distribuire l'estensione Log Analytics per le macchine virtuali Linux se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Avviso di deprecazione: l'agente di Log Analytics si trova in un percorso di deprecazione e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione alla sostituzione dell'agente di Monitoraggio di Azure prima di tale data | deployIfNotExists | 3.0.0 |
| Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Le risorse di accesso al disco devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| I dischi e l'immagine del sistema operativo devono supportare TrustedLaunch | TrustedLaunch migliora la sicurezza di una macchina virtuale che richiede il supporto dell'immagine del disco del sistema operativo (Gen 2). Per altre informazioni su TrustedLaunch, visitare https://aka.ms/trustedlaunch | Audit, Disabled | 1.0.0 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di Endpoint Protection supportate sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| È necessario installare Endpoint Protection nei computer | Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection. | AuditIfNotExists, Disabled | 1.0.0 |
| La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. | AuditIfNotExists, Disabled | 3.0.0 |
| L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Hotpatch deve essere abilitato per le macchine virtuali windows Server Azure Edition | Ridurre al minimo i riavvii e installare rapidamente gli aggiornamenti con hotpatch. Per altre informazioni: https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Deny, Disabled | 1.0.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| I computer Linux devono avere solo account locali consentiti | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. La gestione degli account utente con Azure Active Directory è una procedura consigliata per la gestione delle identità. La riduzione degli account del computer locale consente di evitare la proliferazione delle identità gestite all'esterno di un sistema centrale. I computer non sono conformi se esistono account utente locali abilitati e non elencati nel parametro dei criteri. | AuditIfNotExists, Disabled | 2.2.0 |
| Nei set di scalabilità di macchine virtuali Linux deve essere installato l'agente di Monitoraggio di Azure | I set di scalabilità di macchine virtuali Linux devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla i set di scalabilità di macchine virtuali con immagini del sistema operativo supportate nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e Archiviazione non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
| Nelle macchine virtuali Linux deve essere installato l'agente di Monitoraggio di Azure | Le macchine virtuali Linux devono essere monitorate e protette tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla le macchine virtuali con immagini del sistema operativo supportate nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| I metodi di autenticazione locali devono essere disabilitati nei computer Linux | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i server Linux non dispongono di metodi di autenticazione locali disabilitati. Ciò consente di verificare che i server Linux siano accessibili solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | AuditIfNotExists, Disabled | 1.2.0-preview |
| I metodi di autenticazione locali devono essere disabilitati nei server Windows | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i server Windows non dispongono di metodi di autenticazione locali disabilitati. Ciò consente di verificare che i server Windows siano accessibili solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | AuditIfNotExists, Disabled | 1.0.0-preview |
| L'agente di Log Analytics deve essere installato nelle istanze del ruolo di Servizi cloud (supporto esteso) | Il Centro sicurezza raccoglie i dati dalle istanze del ruolo di Servizi cloud (supporto esteso) per monitorare le vulnerabilità e le minacce per la sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
| L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
| L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. | AuditIfNotExists, Disabled | 1.0.0 |
| L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. | AuditIfNotExists, Disabled | 2.0.1 |
| I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti del sistema mancanti | Per garantire che le valutazioni periodiche per gli aggiornamenti di sistema mancanti vengano attivate automaticamente ogni 24 ore, la proprietà AssessmentMode deve essere impostata su "AutomaticByPlatform". Altre informazioni sulla proprietà AssessmentMode per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
| I computer devono avere risultati segreti risolti | Controlla le macchine virtuali per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nelle macchine virtuali. | AuditIfNotExists, Disabled | 1.0.2 |
| I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | I clienti sensibili alla sicurezza elevata interessati al rischio associato a qualsiasi algoritmo di crittografia, implementazione o chiave compromessa possono optare per un livello aggiuntivo di crittografia usando un algoritmo/modalità di crittografia diverso a livello di infrastruttura usando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per ulteriori informazioni, vedi https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| I dischi gestiti devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che un disco gestito non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei dischi gestiti. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | Audit, Disabled | 2.0.0 |
| I dischi gestiti devono usare un set specifico di set di crittografia dischi per la crittografia della chiave gestita dal cliente | La richiesta di un set specifico di set di crittografia del disco da usare con i dischi gestiti consente di controllare le chiavi usate per la crittografia dei dati inattivi. È possibile selezionare i set crittografati consentiti e tutti gli altri vengono rifiutati quando collegati a un disco. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | Questo criterio controlla le macchine virtuali Windows non configurate con l'aggiornamento automatico delle firme di protezione di Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | Questo criterio controlla le macchine virtuali Windows Server in cui non è distribuita l'estensione Microsoft IaaSAntimalware. | AuditIfNotExists, Disabled | 1.1.0 |
| Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Devono essere installate solo le estensioni macchina virtuale approvate | Questo criterio regolamenta le estensioni macchina virtuale non approvate. | Audit, Deny, Disabled | 1.0.0 |
| I dischi del sistema operativo e dei dati devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi del contenuto dei dischi gestiti. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dalla piattaforma, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Gli endpoint privati per le assegnazioni di configurazione guest devono essere abilitati | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alla configurazione guest per le macchine virtuali. Le macchine virtuali non saranno conformi a meno che non dispongano del tag "EnablePrivateNetworkGC". Questo tag applica la comunicazione sicura tramite connettività privata alla configurazione guest per Macchine virtuali. La connettività privata limita l'accesso al traffico proveniente solo da reti note e impedisce l'accesso da tutti gli altri indirizzi IP, incluso in Azure. | Audit, Deny, Disabled | 1.1.0 |
| Proteggere i dati con i requisiti di autenticazione durante l'esportazione o il caricamento in un disco o uno snapshot. | Quando si usa l'URL di esportazione/caricamento, il sistema controlla se l'utente ha un'identità in Azure Active Directory e dispone delle autorizzazioni necessarie per esportare/caricare i dati. Fare riferimento a aka.ms/DisksAzureADAuth. | Modificare, Disabilitata | 1.0.0 |
| Richiedi l'applicazione automatica di patch alle immagini del sistema operativo nei set di scalabilità di macchine virtuali | Questo criterio impone l'abilitazione dell'applicazione automatica di patch alle immagini del sistema operativo nei set di scalabilità di macchine virtuali per mantenere sempre protette le macchine virtuali, applicando le patch di sicurezza più recenti ogni mese. | rifiutare | 1.0.0 |
| Pianificare gli aggiornamenti ricorrenti con Gestione aggiornamenti di Azure | È possibile usare Gestione aggiornamenti di Azure in Azure per salvare le pianificazioni di distribuzione ricorrenti per installare gli aggiornamenti del sistema operativo per i computer Windows Server e Linux in Azure, negli ambienti locali e in altri ambienti cloud connessi usando i server abilitati per Azure Arc. Questo criterio modificherà anche la modalità patch per la macchina virtuale di Azure in "AutomaticByPlatform". Per altre informazioni, vedere: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
| I risultati delle vulnerabilità devono essere risolti nei server SQL | La valutazione delle vulnerabilità di SQL analizza il database per individuare le vulnerabilità di sicurezza ed espone eventuali deviazioni dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | Controlla se devono essere installati aggiornamenti critici e aggiornamenti della sicurezza del sistema mancanti per garantire che i set di scalabilità di macchine virtuali Windows e Linux siano sicuri. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli aggiornamenti di sistema devono essere installati nelle macchine | Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 4.0.0 |
| L'estensione legacy di Log Analytics non deve essere installata nei set di scalabilità di macchine virtuali Linux | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nei set di scalabilità di macchine virtuali Linux. Ulteriori informazioni: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| L'estensione legacy di Log Analytics non deve essere installata nelle macchine virtuali Linux | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nelle macchine virtuali Linux. Ulteriori informazioni: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| L'estensione legacy di Log Analytics non deve essere installata nei set di scalabilità di macchine virtuali | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nei set di scalabilità di macchine virtuali Windows. Ulteriori informazioni: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| L'estensione legacy di Log Analytics non deve essere installata nelle macchine virtuali | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nelle macchine virtuali Windows. Ulteriori informazioni: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | Questo criterio controlla qualsiasi set di scalabilità di macchine virtuali Windows/Linux se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1 |
| Per la macchina virtuale deve essere abilitato TrustedLaunch | Abilitare TrustedLaunch nella macchina virtuale per una sicurezza avanzata, usare lo SKU della macchina virtuale (Gen 2) che supporta TrustedLaunch. Per altre informazioni su TrustedLaunch, visitare https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, Disabled | 1.0.0 |
| Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/dati. I dischi temporanei e temporanei del sistema operativo vengono crittografati con chiavi gestite dalla piattaforma quando la crittografia nell'host è abilitata. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Le macchine virtuali devono essere connesse a un'area di lavoro specificata | Segnala le macchine virtuali come non conformi se non accedono all'area di lavoro Log Analytics specificata nell'assegnazione di criteri/iniziative. | AuditIfNotExists, Disabled | 1.1.0 |
| È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
| Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| Per le macchine virtuali deve essere installata l'estensione Log Analytics | Questo criterio controlla le macchine virtuali Windows/Linux se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1 |
| L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | Verifica le vulnerabilità nella configurazione della sicurezza nei computer in cui è installato Docker e le visualizza come raccomandazioni nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
| Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | Controlla le vulnerabilità del sistema operativo nei set di scalabilità di macchine virtuali per proteggerli da attacchi. | AuditIfNotExists, Disabled | 3.0.0 |
| Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
| I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
| I computer Windows devono configurare Windows Defender per aggiornare le firme di protezione entro un giorno | Per garantire una protezione adeguata contro il malware appena rilasciato, le firme di protezione di Windows Defender devono essere aggiornate regolarmente per tenere conto del malware appena rilasciato. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| I computer Windows devono abilitare la protezione in tempo reale di Windows Defender | I computer Windows devono abilitare la protezione in tempo reale in Windows Defender per garantire una protezione adeguata contro il malware appena rilasciato. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Pannello di controllo' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Pannello di controllo' per personalizzare l'input e impedire l'abilitazione delle schermate di blocco. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - MSS (legacy)' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - MSS (legacy)' per accesso automatico, screen saver, comportamento della rete, file DLL sicuro e log eventi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Rete' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Rete' per accessi guest, connessioni simultanee, bridge di rete, ICS e risoluzione dei nomi multicast. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Sistema' per impostazioni che controllano l'esperienza di amministrazione e Assistenza remota. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Account' per limitare l'uso di password vuote e lo stato dell'account guest per account locali. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Controllo' per forzare la sottocategoria dei criteri di controllo e arrestare il sistema se non riesce a registrare i controlli di sicurezza. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Dispositivi' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Dispositivi' per il disinserimento senza accesso, l'installazione di driver della stampante e la formattazione/espulsione di supporti. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso interattivo' | I computer Windows devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso interattivo' per visualizzare il cognome utente e richiedere ctrl-alt-canc. Questo criterio richiede che i prerequisiti di Configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Client di rete Microsoft' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Client di rete Microsoft' per client/server di rete Microsoft e SMB v1. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Server di rete Microsoft' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Server di rete Microsoft' per disabilitare il server SMB v1. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso alla rete' per includere l'accesso per utenti anonimi, account locali e accesso remoto al Registro di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Sicurezza di rete' per includere il comportamento di Sistema locale, PKU2U, LAN Manager, client LDAP e SSP NTLM. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Console di ripristino di emergenza' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Console di ripristino di emergenza' per consentire la copia su disco floppy e l'accesso a tutte le unità e a tutte le cartelle. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Arresto del sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Arresto del sistema' per consentire l'arresto del sistema senza accesso e la cancellazione del file di paging della memoria virtuale. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Oggetti di sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Oggetti di sistema' per la mancata distinzione maiuscole/minuscole per sottosistemi non Windows e autorizzazioni di oggetti di sistema interni. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Impostazioni di sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Impostazioni di sistema' per le regole dei certificati sugli eseguibili per i criteri di restrizione software e i sottosistemi facoltativi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Controllo dell'account utente' per la modalità per amministratori, il comportamento della richiesta di elevazione dei privilegi e la virtualizzazione di file ed errori di scrittura del Registro di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Impostazioni di sicurezza - Criteri account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Impostazioni di sicurezza - Criteri account' per cronologia, scadenza, lunghezza e complessità delle password e per archiviare le password con la crittografia reversibile. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso account' per controllare la convalida delle credenziali e altri eventi di accesso account. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Gestione account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Gestione Account' per il controllo della gestione di applicazioni, sicurezza e gruppi di utenti e per altri eventi di gestione. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Analisi dettagliata' per il controllo di DPAPI, creazione/terminazione di processi, eventi RPC e attività PNP. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso/Disconnessione' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso/Disconnessione' per il controllo di IPSec, criteri di rete, attestazioni, blocco degli account, appartenenza a gruppi ed eventi di accesso/disconnessione. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso agli oggetti' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso agli oggetti' per il controllo di file, Registro di sistema, SAM, archiviazione, filtro, kernel e altri tipi di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Modifica dei criteri' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Modifica dei criteri' per il controllo delle modifiche apportate ai criteri di controllo del sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Uso dei privilegi' per il controllo senza distinzione maiuscole/minuscole e l'uso di altri privilegi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Sistema' per controllare driver IPsec, integrità di sistema, estensione di sistema, modifica dello stato e altri eventi di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Assegnazione diritti utente' per consentire l'accesso in locale, RDP, l'accesso dalla rete e molte altre attività utente. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Componenti di Windows' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Componenti di Windows' per autenticazione di base, traffico non crittografato, account Microsoft, telemetria, Cortana e altri comportamenti di Windows. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Proprietà Windows Firewall' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Proprietà Windows Firewall' per lo stato, le connessioni, la gestione regole e le notifiche del firewall. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.0.0 |
| I computer Windows devono avere solo account locali consentiti | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Questa definizione non è supportata in Windows Server 2012 o 2012 R2. La gestione degli account utente con Azure Active Directory è una procedura consigliata per la gestione delle identità. La riduzione degli account del computer locale consente di evitare la proliferazione delle identità gestite all'esterno di un sistema centrale. I computer non sono conformi se esistono account utente locali abilitati e non elencati nel parametro dei criteri. | AuditIfNotExists, Disabled | 2.0.0 |
| I computer Windows devono pianificare Windows Defender per eseguire un'analisi pianificata ogni giorno | Per garantire il rilevamento della richiesta di malware e ridurre al minimo l'impatto sul sistema, è consigliabile che i computer Windows con Windows Defender pianificano un'analisi giornaliera. Assicurarsi che Windows Defender sia supportato, preinstallato nel dispositivo e che vengano distribuiti i prerequisiti di Configurazione guest. Il mancato rispetto di questi requisiti può comportare risultati di valutazione non accurati. Altre informazioni sulla configurazione guest sono disponibili in https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0 |
| I computer Windows devono usare il server NTP predefinito | Configurare "time.windows.com" come server NTP predefinito per tutti i computer Windows per garantire che i log in tutti i sistemi abbiano orologi di sistema tutti sincronizzati. Questo criterio richiede che i prerequisiti di Configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Nei set di scalabilità di macchine virtuali Windows deve essere installato l'agente di Monitoraggio di Azure | I set di scalabilità di macchine virtuali Windows devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. I set di scalabilità di macchine virtuali con sistema operativo supportato e nelle aree supportate vengono monitorati per la distribuzione dell'agente di Monitoraggio di Azure. Altre informazioni: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Le macchine virtuali Windows devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e Archiviazione non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
| Nelle macchine virtuali Windows deve essere installato l'agente di Monitoraggio di Azure | Le macchine virtuali Windows devono essere monitorate e protette tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Le macchine virtuali Windows con sistema operativo supportato e nelle aree supportate vengono monitorate per la distribuzione dell'agente di Monitoraggio di Azure. Altre informazioni: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
Microsoft.VirtualMachineImages
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Microsoft.ClassicCompute
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
| Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di Endpoint Protection supportate sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| È necessario installare Endpoint Protection nei computer | Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
| L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
| I computer devono avere risultati segreti risolti | Controlla le macchine virtuali per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nelle macchine virtuali. | AuditIfNotExists, Disabled | 1.0.2 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
| Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Gli aggiornamenti di sistema devono essere installati nelle macchine | Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 4.0.0 |
| È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
| Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | Verifica le vulnerabilità nella configurazione della sicurezza nei computer in cui è installato Docker e le visualizza come raccomandazioni nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.