이 페이지는 Azure Virtual Machines 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공은 Azure Policy 기본 제공 정의 참조하세요.
각 기본 제공 정책 정의의 이름은 Azure 포털의 정책 정의에 연결됩니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리 원본을 볼 수 있습니다.
Microsoft. 계산
| Name (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [미리 보기]: 컴퓨터에서 관리 ID를 사용하도록 설정해야 합니다. | Automanage로 관리하는 리소스에는 관리 ID가 있어야 합니다. | 감사, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: 사용자가 할당한 관리 ID를 추가하여 가상 머신에서 게스트 구성 할당 사용 | 이 정책은 게스트 구성에서 지원하는 Azure 호스트되는 가상 머신에 사용자 할당 관리 ID를 추가합니다. 사용자가 할당한 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 2.1.0-preview |
| 기본 제공 사용자가 할당한 관리 ID를 만들고 할당하거나 미리 만든 사용자가 할당한 관리 ID를 가상 머신 확장 집합에 규모에 맞게 할당합니다. 자세한 설명서는 aka.ms/managedidentitypolicy를 참조하세요. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.1.0-preview | |
| 기본 제공 사용자가 할당한 관리 ID를 만들고 할당하거나 미리 만든 사용자가 할당한 관리 ID를 가상 머신에 규모에 맞게 할당합니다. 자세한 설명서는 aka.ms/managedidentitypolicy를 참조하세요. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.1.0-preview | |
| 이 정책은 Windows Server 2019, 2022 및 2025 컴퓨터(Azure VM 및 Arc 지원 머신)에서 SSH 서버 보안 구성을 감사합니다. 필수 구성 요소, 범위의 설정, 기본값 및 사용자 지정을 비롯한 자세한 내용은 다음을 참조하세요 https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | AuditIfNotExists, 사용 안 함 | 1.1.0-preview | |
| [미리 보기]: Automanage 구성 프로필 할당이 Conformant여야 함 | Automanage에서 관리하는 리소스는 Conformant 또는 ConformantCorrected 상태여야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0-preview |
| Azure Backup 사용하도록 설정하여 Managed Disks 보호합니다. Azure Backup Azure 위한 안전하고 비용 효율적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0-preview | |
| [미리 보기]: 가상 머신에서 부팅 진단을 사용하도록 설정해야 함 | Azure 가상 머신은 부팅 디그니오스틱을 사용하도록 설정해야 합니다. | 감사, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: Linux 가상 머신에 ChangeTracking 확장을 설치해야 합니다. | Linux 가상 머신에 ChangeTracking 확장을 설치하여 Azure Security Center FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사하여 공격을 나타낼 수 있는 변경 내용을 확인합니다. 확장은 Azure 모니터링 에이전트에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Windows 가상 머신에 ChangeTracking 확장을 설치해야 합니다 | Windows 가상 머신에 ChangeTracking 확장을 설치하여 Azure Security Center FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사하여 공격을 나타낼 수 있는 변경 내용을 확인합니다. 확장은 Azure 모니터링 에이전트에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 가상 머신에서 SQL 에이전트에 대한 Azure Defender 구성 | Azure Monitor 에이전트가 설치된 SQL 에이전트용 Azure Defender 자동으로 설치하도록 Windows 컴퓨터를 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 리소스 그룹을 만들고 컴퓨터와 동일한 지역에 작업 영역을 Log Analytics. 대상 가상 머신은 지원되는 위치에 있어야 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: 동일한 지역의 기존 백업 자격 증명 모음에 지정된 태그를 사용하여 Azure 디스크(Managed Disks)에 대한 백업을 구성합니다 | 중앙 백업 자격 증명 모음에 지정된 태그가 포함된 모든 Azure 디스크(Managed Disks)에 백업을 적용합니다. https://aka.ms/AB-DiskBackupAzPolicies에서 자세히 알아보세요. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: 동일한 지역의 기존 백업 자격 증명 모음에 지정된 태그 없이 Azure 디스크(Managed Disks)에 대한 백업을 구성합니다 | 중앙 백업 자격 증명 모음에 지정된 태그가 포함되지 않은 모든 Azure 디스크(Managed Disks)에 백업을 적용합니다. https://aka.ms/AB-DiskBackupAzPolicies에서 자세히 알아보세요. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.0.0-preview |
| 이 정책은 Windows Server 2019, 2022 및 2025 컴퓨터(Azure VM 및 Arc 지원 머신)에서 SSH 서버 보안 구성을 구성합니다. 필수 구성 요소, 범위의 설정, 기본값 및 사용자 지정을 비롯한 자세한 내용은 다음을 참조하세요 https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | DeployIfNotExists, 사용 안 함 | 1.1.0-preview | |
| [미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합 구성 | Azure Security Center 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. | DeployIfNotExists, 사용 안 함 | 6.1.0-preview |
| [미리 보기]: 자동으로 보안 부팅을 사용하도록 지원되는 Linux 가상 머신 구성 | 부팅 체인에 대한 악의적인 무단 변경을 완화하기 위해 보안 부팅을 자동으로 사용하도록 지원되는 Linux 가상 머신을 구성합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 5.0.0-preview |
| [미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신 구성 | Azure Security Center 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. | DeployIfNotExists, 사용 안 함 | 7.1.0-preview |
| [미리 보기]: 자동으로 vTPM을 사용하도록 지원되는 가상 머신 구성 | 측정 부팅 및 TPM이 필요한 기타 OS 보안 기능을 지원하기 위해 vTPM을 자동으로 사용하도록 지원되는 가상 머신을 구성합니다. 사용하도록 설정되면 vTPM을 사용하여 부팅 무결성을 증명할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합을 구성합니다 | Azure Security Center 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 지원되는 Windows 가상 머신 확장 집합을 구성하여 게스트 증명 확장을 자동으로 설치합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. | DeployIfNotExists, 사용 안 함 | 4.1.0-preview |
| 보안 부팅이 부팅 체인의 악의적이고 무단 변경에 대해 완화되도록 지원되는 Windows 가상 머신을 구성합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 3.0.0-preview | |
| [미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신을 구성합니다 | Azure Security Center 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. | DeployIfNotExists, 사용 안 함 | 5.1.0-preview |
| Azure Monitor 지원되고 시스템 할당 관리 ID가 없는 Azure 호스트되는 가상 머신에 시스템 할당 관리 ID를 구성합니다. 시스템 할당 관리 ID는 모든 Azure Monitor 할당의 필수 구성 요소이며 Azure Monitor 확장을 사용하기 전에 머신에 추가해야 합니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. | 수정, 사용 안 함 | 6.2.0-preview | |
| [미리 보기]: Shared Image Gallery 이미지로 만든 VM을 구성하여 게스트 증명 확장을 설치합니다 | Azure Security Center 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 Shared Image Gallery 이미지로 만든 가상 머신을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Shared Image Gallery 이미지로 만든 VMSS를 구성하여 게스트 증명 확장을 설치합니다 | Azure Security Center 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 Shared Image Gallery 이미지로 만든 VMSS를 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. | DeployIfNotExists, 사용 안 함 | 2.1.0-preview |
| Windows Server 로컬 사용자를 사용하지 않도록 구성하는 게스트 구성 할당을 만듭니다. 이렇게 하면 Windows 서버는 AAD(Azure Active Directory) 계정 또는 이 정책에서 명시적으로 허용된 사용자 목록에서만 액세스할 수 있으므로 전반적인 보안 태세가 향상됩니다. | DeployIfNotExists, 사용 안 함 | 1.3.0-preview | |
| [미리 보기]: Linux 가상 머신에 엔드포인트용 Microsoft Defender 에이전트 배포 | 해당 Linux VM 이미지에 엔드포인트용 Microsoft Defender 에이전트를 배포합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 3.0.0-preview |
| [미리 보기]: Windows 가상 머신에 엔드포인트용 Microsoft Defender 에이전트 배포 | 해당 Windows VM 이미지에 엔드포인트용 Microsoft Defender 배포합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 2.0.1-preview |
| [미리 보기]: SQL VM에 시스템 할당 ID 사용 | SQL 가상 머신에 대규모로 시스템 할당 ID를 사용하도록 설정합니다. 구독 수준에서 이 정책을 할당해야 합니다. 리소스 그룹 수준에서 할당이 예상대로 작동하지 않습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 함 | 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치하여 Azure Security Center 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Linux 가상 머신에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 6.0.0-preview |
| [미리 보기]: 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 Azure Security Center 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Linux 가상 머신 확장 집합에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 5.1.0-preview |
| [미리 보기]: 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 합니다 | 지원되는 가상 머신에 게스트 증명 확장을 설치하여 Azure Security Center 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Windows 가상 머신에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 4.0.0-preview |
| [미리 보기]: 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 합니다 | 지원되는 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 Azure Security Center 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Windows 가상 머신 확장 집합에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 3.1.0-preview |
| [미리 보기]: Linux 컴퓨터는 Docker 호스트의 Azure 보안 기준에 대한 요구 사항을 충족해야 합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Docker 호스트에 대한 Azure 보안 기준의 권장 사항 중 하나에 대해 컴퓨터가 올바르게 구성되지 않았습니다. | AuditIfNotExists, 사용 안 함 | 1.2.0-preview |
| 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 컴퓨터가 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항의 권장 사항 중 하나에 대해 올바르게 구성되지 않은 경우 컴퓨터는 비준수입니다. DISA(국방정보체계국)는 DoD(국방부)에서 요구하는 컴퓨팅 OS 보안에 대한 기술 가이드인 STIG(보안 기술 구현 가이드)를 제공합니다. 자세한 내용은 https://public.cyber.mil/stigs/를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.2.0-preview | |
| [미리 보기]: OMI가 설치된 Linux 컴퓨터에 버전 1.6.8-1 이상이 있어야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Linux용 OMI 패키지 버전 1.6.8-1에 포함된 보안 수정으로 인해 모든 컴퓨터를 최신 릴리스로 업데이트해야 합니다. OMI를 사용하는 앱/패키지를 업그레이드하여 문제를 해결합니다. 자세한 내용은 https://aka.ms/omiguidance를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.2.0-preview |
| [미리 보기]: Linux 가상 머신은 서명되고 신뢰할 수 있는 부팅 구성 요소만 사용해야 합니다. | 신뢰할 수 있는 게시자가 모든 OS 부팅 구성 요소(부트 로더, 커널, 커널 드라이버)에 서명해야 합니다. 클라우드용 Defender 하나 이상의 Linux 머신에서 신뢰할 수 없는 OS 부팅 구성 요소를 식별했습니다. 잠재적으로 악의적인 구성 요소로부터 컴퓨터를 보호하려면 허용 목록에 컴퓨터를 추가하거나 식별된 구성 요소를 제거합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: Linux 가상 머신에서 보안 부팅을 사용해야 함 | 맬웨어 기반 루트킷 및 부트킷이 설치되지 않도록 방지하려면 지원되는 Linux 가상 머신에서 보안 부팅을 사용하도록 설정합니다. 보안 부팅은 서명된 운영 체제와 드라이버만 실행할 수 있도록 합니다. 이 평가는 Azure Monitor 에이전트가 설치된 Linux 가상 머신에만 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: Linux 워크로드가 공식 CIS 보안 벤치마크를 준수해야 합니다. | 이 정책은 감사 목적으로 CIS 보안 벤치마크를 사용자 지정하고 배포하여 Azure, 온-프레미스 및 하이브리드 환경에서 Linux 워크로드에 배포하는 기능을 제공합니다. CIS 보안 벤치마크의 내용은 게시된 https://cisecurity.org벤치마크와 동등합니다. 정책은 azure-osconfig를 통해 제공됩니다. 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 컴퓨터에는 공격 벡터를 노출 시킬 수 있는 포트를 닫아야 합니다. | Azure 사용 약관은 Microsoft 서버 또는 네트워크를 손상, 비활성화, 과부하 또는 손상시킬 수 있는 방식으로 Azure 서비스를 사용하는 것을 금지합니다. 이 권장 사항에 의해 식별된 노출된 포트는 지속적인 보안을 위해 닫아야 합니다. 식별된 각 포트에 대해 권장 사항은 잠재적 위협에 대한 설명도 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: Managed Disks 영역 복원력이 있어야 합니다 | Managed Disks 영역 정렬, 영역 중복 또는 둘 다로 구성할 수 없습니다. 정확히 하나의 영역 할당이 있는 Managed Disks 영역 맞춤입니다. ZRS로 끝나는 sku 이름의 Managed Disks 영역 중복입니다. 이 정책은 Managed Disks 대한 이러한 복원력 구성을 식별하고 적용하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center는 Microsoft 종속성 에이전트를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집하여 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
| [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 합니다 | Security Center는 Microsoft 종속성 에이전트를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집하여 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
| 이 정책은 감사 목적으로 CIS 보안 벤치마크를 사용자 지정하고 배포하여 Azure, 온-프레미스 및 하이브리드 환경에서 Windows Server 배포하는 기능을 제공합니다. CIS 보안 벤치마크의 내용은 게시된 https://cisecurity.org벤치마크와 동등합니다. 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0-preview | |
| [미리 보기]: 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 합니다 | 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정하여 부팅 체인의 악의적이고 무단 변경에 대해 완화합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Windows 가상 머신에 적용됩니다. | 감사, 사용 안 함 | 4.0.0-preview |
| [미리 보기]: Virtual Machine Scale Sets 영역 복원력이 있어야 합니다 | Virtual Machine Scale Sets 영역 맞춤, 영역 중복 또는 둘 다로 구성할 수 없습니다. 영역 배열에 정확히 하나의 항목이 있는 Virtual Machine Scale Sets 영역 맞춤으로 간주됩니다. 반면, 영역 배열에 항목이 3개 이상 있고 용량이 3개 이상인 Virtual Machine Scale Sets 영역 중복으로 인식됩니다. 이 정책은 이러한 복원력 구성을 식별하고 적용하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: 가용성 영역이 2개 이상인 Virtual Machine Scale Sets 자동 AZ 리밸런싱을 사용하도록 설정해야 합니다 | 이 정책을 사용하면 영역 복원력이 있는 Virtual Machine Scale Sets 대한 자동 AZ 리밸런싱이 가능합니다. 자동 영역 재조정은 Virtual Machine Scale Sets 지역의 영역에 균등하게 분산되도록 하는 데 도움이 됩니다. | 수정, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: 가상 머신 게스트 증명 상태가 정상이어야 함 | 게스트 증명은 신뢰할 수 있는 로그(TCGLog)를 증명 서버로 전송하여 수행됩니다. 서버는 이러한 로그를 사용하여 부팅 구성 요소가 신뢰할 수 있는지 여부를 확인합니다. 이 평가는 부트킷 또는 루트킷 감염에 따른 결과일 수 있는 부팅 체인의 손상을 감지하기 위한 것입니다. 이 평가는 게스트 증명 확장이 설치된, 신뢰할 수 있는 시작 사용 가상 머신에만 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0-preview |
| Virtual Machines 영역 정렬 여부로 구성할 수 있습니다. 영역 배열에 항목이 하나만 있는 경우 영역 정렬로 간주됩니다. 이 정책은 단일 가용성 영역 내에서 작동하도록 구성됩니다. | 감사, 거부, 사용 안 함 | 1.0.0-preview | |
| [미리 보기]: 지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함 | 지원되는 가상 머신에서 가상 TPM 디바이스를 사용하도록 설정하여 TPM이 필요한 계획 부팅 및 기타 OS 보안 기능을 용이하도록 합니다. 사용하도록 설정되면 vTPM을 사용하여 부팅 무결성을 증명할 수 있습니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 가상 머신에만 적용됩니다. | 감사, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Windows 컴퓨터는 Azure 컴퓨팅에 대한 STIG 준수 요구 사항을 충족해야 합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 컴퓨터가 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항의 권장 사항 중 하나에 대해 올바르게 구성되지 않은 경우 컴퓨터는 비준수입니다. DISA(국방정보체계국)는 DoD(국방부)에서 요구하는 컴퓨팅 OS 보안에 대한 기술 가이드인 STIG(보안 기술 구현 가이드)를 제공합니다. 자세한 내용은 https://public.cyber.mil/stigs/를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0-preview |
| 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 검색합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. Azure Security Center 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center가 자동으로 도구를 배포할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | modify | 4.1.0 |
| 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | modify | 4.1.0 |
| NVA(네트워크 가상 어플라이언스) VM 및 MANA 지원을 위한 VMSS에 태그 추가 | NVA가 기존 VM 크기를 사용하는 경우 Marketplace NVA 배포에 태그를 적용합니다. 를 참조하세요 https://aka.ms/manasupportforexistingvmfamilynva. | 수정, 사용 안 함 | 1.0.0 |
| 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하지 않은 것으로 확인되었습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 허용된 가상 머신 크기 SKU | 이 정책을 통해 조직에서 배포할 수 있는 가상 머신 크기 SKU 세트를 지정할 수 있습니다. | Deny | 1.0.1 |
| SQL 가상 머신을 Windows 대규모로 시스템 할당 ID를 할당합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 | |
| 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. passwd 파일 권한이 0644로 설정되지 않은 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| 지정된 애플리케이션이 설치되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Chef InSpec 리소스에서 매개 변수에서 제공하는 하나 이상의 패키지가 설치되지 않았음을 나타내는 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 4.2.0 |
| 암호가 없는 계정이 있는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호가 없는 계정이 있는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| 지정된 애플리케이션이 설치되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 하나 이상의 패키지가 설치되었음을 Chef InSpec 리소스가 나타내는 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 4.2.0 |
| Linux에 대한 SSH 보안 상태 감사(OSConfig에서 구동) | 이 정책은 Linux 컴퓨터(Azure VM 및 Arc 지원 머신)에서 SSH 서버 보안 구성을 감사합니다. 필수 구성 요소, 범위의 설정, 기본값 및 사용자 지정을 비롯한 자세한 내용은 다음을 참조하세요. https://aka.ms/SshPostureControlOverview | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 재해 복구가 구성되지 않은 가상 머신을 감사합니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. | auditIfNotExists | 1.0.0 |
| 관리 디스크를 사용하지 않는 VM 감사 | 이 정책은 관리 디스크를 사용하지 않는 VM을 감사 | audit | 1.0.0 |
| 관리자 그룹에서 지정된 멤버가 누락된 Windows 머신을 처리합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 로컬 관리자 그룹에 정책 매개 변수에 나열된 구성원이 하나 이상 포함되어 있지 않은 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| Windows 컴퓨터 네트워크 연결 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. IP 및 TCP 포트에 대한 네트워크 연결 상태가 정책 매개 변수와 일치하지 않는 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| DSC 구성이 규정을 준수하지 않는 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows PowerShell 명령 Get-DSCConfigurationStatus 컴퓨터의 DSC 구성이 규정을 준수하지 않는 경우 컴퓨터는 비준수입니다. | auditIfNotExists | 3.0.0 |
| Log Analytics 에이전트가 예상대로 연결되지 않은 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 에이전트가 설치되지 않았거나 설치되었지만 정책 매개 변수에 지정된 ID 이외의 작업 영역에 등록된 COM 개체 AgentConfigManager.MgmtSvcCfg가 반환되는 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows PowerShell 명령 Get-Service 결과에 정책 매개 변수에 지정된 일치 상태의 서비스 이름이 포함되지 않은 경우 컴퓨터는 비준수입니다. | auditIfNotExists | 3.0.0 | |
| Windows 직렬 콘솔이 사용하도록 설정되지 않은 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 머신에 직렬 콘솔 소프트웨어가 설치되어 있지 않거나 EMS 포트 번호 또는 전송 속도가 정책 매개 변수와 동일한 값으로 구성되지 않은 경우 머신은 비규격입니다. | auditIfNotExists | 3.0.0 |
| 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 컴퓨터의 경우 컴퓨터가 비준수입니다. 고유 암호의 기본값은 24입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 지정된 도메인에 조인되지 않은 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. WMI 클래스 win32_computersystem의 도메인 속성 값이 정책 매개 변수의 값과 일치하지 않는 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 지정된 표준 시간대로 설정되지 않은 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. WMI 클래스 Win32_TimeZone의 StandardName 속성 값이 정책 매개 변수의 선택한 표준 시간대와 일치하지 않는 경우 머신은 비규격입니다. | auditIfNotExists | 4.0.0 |
| 지정된 일 수 내에 만료되는 인증서를 포함하는 Windows 머신을 처리합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 지정된 저장소에 있는 인증서의 만료 날짜가 매개 변수로 지정된 일 수에 대한 범위를 벗어나는 경우 머신은 비규격입니다. 또한 이 정책은 특정 인증서를 확인하거나 특정 인증서를 제외하는 옵션 및 만료된 인증서를 보고할지 여부를 제공합니다. | auditIfNotExists | 2.0.0 |
| 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 머신의 신뢰할 수 있는 루트 인증서 저장소(Cert:\LocalMachine\Root)에 정책 매개 변수에 나열된 인증서 중 하나 이상이 포함되어 있지 않으면 머신은 비규격입니다. | auditIfNotExists | 3.0.0 | |
| 지정된 일 수로 설정된 최대 암호 사용 기간이 없는 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 컴퓨터의 경우 컴퓨터는 비준수입니다. 최대 암호 사용 기간의 기본값은 70일입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 지정된 일 수로 설정된 최소 암호 기간이 없는 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 컴퓨터의 경우 컴퓨터가 비준수입니다. 최소 암호 사용 기간의 기본값은 1일입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 암호 복잡성 설정이 활성화되지 않은 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 복잡성 설정이 사용하도록 설정되지 않은 Windows 컴퓨터의 경우 컴퓨터가 비준수입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 지정된 Windows PowerShell 실행 정책이 없는 Windows 머신을 처리합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows PowerShell 명령 Get-ExecutionPolicy 정책 매개 변수에서 선택한 값 이외의 값을 반환하는 경우 컴퓨터는 비준수입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 지정된 Windows PowerShell 모듈이 설치되지 않은 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 환경 변수 PSModulePath에 지정된 위치에서 모듈을 사용할 수 없는 경우 머신은 비준수입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 최소 암호 길이를 지정된 문자 수로 제한하지 않는 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 최소 암호 길이를 지정된 문자 수로 제한하지 않는 Windows 컴퓨터의 경우 컴퓨터가 비준수입니다. 최소 암호 길이에 대한 기본값은 14자입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 되돌릴 수 있는 암호화를 사용하여 암호를 저장하지 않는 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 되돌릴 수 있는 암호화를 사용하여 암호를 저장하지 않는 Windows 컴퓨터의 경우 컴퓨터가 비준수입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 지정된 애플리케이션이 설치되지 않은 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ 레지스트리 경로에서 애플리케이션 이름을 찾을 수 없는 경우 컴퓨터는 비준수입니다. CurrentVersion\제거. | auditIfNotExists | 2.0.0 |
| Administrators 그룹에 추가 계정이 있는 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 로컬 관리자 그룹에 정책 매개 변수에 나열되지 않은 구성원이 포함된 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 지정된 일 수 내에 다시 시작되지 않은 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 클래스 Win32_Operatingsystem의 LastBootUpTime WMI 속성이 정책 매개 변수에서 제공하는 일 범위를 벗어나는 경우 머신이 비규격입니다. | auditIfNotExists | 2.0.0 |
| 지정된 애플리케이션이 설치된 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 애플리케이션 이름이 HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ 레지스트리 경로에 있으면 컴퓨터가 비준수입니다. CurrentVersion\제거. | auditIfNotExists | 2.0.0 |
| Administrators 그룹에 지정된 멤버가 있는 Windows 머신을 감사합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 로컬 관리자 그룹에 정책 매개 변수에 나열된 구성원이 하나 이상 포함된 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 재부팅 보류 중인 VM Windows 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 컴퓨터가 다시 부팅 보류 중인 경우 구성 요소 기반 서비스, Windows 업데이트, 보류 중인 파일 이름 바꾸기, 보류 중인 컴퓨터 이름 바꾸기, 다시 부팅 보류 중인 구성 관리자 등의 이유로 컴퓨터가 비준수입니다. 각 검색에는 고유한 레지스트리 경로가 있습니다. | auditIfNotExists | 2.0.0 |
| Linux 머신에 대한 인증에 SSH 키가 필요함 | SSH 자체에서 암호화된 연결을 제공하지만 SSH와 함께 암호를 사용하면 VM은 여전히 무차별 암호 대입 공격에 취약합니다. SSH를 통해 Azure Linux 가상 머신에 인증하는 가장 안전한 옵션은 SSH 키라고도 하는 퍼블릭-프라이빗 키 쌍을 사용하는 것입니다. https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.2.0 |
| Azure Backup 사용하도록 설정하여 Azure Virtual Machines 보호합니다. Azure Backup Azure 위한 안전하고 비용 효율적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Linux 가상 머신 확장 집합에 ChangeTracking 확장을 설치해야 합니다. | Linux 가상 머신 확장 집합에 ChangeTracking 확장을 설치하여 Azure Security Center FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사하여 공격을 나타낼 수 있는 변경 내용을 확인합니다. 확장은 Azure 모니터링 에이전트에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| Windows 가상 머신 확장 집합에ChangeTracking 확장을 설치해야 합니다 | Windows 가상 머신 확장 집합에 ChangeTracking Extension을 설치하여 Azure Security Center FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사하여 공격을 나타낼 수 있는 변경 내용을 확인합니다. 확장은 Azure 모니터링 에이전트에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| Cloud Services(추가 지원) 역할 인스턴스는 안전하게 구성되어야 함 | OS 취약점이 노출되지 않는지 확인하여 공격으로부터 Cloud Service(추가 지원) 역할 인스턴스를 보호합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Cloud Services(추가 지원) 역할 인스턴스에 시스템 업데이트가 설치되어 있어야 함 | 최신 보안 및 중요 업데이트가 설치되어 있는지 확인하여 Cloud Service(추가 지원) 역할 인스턴스를 보호합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 서버용 Azure Defender 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 범위(구독 또는 리소스 그룹)의 모든 리소스(VM, VMSS 및 ARC Machines)에 대한 서버 계획 Defender 사용하지 않도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 | |
| 선택한 태그를 사용하여 리소스(리소스 수준)에 대해 서버의 Azure Defender 구성하지 않도록 설정합니다 | 서버용 Azure Defender 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 태그 이름 및 태그 값이 있는 모든 리소스(VM, VMSS 및 ARC Machines)에 대해 서버용 Defender 계획을 사용하지 않도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 선택한 태그를 사용하여 모든 리소스(리소스 수준)에 대해 서버를 사용하도록 설정('P1' 하위 계획)할 Azure Defender 구성합니다 | 서버용 Azure Defender 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 태그 이름 및 태그 값이 있는 모든 리소스(VM 및 ARC Machines)에 대해 서버 계획('P1' 하위 계획 포함)에 대한 Defender 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 서버용 Azure Defender 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 범위(구독 또는 리소스 그룹)의 모든 리소스(VM 및 ARC 컴퓨터)에 대해 서버 계획('P1' 하위 계획 포함)에 대한 Defender 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 | |
| 기본 정책을 사용하여 새 Recovery Services 자격 증명 모음에 대해 지정된 태그가 있는 가상 머신의 백업 구성 | 가상 머신과 동일한 위치 및 리소스 그룹에 복구 서비스 자격 증명 모음을 배포하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 조직의 여러 애플리케이션 팀에 별도의 리소스 그룹이 할당되고 자체 백업 및 복원을 관리해야 하는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 포함할 수 있습니다. https://aka.ms/AzureVMAppCentricBackupIncludeTag을(를) 참조하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 9.5.0 |
| 동일한 위치에 있는 기존 Recovery Services 자격 증명 모음에 대해 지정된 태그가 있는 가상 머신의 백업 구성 | 가상 머신과 동일한 위치 및 구독에 있는 기존 중앙 복구 서비스 자격 증명 모음에 백업하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 구독의 모든 리소스에 대한 백업을 관리하는 조직 내의 중앙 팀이 있는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 포함할 수 있습니다. https://aka.ms/AzureVMCentralBackupIncludeTag을(를) 참조하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 9.5.0 |
| 기본 정책을 사용하여 새 Recovery Services 자격 증명 모음에 대해 제공된 태그가 없는 가상 머신의 백업 구성 | 가상 머신과 동일한 위치 및 리소스 그룹에 복구 서비스 자격 증명 모음을 배포하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 조직의 여러 애플리케이션 팀에 별도의 리소스 그룹이 할당되고 자체 백업 및 복원을 관리해야 하는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 제외할 수 있습니다. https://aka.ms/AzureVMAppCentricBackupExcludeTag을(를) 참조하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 9.5.0 |
| 동일한 위치에 있는 기존 Recovery Services 자격 증명 모음에 대해 지정된 태그가 없는 가상 머신의 백업 구성 | 가상 머신과 동일한 위치 및 구독에 있는 기존 중앙 복구 서비스 자격 증명 모음에 백업하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 구독의 모든 리소스에 대한 백업을 관리하는 조직 내의 중앙 팀이 있는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 제외할 수 있습니다. https://aka.ms/AzureVMCentralBackupExcludeTag을(를) 참조하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 9.5.0 |
| Linux 가상 머신 확장 집합에 대한 ChangeTracking 확장 구성 | Azure Security Center FIM(파일 무결성 모니터링)을 사용하도록 ChangeTracking 확장을 자동으로 설치하도록 Linux 가상 머신 확장 집합을 구성합니다. FIM은 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사하여 공격을 나타낼 수 있는 변경 내용을 확인합니다. 확장은 Azure Monitor 에이전트에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.1.0 |
| Linux 가상 머신에 대한 ChangeTracking 확장 구성 | Azure Security Center FIM(파일 무결성 모니터링)을 사용하도록 ChangeTracking 확장을 자동으로 설치하도록 Linux 가상 머신을 구성합니다. FIM은 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사하여 공격을 나타낼 수 있는 변경 내용을 확인합니다. 확장은 Azure Monitor 에이전트에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.2.0 |
| Windows 가상 머신 확장 집합에 대한 ChangeTracking 확장 구성 | Azure Security Center FIM(파일 무결성 모니터링)을 사용하도록 ChangeTracking Extension을 자동으로 설치하도록 Windows 가상 머신 확장 집합을 구성합니다. FIM은 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사하여 공격을 나타낼 수 있는 변경 내용을 확인합니다. 확장은 Azure Monitor 에이전트에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.1.0 |
| Windows 가상 머신에 대한 ChangeTracking 확장 구성 | Azure Security Center FIM(파일 무결성 모니터링)을 사용하도록 ChangeTracking 확장을 자동으로 설치하도록 Windows 가상 머신을 구성합니다. FIM은 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사하여 공격을 나타낼 수 있는 변경 내용을 확인합니다. 확장은 Azure Monitor 에이전트에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.2.0 |
| 재해 복구 구성이 없는 가상 머신은 중단 및 기타 중단에 취약합니다. 가상 머신에 재해 복구가 아직 구성되지 않은 경우에는 미리 설정된 구성을 사용하여 복제를 사용하도록 설정해 비즈니스 연속성을 촉진함으로써 동일한 작업을 시작합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 포함/제외할 수 있습니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. | DeployIfNotExists, 사용 안 함 | 2.1.1 | |
| 프라이빗 엔드포인트를 사용하여 디스크 액세스 리소스 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결합니다. 프라이빗 엔드포인트를 디스크 액세스 리소스에 매핑하면 데이터 누출 위험을 줄일 수 있습니다. https://aka.ms/disksprivatelinksdoc에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Linux 머신 구성 | 연결을 배포하여 Linux Virtual Machines, 가상 머신 확장 집합 및 Arc 컴퓨터를 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 6.8.0 |
| 로컬 사용자를 사용하지 않도록 Linux Server를 구성합니다. | 게스트 구성 할당을 만들어 Linux 서버에서 로컬 사용자를 사용하지 않도록 설정을 구성합니다. 이렇게 하면 Linux 서버는 AAD(Azure Active Directory) 계정 또는 이 정책에서 명시적으로 허용된 사용자 목록에서만 액세스할 수 있으므로 전반적인 보안 태세가 향상됩니다. | DeployIfNotExists, 사용 안 함 | 1.4.0-preview |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결할 Linux Virtual Machine Scale Sets 구성 | 연결을 배포하여 Linux 가상 머신 확장 집합을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 4.7.0 |
| 시스템 할당 관리 ID 기반 인증을 사용하여 Azure Monitor 에이전트를 실행하도록 Linux 가상 머신 확장 집합 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux 가상 머신 확장 집합에서 Azure Monitor 에이전트 확장의 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 3.10.0 |
| 사용자 할당 관리 ID 기반 인증을 사용하여 Azure Monitor 에이전트를 실행하도록 Linux 가상 머신 확장 집합 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux 가상 머신 확장 집합에서 Azure Monitor 에이전트 확장의 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 3.11.0 |
| 변경 추적 및 인벤토리에 대한 데이터 수집 규칙과 연결할 Linux Virtual Machines 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux 가상 머신을 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결할 Linux Virtual Machines 구성 | Linux 가상 머신을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결하기 위해 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 4.7.0 |
| 시스템 할당 관리 ID 기반 인증을 사용하여 Azure Monitor 에이전트를 실행하도록 Linux 가상 머신 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux 가상 머신에서 Azure Monitor 에이전트 확장의 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 3.10.0 |
| 사용자 할당 관리 ID 기반 인증을 사용하여 Azure Monitor 에이전트를 실행하도록 Linux 가상 머신 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux 가상 머신에서 Azure Monitor 에이전트 확장의 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 3.14.0 |
| 사용자 할당 관리 ID를 사용하여 ChangeTracking 및 인벤토리용 AMA를 설치하도록 Linux VM 구성 | ChangeTracking 및 인벤토리를 사용하도록 설정하기 위해 Linux 가상 머신에서 Azure Monitor 에이전트 확장의 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.7.0 |
| ChangeTracking 및 인벤토리에 대한 데이터 수집 규칙과 연결되도록 Linux VMSS 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux 가상 머신 확장 집합을 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 사용자 할당 관리 ID를 사용하여 ChangeTracking 및 인벤토리용 AMA를 설치하도록 Linux VMSS 구성 | ChangeTracking 및 인벤토리를 사용하도록 설정하기 위해 Linux 가상 머신 확장 집합에 Azure Monitor 에이전트 확장의 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.5.0 |
| 취약성 평가 공급자를 받도록 컴퓨터 구성 | Azure Defender 추가 비용 없이 머신에 대한 취약성 검사를 포함합니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 Security Center 내에서 원활하게 처리됩니다. 이 정책을 사용하도록 설정하면 Azure Defender Qualys 취약성 평가 공급자를 아직 설치하지 않은 지원되는 모든 컴퓨터에 자동으로 배포합니다. | DeployIfNotExists, 사용 안 함 | 4.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 관리 디스크 구성 | 공용 인터넷을 통해 액세스할 수 없도록 관리 디스크에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/disksprivatelinksdoc에서 자세히 알아보세요. | 수정, 사용 안 함 | 2.0.0 |
| Azure 가상 머신에서 누락된 시스템 업데이트에 대한 정기 검사 구성 | 네이티브 Azure 가상 머신에서 OS 업데이트에 대한 자동 평가(24시간마다)를 구성합니다. 컴퓨터 구독, 리소스 그룹, 위치 또는 태그에 따라 할당 범위를 제어할 수 있습니다. linux용 https://aka.ms/computevm-windowspatchassessmentmode,: https://aka.ms/computevm-linuxpatchassessmentmode Windows 대해 자세히 알아보세요. | modify | 4.10.0 |
| Windows 머신에서 보안 통신 프로토콜(TLS 1.1 또는 TLS 1.2)을 구성합니다 | Windows 컴퓨터에서 지정된 보안 프로토콜 버전(TLS 1.1 또는 TLS 1.2)을 구성하는 게스트 구성 할당을 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| Azure Monitor 에이전트를 자동으로 설치하도록 SQL Virtual Machines 구성합니다 | Windows SQL Virtual Machines Azure Monitor 에이전트 확장의 배포를 자동화합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.6.0 |
| SQL Virtual Machines 구성하여 SQL용 Microsoft Defender 자동으로 설치합니다 | SQL 확장용 Microsoft Defender 자동으로 설치하도록 Windows SQL Virtual Machines 구성합니다. SQL용 Microsoft Defender 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. | DeployIfNotExists, 사용 안 함 | 1.6.0 |
| LOG ANALYTICS 작업 영역이 있는 SQL 및 DCR용 Microsoft Defender 자동으로 설치하도록 SQL Virtual Machines 구성 | SQL용 Microsoft Defender 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 리소스 그룹, 데이터 수집 규칙 및 Log Analytics 작업 영역을 머신과 동일한 지역에 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.9.0 |
| 사용자 정의 LA 작업 영역을 사용하여 SQL 및 DCR용 Microsoft Defender 자동으로 설치하도록 SQL Virtual Machines 구성합니다 | SQL용 Microsoft Defender 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 사용자 정의 Log Analytics 작업 영역과 동일한 지역에 리소스 그룹 및 데이터 수집 규칙을 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.10.0 |
| SQL 확장용 Microsoft Defender 자동으로 설치하도록 SQL Virtual Machines 구성합니다 | SQL 확장용 Microsoft Defender 자동으로 설치하도록 Windows SQL Virtual Machines 구성합니다. SQL용 Microsoft Defender 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Linux용 SSH 보안 상태 구성(OSConfig에서 구동) | 이 정책은 Linux 머신(Azure VM 및 Arc 지원 머신)에서 SSH 서버 보안 구성을 감사하고 구성합니다. 필수 구성 요소, 범위의 설정, 기본값 및 사용자 지정을 비롯한 자세한 내용은 다음을 참조하세요. https://aka.ms/SshPostureControlOverview | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 이 정책은 게스트 구성 할당을 만들어 Windows 가상 머신에서 지정된 표준 시간대를 설정합니다. | deployIfNotExists | 3.1.0 | |
| Azure Automanage Azure 대한 Microsoft 클라우드 채택 프레임워크 정의된 모범 사례를 사용하여 가상 머신을 등록, 구성 및 모니터링합니다. 이 정책을 사용하여 선택한 범위에 자동 관리를 적용합니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 2.4.0 | |
| 사용자 지정 구성 프로필을 사용하여 Azure Automanage 온보딩할 가상 머신 구성 | Azure Automanage Azure 대한 Microsoft 클라우드 채택 프레임워크 정의된 모범 사례를 사용하여 가상 머신을 등록, 구성 및 모니터링합니다. 이 정책을 사용하여 고유한 사용자 지정 구성 프로필이 있는 Automanage를 선택한 범위에 적용합니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.4.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결할 Windows 컴퓨터 구성 | 연결을 배포하여 Windows 가상 머신, 가상 머신 확장 집합 및 Arc 머신을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 4.8.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결할 Windows Virtual Machine Scale Sets 구성 | 연결을 배포하여 Windows 가상 머신 확장 집합을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 3.7.0 |
| Windows 가상 머신 확장 집합을 구성하여 시스템 할당 관리 ID를 사용하여 Azure Monitor 에이전트를 실행합니다 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows 가상 머신 확장 집합에서 Azure Monitor 에이전트 확장의 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 3.7.0 |
| 사용자 할당 관리 ID 기반 인증을 사용하여 Azure Monitor 에이전트를 실행하도록 Windows 가상 머신 확장 집합 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows 가상 머신 확장 집합에서 Azure Monitor 에이전트 확장의 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.9.0 |
| ChangeTracking 및 인벤토리에 대한 데이터 수집 규칙과 연결할 Windows Virtual Machines 구성 | 연결을 배포하여 Windows 가상 머신을 지정된 데이터 수집 규칙에 연결하여 ChangeTracking 및 인벤토리를 사용하도록 설정합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 1.3.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결할 Windows Virtual Machines 구성 | 연결을 배포하여 Windows 가상 머신을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 3.6.0 |
| 시스템 할당 관리 ID를 사용하여 Azure Monitor 에이전트를 실행하도록 Windows 가상 머신 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows 가상 머신에서 Azure Monitor 에이전트 확장의 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 4.7.0 |
| 사용자 할당 관리 ID 기반 인증을 사용하여 Azure Monitor 에이전트를 실행하도록 Windows 가상 머신 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows 가상 머신에서 Azure Monitor 에이전트 확장의 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.9.0 |
| 사용자 할당 관리 ID를 사용하여 ChangeTracking 및 인벤토리용 AMA를 설치하도록 Windows VM 구성 | ChangeTracking 및 인벤토리를 사용하도록 설정하기 위해 Windows 가상 머신에서 Azure Monitor 에이전트 확장의 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.4.0 |
| ChangeTracking 및 인벤토리에 대한 데이터 수집 규칙과 연결할 VMSS를 Windows 구성 | 연결을 배포하여 Windows 가상 머신 확장 집합을 지정된 데이터 수집 규칙에 연결하여 ChangeTracking 및 인벤토리를 사용하도록 설정합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| Windows VMSS를 구성하여 사용자가 할당한 관리 ID를 사용하여 ChangeTracking 및 인벤토리용 AMA를 설치합니다 | Windows 가상 머신 확장 집합에서 Azure Monitor 에이전트 확장의 배포를 자동화하여 ChangeTracking 및 인벤토리를 사용하도록 설정합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.3.0 |
| 기본 제공된 사용자 할당 관리 ID 만들기 및 할당 | 기본 제공 사용자 할당 관리 ID를 만들고 SQL 가상 머신에 대규모로 할당합니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.8.0 |
| 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 가상 머신을 비준수로 보고합니다. OS 이미지 목록은 향후 지원이 업데이트됨에 따라 업데이트됩니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 가상 머신 확장 집합을 비준수로 보고합니다. OS 이미지 목록은 향후 지원이 업데이트됨에 따라 업데이트됩니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| Deploy - Windows 가상 머신 확장 집합에서 사용하도록 종속성 에이전트 구성 | 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Windows 가상 머신 확장 집합에 대한 종속성 에이전트를 배포합니다. 확장 집합 upgradePolicy를 수동으로 설정한 경우 해당 확장 기능을 업데이트하여 집합의 모든 가상 머신에 적용해야 합니다. | DeployIfNotExists, 사용 안 함 | 3.3.0 |
| Deploy - Windows 가상 머신에서 종속성 에이전트를 사용하도록 구성합니다 | 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Windows 가상 머신에 대한 종속성 에이전트를 배포합니다. | DeployIfNotExists, 사용 안 함 | 3.3.0 |
| 이 정책은 VM이 맬웨어 방지 확장으로 구성되지 않은 경우 기본 구성을 사용하여 Microsoft IaaSAntimalware 확장을 배포합니다. | deployIfNotExists | 1.1.0 | |
| Linux 가상 머신 확장 집합용 Dependency Agent 배포 | VM 이미지(OS)가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Linux 가상 머신 확장 집합용 Dependency Agent를 배포합니다. 참고: 확장 집합 upgradePolicy를 수동으로 설정한 경우 이에 대한 업그레이드를 호출하여 집합의 모든 가상 머신에 확장을 적용해야 합니다. CLI에서는 az vmss update-instances입니다. | deployIfNotExists | 5.1.0 |
| Azure 모니터링 에이전트 설정을 사용하여 Linux 가상 머신 확장 집합에 대한 종속성 에이전트 배포 | VM 이미지(OS)가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Azure 모니터링 에이전트 설정을 사용하여 Linux 가상 머신 확장 집합에 대한 종속성 에이전트를 배포합니다. 참고: 확장 집합 upgradePolicy를 수동으로 설정한 경우 이에 대한 업그레이드를 호출하여 집합의 모든 가상 머신에 확장을 적용해야 합니다. CLI에서는 az vmss update-instances입니다. | DeployIfNotExists, 사용 안 함 | 3.2.0 |
| Linux 가상 머신용 종속성 에이전트 배포 | VM 이미지(OS)가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Linux 가상 머신용 종속성 에이전트를 배포합니다. | deployIfNotExists | 5.1.0 |
| Azure 모니터링 에이전트 설정을 사용하여 Linux 가상 머신에 대한 종속성 에이전트 배포 | VM 이미지(OS)가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Azure 모니터링 에이전트 설정을 사용하여 Linux 가상 머신용 종속성 에이전트를 배포합니다. | DeployIfNotExists, 사용 안 함 | 3.2.0 |
| Azure 모니터링 에이전트 설정을 사용하여 Windows 가상 머신 확장 집합에서 종속성 에이전트를 배포합니다 | 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Azure 모니터링 에이전트 설정을 사용하여 Windows 가상 머신 확장 집합에 대한 종속성 에이전트를 배포합니다. 확장 집합 upgradePolicy를 수동으로 설정한 경우 해당 확장 기능을 업데이트하여 집합의 모든 가상 머신에 적용해야 합니다. | DeployIfNotExists, 사용 안 함 | 1.4.0 |
| Azure 모니터링 에이전트 설정을 사용하여 Windows 가상 머신에서 종속성 에이전트를 배포합니다 | 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Azure 모니터링 에이전트 설정을 사용하여 Windows 가상 머신에 대한 종속성 에이전트를 배포합니다. | DeployIfNotExists, 사용 안 함 | 1.4.0 |
| Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원하는 Azure 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 3.2.0 |
| 이 정책은 게스트 구성에서 지원하는 Azure 호스트되는 가상 머신을 Windows Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 구성 요소이며 Windows 게스트 구성 정책 정의를 사용하기 전에 컴퓨터에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.3.0 | |
| 디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | Azure Private Link 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 diskAccesses에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/disksprivatelinksdoc에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 디스크 및 OS 이미지는 TrustedLaunch를 지원해야 함 | TrustedLaunch는 이를 지원하기 위해 OS 디스크 및 OS 이미지가 필요한 가상 머신의 보안을 개선합니다(Gen 2). TrustedLaunch에 대해 자세히 알아보려면 https://aka.ms/trustedlaunch를 참조하세요. | 감사, 사용 안 함 | 1.0.0 |
| 머신에 게스트 구성 확장을 설치해야 함 | 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다.'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 핫패치로 다시 부팅을 최소화하고 업데이트를 빠르게 설치합니다. https://docs.microsoft.com/azure/automanage/automanage-hotpatch에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 | |
| 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Linux 머신은 Azure 컴퓨팅 보안 기준에 대한 요구 사항을 충족해야 합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 컴퓨터가 Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 대해 올바르게 구성되지 않은 경우 컴퓨터는 비준수입니다. | AuditIfNotExists, 사용 안 함 | 2.3.1 |
| Linux 머신에는 허용되는 로컬 계정만 있어야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure Active Directory 사용하여 사용자 계정을 관리하는 것은 ID 관리를 위한 모범 사례입니다. 로컬 머신 계정을 줄이면 중앙 시스템 외부에서 관리되는 ID의 확산을 방지할 수 있습니다. 정책 매개 변수에 나열되지 않고 사용하도록 설정된 로컬 사용자 계정이 있는 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.2.0 |
| Linux 가상 머신 확장 집합에는 Azure Monitor 에이전트가 설치되어 있어야 합니다 | Linux 가상 머신 확장 집합은 배포된 Azure Monitor 에이전트를 통해 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 이 정책은 지원되는 지역에서 지원되는 OS 이미지가 있는 가상 머신 확장 집합에 대한 감사를 수행합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.6.0 |
| 가상 머신의 OS 및 데이터 디스크는 기본적으로 플랫폼 관리형 키를 사용하여 저장 시 암호화됩니다. 리소스 디스크(임시 디스크), 데이터 캐시, 컴퓨팅 리소스와 스토리지 리소스 사이의 데이터 흐름은 암호화되지 않습니다. Azure Disk Encryption 또는 EncryptionAtHost를 사용하여 수정합니다. 암호화 제품을 비교하려면 https://aka.ms/diskencryptioncomparison을 방문하세요. 이 정책을 사용하려면 정책 할당 범위에 두 가지 필수 구성 요소를 배포해야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.2.1 | |
| Linux 가상 머신에는 Azure Monitor 에이전트가 설치되어 있어야 합니다 | Linux 가상 머신은 배포된 Azure Monitor 에이전트를 통해 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 이 정책은 지원되는 지역에서 지원되는 OS 이미지가 있는 가상 머신에 대한 감사를 수행합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.6.0 |
| Linux 머신에서 로컬 인증 방법을 사용하지 않도록 설정해야 합니다. | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Linux 서버에서 로컬 인증 방법을 사용하지 않도록 설정하지 않은 경우 컴퓨터는 호환되지 않습니다. 이는 Linux 서버가 AAD(Azure Active Directory) 계정 또는 이 정책에서 명시적으로 허용된 사용자 목록을 통해서만 액세스할 수 있는지 유효성을 검사하여 전반적인 보안 태세를 개선하는 것입니다. | AuditIfNotExists, 사용 안 함 | 1.2.0-preview |
| 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 서버에 로컬 인증 방법을 사용하지 않도록 설정한 경우 컴퓨터가 비준수입니다. 이는 Windows 서버가 AAD(Azure Active Directory) 계정 또는 이 정책에서 명시적으로 허용된 사용자 목록을 통해서만 액세스할 수 있는지 유효성을 검사하여 전반적인 보안 태세를 개선하는 것입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0-preview | |
| Log Analytics 에이전트는 Cloud Services(추가 지원) 역할 인스턴스에 설치해야 합니다 | Security Center는 Cloud Services(추가 지원) 역할 인스턴스에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 누락된 시스템 업데이트가 있는지 주기적으로 확인하도록 컴퓨터를 구성해야 함 | 누락된 시스템 업데이트에 대한 정기 평가가 24시간마다 자동으로 트리거되도록 하려면 AssessmentMode 속성을 'AutomaticByPlatform'으로 설정해야 합니다. linux용 https://aka.ms/computevm-windowspatchassessmentmode,: https://aka.ms/computevm-linuxpatchassessmentmode Windows AssessmentMode 속성에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 3.9.0 |
| 머신에서 발견한 비밀을 해결해야 합니다. | 가상 머신을 감사하여 가상 머신의 비밀 검사 솔루션에서 발견된 비밀이 포함되어 있는지 여부를 검색합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| 관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 | 특정 암호화 알고리즘, 구현 또는 손상되는 키와 연결된 위험에 관해 우려하는 높은 수준의 보안을 중요시하는 고객은 플랫폼 관리형 암호화 키를 사용하는 인프라 계층에서 다른 암호화 알고리즘/모드를 사용하는 추가적인 암호화 계층을 선택할 수 있습니다. 이중 암호화를 사용하려면 디스크 암호화 집합이 필요합니다. https://aka.ms/disks-doubleEncryption에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 관리 디스크는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 관리 디스크가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 관리 디스크의 노출을 제한할 수 있습니다. https://aka.ms/disksprivatelinksdoc에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 관리 디스크는 고객 관리형 키 암호화에 대해 디스크 암호화 집합의 특정 세트를 사용해야 함 | 특정 디스크 암호화 집합 세트를 관리 디스크와 함께 사용하도록 설정하면 미사용 암호화에 사용되는 키를 제어할 수 있습니다. 허용되는 암호화된 집합을 선택할 수 있으며 다른 모든 항목은 디스크에 연결될 때 거부됩니다. https://aka.ms/disks-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 2.0.0 |
| 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just-In-Time) 액세스는 권장 사항으로 Azure Security Center 의해 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신에서 관리 포트를 닫아야 합니다. | 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Microsoft Azure 맬웨어 방지는 보호 서명을 자동으로 업데이트하도록 구성해야 합니다 | 이 정책은 Microsoft 맬웨어 방지 보호 서명의 자동 업데이트로 구성되지 않은 Windows 가상 머신을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Microsoft IaaSAntimalware 확장은 Windows 서버에 배포해야 합니다 | 이 정책은 Microsoft IaaSAntimalware 확장을 배포하지 않고 Windows 서버 VM을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 승인된 VM 확장만 설치해야 함 | 이 정책은 승인되지 않은 가상 머신 확장을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| OS 및 데이터 디스크는 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 관리 디스크 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 미사용 데이터는 플랫폼 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/disks-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 3.0.0 |
| 게스트 구성 할당에 프라이빗 엔드포인트를 사용해야 함 | 프라이빗 엔드포인트 연결은 가상 머신에 대한 게스트 구성에 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 'EnablePrivateNetworkGC' 태그가 있는 경우를 제외하고는 가상 머신은 호환되지 않습니다. 이 태그는 Virtual Machines 대한 게스트 구성에 대한 프라이빗 연결을 통해 보안 통신을 적용합니다. 프라이빗 연결은 알려진 네트워크에서만 들어오는 트래픽에 대한 액세스를 제한하고 Azure 내를 포함하여 다른 모든 IP 주소의 액세스를 차단합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 디스크 또는 스냅샷을 내보내거나 업로드할 때 인증을 요구하여 데이터를 보호합니다. | 내보내기/업로드 URL을 사용하는 경우 시스템은 사용자가 Azure Active Directory ID를 가지고 있고 데이터를 내보내거나 업로드하는 데 필요한 권한이 있는지 확인합니다. aka.ms/DisksAzureADAuth를 참조하세요. | 수정, 사용 안 함 | 1.0.0 |
| 이 정책은 Virtual Machine Scale Sets 자동 OS 이미지 패치를 사용하도록 설정하여 매월 최신 보안 패치를 안전하게 적용하여 항상 Virtual Machines 안전하게 유지합니다. | deny | 1.0.0 | |
| Azure Azure 업데이트 관리자 사용하여 Azure 온-프레미스 환경 및 Azure Arc 지원 서버를 사용하여 연결된 다른 클라우드 환경에서 Windows Server 및 Linux 머신에 대한 운영 체제 업데이트를 설치하는 되풀이 배포 일정을 저장할 수 있습니다. 또한 이 정책은 Azure Virtual Machine의 패치 모드를 'AutomaticByPlatform'으로 변경합니다. 자세히 보기: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, 사용 안 함 | 3.14.0 | |
| 이 정책은 패치 오케스트레이션을 '고객 관리형 일정'으로 구성하여 Azure 업데이트 관리자 되풀이 업데이트를 예약하는 데 필요한 필수 구성 요소를 설정합니다. 이 변경은 패치 모드를 자동으로 'AutomaticByPlatform'으로 설정하고 Azure VM에서 'BypassPlatformSafetyChecksOnUserSchedule'을 'True'로 설정합니다. Arc 지원 서버에는 필수 구성 요소가 적용되지 않습니다. 자세한 정보 - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, 사용 안 함 | 1.3.0 | |
| 컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함 | SQL 취약성 평가는 데이터베이스를 검사하여 보안 취약성을 찾아내고, 구성 오류, 과도한 권한, 보호되지 않는 중요한 데이터 등과 같이 모범 사례를 따르지 않는 부분을 공개합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 컴퓨터에 시스템 업데이트를 설치해야 함(업데이트 센터에서 제공) | 머신에 누락된 시스템, 보안 및 중요 업데이트가 있습니다. 소프트웨어 업데이트에는 보안 허점을 메우기 위한 중요한 패치가 포함된 경우가 많습니다. 이러한 허점은 맬웨어 공격에 자주 악용되므로 소프트웨어를 업데이트된 상태로 유지하는 것이 중요합니다. 미적용 패치를 모두 설치하고 머신을 보호하려면 수정 단계를 수행합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| Linux 가상 머신 확장 집합에 레거시 Log Analytics 확장을 설치하면 안 됩니다 | 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Linux 가상 머신 확장 집합에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA | 거부, 감사, 사용 안 함 | 1.0.0 |
| Linux 가상 머신에 레거시 Log Analytics 확장을 설치하면 안 됩니다 | 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Linux 가상 머신에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA | 거부, 감사, 사용 안 함 | 1.0.0 |
| 가상 머신 확장 집합에 레거시 Log Analytics 확장을 설치하면 안 됩니다 | 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Windows 가상 머신 확장 집합에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA | 거부, 감사, 사용 안 함 | 1.0.0 |
| 레거시 Log Analytics 확장은 가상 머신에 설치해서는 안 됩니다 | 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Windows 가상 머신에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA | 거부, 감사, 사용 안 함 | 1.0.0 |
| 가상 머신에는 TrustedLaunch가 사용하도록 설정되어 있어야 함 | 보안 강화를 위해 가상 머신에서 TrustedLaunch를 사용하도록 설정하고 TrustedLaunch를 지원하는 VM SKU(Gen 2)를 사용합니다. TrustedLaunch에 대해 자세히 알아보려면 https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch를 참조하세요. | 감사, 사용 안 함 | 1.0.0 |
| 가상 머신 및 가상 머신 확장 집합에서는 호스트에서 암호화를 사용하도록 설정해야 함 | 호스트에서 암호화를 사용하여 가상 머신 및 가상 머신 확장 집합 데이터에 대한 엔드투엔트 암호화를 가져옵니다. 호스트에서 암호화를 사용하면 임시 디스크 및 OS/데이터 디스크 캐시에 대해 미사용 데이터를 암호화할 수 있습니다. 임시 및 사용 후 삭제 OS 디스크는 호스트에서 암호화가 활성화될 때 플랫폼 관리형 키로 암호화됩니다. OS/데이터 디스크 캐시는 디스크에서 선택한 암호화 유형에 따라 고객 관리형 키 또는 플랫폼 관리형 키를 사용하여 미사용 데이터를 암호화합니다. https://aka.ms/vm-hbe에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 가상 머신에 대한 새로운 Azure Resource Manager 사용하여 더 강력한 RBAC(액세스 제어), 더 나은 감사, Azure Resource Manager 기반 배포 및 거버넌스, 관리 ID에 대한 액세스, 비밀용 키 자격 증명 모음에 대한 액세스 등의 보안 향상 기능을 제공합니다. Azure 더 쉬운 보안 관리를 위해 태그 및 리소스 그룹에 대한 AD 기반 인증 및 지원 | 감사, 거부, 사용 안 함 | 1.0.0 | |
| 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 이 정책 범위의 Azure 가상 머신은 게스트 구성 확장이 설치되어 있지만 시스템 할당 관리 ID가 없는 경우 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| Windows Defender 컴퓨터에서 Exploit Guard를 사용하도록 설정해야 합니다 | Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에 일반적으로 사용되는 동작을 차단하도록 설계된 네 가지 구성 요소가 있으며, 기업은 보안 위험 및 생산성 요구 사항(Windows만)의 균형을 맞출 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists, 사용 안 함 | 4.1.1 | |
| Windows 머신은 1일 이내에 보호 서명을 업데이트하도록 Windows Defender 구성해야 합니다 | 새로 릴리스된 맬웨어에 대해 적절한 보호를 제공하려면 새로 릴리스된 맬웨어를 고려하여 Windows Defender 보호 서명을 정기적으로 업데이트해야 합니다. 이 정책은 Arc 연결 서버에는 적용되지 않으며 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| Windows 머신은 Windows Defender 실시간 보호를 사용하도록 설정해야 합니다 | Windows 컴퓨터는 새로 릴리스된 맬웨어에 대해 적절한 보호를 제공하기 위해 Windows Defender 실시간 보호를 사용하도록 설정해야 합니다. 이 정책은 Arc 연결 서버에는 적용되지 않으며 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| Windows 머신에는 입력 개인 설정 및 잠금 화면 사용 방지를 위해 '관리 템플릿 - 제어판' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 자동 로그온, 화면 보호기, 네트워크 동작, 안전한 DLL 및 이벤트 로그에 대한 '관리 템플릿 - MSS(레거시)' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 머신에는 게스트 로그온, 동시 연결, 네트워크 브리지, ICS 및 멀티캐스트 이름 확인에 대한 '관리 템플릿 - 네트워크' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 관리 환경 및 원격 지원을 제어하는 설정에 대해 '관리 템플릿 - 시스템' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 빈 암호 및 게스트 계정 상태의 로컬 계정 사용을 제한하기 위해 '보안 옵션 - 계정' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 감사 정책 하위 범주를 강제 적용하고 보안 감사를 기록할 수 없는 경우 종료하기 위해 '보안 옵션 - 감사' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 로그온하지 않고 도킹 해제, 인쇄 드라이버 설치 및 미디어 서식 지정/배출을 위해 '보안 옵션 - 디바이스' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 성을 표시하고 ctrl-alt-del을 요구하기 위해 '보안 옵션 - 대화형 로그온' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 Microsoft 네트워크 클라이언트/서버 및 SMB v1에 대한 '보안 옵션 - Microsoft 네트워크 클라이언트' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 SMB v1 서버를 사용하지 않도록 설정하기 위해 '보안 옵션 - Microsoft 네트워크 서버' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 익명 사용자, 로컬 계정 및 레지스트리에 대한 원격 액세스를 포함하기 위해 '보안 옵션 - 네트워크 액세스' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 머신에는 로컬 시스템 동작, PKU2U, LAN 관리자, LDAP 클라이언트 및 NTLM SSP를 포함하는 '보안 옵션 - 네트워크 보안' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 플로피 복사 및 모든 드라이브 및 폴더에 대한 액세스를 허용하기 위해 '보안 옵션 - 복구 콘솔' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 로그온하지 않고 종료를 허용하고 가상 메모리 페이지 파일을 지우기 위해 '보안 옵션 - 종료' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 비 Windows 하위 시스템에 대한 대/소문자 구분 및 내부 시스템 개체의 사용 권한에 대한 '보안 옵션 - 시스템 개체' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 SRP 및 선택적 하위 시스템의 실행 파일에 대한 인증서 규칙에 대한 '보안 옵션 - 시스템 설정' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터는 관리자 모드, 권한 상승 프롬프트 동작 및 파일 및 레지스트리 쓰기 실패 가상화에 대한 '보안 옵션 - 사용자 계정 컨트롤' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 머신에는 암호 기록, 나이, 길이, 복잡성 및 되돌릴 수 있는 암호화를 사용하여 암호 저장에 대한 '보안 설정 - 계정 정책' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 머신에는 자격 증명 유효성 검사 및 기타 계정 로그온 이벤트를 감사하기 위해 '시스템 감사 정책 - 계정 로그온' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 머신에는 감사 애플리케이션, 보안 및 사용자 그룹 관리 및 기타 관리 이벤트에 대한 '시스템 감사 정책 - 계정 관리' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 DPAPI 감사, 프로세스 생성/종료, RPC 이벤트 및 PNP 작업에 대한 '시스템 감사 정책 - 자세한 추적' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터는 IPSec, 네트워크 정책, 클레임, 계정 잠금, 그룹 멤버 자격 및 로그온/로그오프 이벤트를 감사하기 위해 '시스템 감사 정책 - 로그온-로그오프' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 감사 파일, 레지스트리, SAM, 스토리지, 필터링, 커널 및 기타 시스템 유형에 대한 '시스템 감사 정책 - 개체 액세스' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 시스템 감사 정책의 변경 내용을 감사하기 위한 '시스템 감사 정책 - 정책 변경' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 머신에는 민감하지 않은 및 기타 권한 사용을 감사하기 위해 '시스템 감사 정책 - 권한 사용' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 머신에는 IPsec 드라이버, 시스템 무결성, 시스템 확장, 상태 변경 및 기타 시스템 이벤트를 감사하기 위한 '시스템 감사 정책 - 시스템' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 머신에는 로컬 로그온, RDP, 네트워크에서의 액세스 및 기타 많은 사용자 활동을 허용하기 위한 '사용자 권한 할당' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 기본 인증, 암호화되지 않은 트래픽, Microsoft 계정, 원격 분석, Cortana 및 기타 Windows 동작에 대해 'Windows 구성 요소' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터에는 방화벽 상태, 연결, 규칙 관리 및 알림에 대한 'Windows 방화벽 속성' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 | |
| Windows 컴퓨터는 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 컴퓨터가 Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 대해 올바르게 구성되지 않은 경우 컴퓨터는 비준수입니다. | AuditIfNotExists, 사용 안 함 | 2.1.1 |
| Windows 머신에는 허용되는 로컬 계정만 있어야 합니다 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 이 정의는 Windows Server 2012 또는 2012 R2에서 지원되지 않습니다. Azure Active Directory 사용하여 사용자 계정을 관리하는 것은 ID 관리를 위한 모범 사례입니다. 로컬 머신 계정을 줄이면 중앙 시스템 외부에서 관리되는 ID의 확산을 방지할 수 있습니다. 정책 매개 변수에 나열되지 않고 사용하도록 설정된 로컬 사용자 계정이 있는 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Windows 가상 머신 확장 집합에는 Azure Monitor 에이전트가 설치되어 있어야 합니다 | Windows 가상 머신 확장 집합은 배포된 Azure Monitor 에이전트를 통해 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 지원되는 OS 및 지원되는 지역에서 가상 머신 확장 집합은 Azure Monitor 에이전트 배포에 대해 모니터링됩니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.5.0 |
| 가상 머신의 OS 및 데이터 디스크는 기본적으로 플랫폼 관리형 키를 사용하여 저장 시 암호화됩니다. 리소스 디스크(임시 디스크), 데이터 캐시, 컴퓨팅 리소스와 스토리지 리소스 사이의 데이터 흐름은 암호화되지 않습니다. Azure Disk Encryption 또는 EncryptionAtHost를 사용하여 수정합니다. 암호화 제품을 비교하려면 https://aka.ms/diskencryptioncomparison을 방문하세요. 이 정책을 사용하려면 정책 할당 범위에 두 가지 필수 구성 요소를 배포해야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.1.1 | |
| Windows 가상 머신에는 Azure Monitor 에이전트가 설치되어 있어야 합니다 | Windows 가상 머신은 배포된 Azure Monitor 에이전트를 통해 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 지원되는 OS 및 지원되는 지역에서 Windows 가상 머신은 Azure Monitor 에이전트 배포에 대해 모니터링됩니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.5.0 |
Microsoft. VirtualMachineImages
| Name (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| VM Image Builder 템플릿은 프라이빗 링크를 사용해야 함 | Azure Private Link 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 VM Image Builder에 매핑하여 리소스를 구성하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.1.0 |
Microsoft. ClassicCompute
| Name (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 검색합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. Azure Security Center 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center가 자동으로 도구를 배포할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하지 않은 것으로 확인되었습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 재해 복구가 구성되지 않은 가상 머신을 감사합니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. | auditIfNotExists | 1.0.0 |
| 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 머신에서 발견한 비밀을 해결해야 합니다. | 가상 머신을 감사하여 가상 머신의 비밀 검사 솔루션에서 발견된 비밀이 포함되어 있는지 여부를 검색합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| 가상 머신에서 관리 포트를 닫아야 합니다. | 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신에 대한 새로운 Azure Resource Manager 사용하여 더 강력한 RBAC(액세스 제어), 더 나은 감사, Azure Resource Manager 기반 배포 및 거버넌스, 관리 ID에 대한 액세스, 비밀용 키 자격 증명 모음에 대한 액세스 등의 보안 향상 기능을 제공합니다. Azure 더 쉬운 보안 관리를 위해 태그 및 리소스 그룹에 대한 AD 기반 인증 및 지원 | 감사, 거부, 사용 안 함 | 1.0.0 |
다음 단계
- Azure Policy GitHub 리포지토리 기본 제공을 참조하세요.
- Azure Policy 정의 구조 검토합니다.
- 정책 효과 이해를 검토합니다.