Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze pagina is een index van Azure Policy ingebouwde beleidsdefinities voor Azure Arc servers. Zie Azure Policy ingebouwde definities voor aanvullende Azure Policy ingebouwde Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie is gekoppeld aan de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Version om de bron in de Azure Policy GitHub-opslagplaats weer te geven.
servers met Azure Arc
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Preview]: Er moet een beheerde identiteit zijn ingeschakeld op uw computers | Resources die worden beheerd door Automanage moeten een beheerde identiteit hebben. | Audit, uitgeschakeld | 1.0.0-preview |
| [preview]: SSH-beveiligingspostuur controleren voor Windows | Dit beleid controleert de beveiligingsconfiguratie van de SSH-server op Windows Server 2019-, 2022- en 2025-machines (Azure-VM's en machines met Arc). Zie voor meer informatie, waaronder vereisten, instellingen in bereik, standaardinstellingen en aanpassingen https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | AuditIfNotExists, uitgeschakeld | 1.1.0-preview |
| [preview]: controleer Windows machines waarvoor Windows Recovery Environment (WinRE) niet is ingeschakeld | Controleert Windows machines om te controleren of de Windows Recovery Environment (WinRE) is ingeschakeld | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Toewijzing van automatisch beheerprofiel moet conform zijn | Resources die worden beheerd door Automanage moeten de status Conformant of ConformantCorrected hebben. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw Linux Arc-computer | Installeer de ChangeTracking-extensie op Linux Arc-machines om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw Windows Arc-machine | Installeer de ChangeTracking-extensie op Windows Arc-machines om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: SSH-beveiligingspostuur configureren voor Windows | Met dit beleid configureert u de SSH-serverbeveiligingsconfiguratie op Windows Server 2019-, 2022- en 2025-machines (Azure VM's en machines met Arc). Zie voor meer informatie, waaronder vereisten, instellingen in bereik, standaardinstellingen en aanpassingen https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | DeployIfNotExists, uitgeschakeld | 1.1.0-preview |
| [preview]: Windows Recovery Environment (WinRE) configureren op Windows machines | Hiermee maakt u een toewijzing van een gastenconfiguratie om de Windows Recovery Environment (WinRE) op Windows machines in te schakelen. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| Hiermee maakt u een toewijzing van een gastenconfiguratie om lokale gebruikers op Windows Server uit te schakelen. Dit zorgt ervoor dat Windows Servers alleen toegankelijk zijn voor een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor de algehele beveiligingspostuur wordt verbeterd. | DeployIfNotExists, uitgeschakeld | 1.3.0-preview | |
| [Preview]: Uitgebreide beveiligingsupdates (EES's) licentie maken of wijzigen weigeren. | Met dit beleid kunt u het maken of wijzigen van ESU-licenties voor Windows Server 2012 Arc-machines beperken. Ga naar voor meer informatie over prijzen https://aka.ms/ArcWS2012ESUPricing | Weigeren, uitgeschakeld | 1.0.0-preview |
| [preview]: implementeer Microsoft Defender voor Eindpunt agent op hybride Linux-machines | Implementeert Microsoft Defender voor Eindpunt-agent op hybride Linux-machines | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.1-preview |
| [preview]: Microsoft Defender voor Eindpunt-agent implementeren op Windows Azure Arc machines | Implementeert Microsoft Defender voor Eindpunt op Windows Azure Arc machines. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.1-preview |
| [preview]: schakel de licentie voor uitgebreide beveiligingsupdates (EES's) in om Windows 2012-machines beveiligd te houden nadat de levenscyclus van de ondersteuning is beëindigd. | Schakel de licentie voor uitgebreide beveiligingsupdates (ESU's) in om Windows 2012-machines te beschermen, zelfs nadat hun ondersteuningslevenscyclus is beëindigd. Meer informatie over het voorbereiden van uitgebreide beveiligingsupdates voor Windows Server 2012 via AzureArc, ga naar https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Ga naar voor meer informatie over prijzen https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: uitgebreide beveiligingsupdates moeten worden geïnstalleerd op Windows Server 2012 Arc-machines. | Windows Server 2012 Arc-machines moeten alle uitgebreide beveiligingsupdates hebben geïnstalleerd die zijn uitgebracht door Microsoft. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: Linux-machines moeten voldoen aan de vereisten voor de Azure beveiligingsbasislijn voor Docker-hosts | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. De computer is niet juist geconfigureerd voor een van de aanbevelingen in de Azure beveiligingsbasislijn voor Docker-hosts. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [preview]: Linux-machines moeten voldoen aan de STIG-nalevingsvereisten voor Azure compute | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de STIG-nalevingsvereiste voor Azure compute. DISA (Defense Information Systems Agency) biedt technische handleidingen STIG (Security Technical Implementation Guide) voor het beveiligen van het rekenbesturingssystemen zoals vereist door Department of Defense (DoD). Voor meer informatie. https://public.cyber.mil/stigs/ | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Linux-machines waarop OMI is geïnstalleerd, moeten versie 1.6.8-1 of hoger hebben | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Vanwege een beveiligingsoplossing die is opgenomen in versie 1.6.8-1 van het OMI-pakket voor Linux, moeten alle computers worden bijgewerkt naar de nieuwste versie. Upgrade apps/pakketten die GEBRUIKMAKEN van OMI om het probleem op te lossen. Zie https://aka.ms/omiguidance voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Linux-workloads moeten voldoen aan de officiële CIS Security Benchmark | Dit beleid biedt u de mogelijkheid om CIS Security Benchmarks aan te passen en te implementeren voor controledoeleinden voor uw Linux-workloads in Azure, on-premises en hybride omgevingen. De inhoud van de CIS Security Benchmarks is in pariteit met de benchmarks gepubliceerd op https://cisecurity.org. Het beleid wordt mogelijk gemaakt door azure-osconfig. Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: Nexus Compute Machines moeten voldoen aan de beveiligingsbasislijn | Maakt gebruik van de Azure Policy-agent voor gastconfiguratie voor controle. Dit beleid zorgt ervoor dat machines voldoen aan de Nexus-beveiligingsbasislijn voor compute, met verschillende aanbevelingen die zijn ontworpen om machines te versterken tegen een reeks beveiligingsproblemen en onveilige configuraties (alleen Linux). | AuditIfNotExists, uitgeschakeld | 1.1.0-preview |
| [preview]: officiële CIS Security-benchmarks voor Windows Server | Dit beleid biedt u de mogelijkheid om CIS Security Benchmarks aan te passen en te implementeren voor controledoeleinden voor uw Windows Server in Azure, on-premises en hybride omgevingen. De inhoud van de CIS Security Benchmarks is in pariteit met de benchmarks gepubliceerd op https://cisecurity.org. Vereist dat vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: Windows machines moeten voldoen aan de STIG-nalevingsvereisten voor Azure compute | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in STIG-nalevingsvereisten voor Azure compute. DISA (Defense Information Systems Agency) biedt technische handleidingen STIG (Security Technical Implementation Guide) voor het beveiligen van het rekenbesturingssystemen zoals vereist door Department of Defense (DoD). Voor meer informatie. https://public.cyber.mil/stigs/ | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarop de opgegeven toepassingen niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de resource Chef InSpec aangeeft dat een of meer van de pakketten van de parameter niet zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 4.2.0 |
| Linux-machines controleren met accounts zonder wachtwoorden | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoorden | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarop de opgegeven toepassingen zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de resource Chef InSpec aangeeft dat een of meer van de pakketten van de parameter zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 4.2.0 |
| SSH-beveiligingspostuur controleren voor Linux (mogelijk gemaakt door OSConfig) | Dit beleid controleert de SSH-serverbeveiligingsconfiguratie op Linux-machines (Azure VM's en machines met Arc). Zie voor meer informatie, waaronder vereisten, instellingen in bereik, standaardinstellingen en aanpassingen https://aka.ms/SshPostureControlOverview | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Audit Windows machines waarop een van de opgegeven leden in de groep Administrators ontbreken | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators niet een of meer leden bevat die worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Audit Windows machines netwerkconnectiviteit | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als een netwerkverbindingstatus met een IP- en TCP-poort niet overeenkomt met de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Audit Windows machines waarop de DSC-configuratie niet compatibel is | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de Windows PowerShell-opdracht Get-DSCConfigurationStatus retourneert dat de DSC-configuratie voor de machine niet compatibel is. | auditIfNotExists | 3.0.0 |
| Audit Windows machines waarop de Log Analytics-agent niet is verbonden zoals verwacht | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de agent niet is geïnstalleerd, of als deze wel is geïnstalleerd, maar door het COM-object AgentConfigManager.MgmtSvcCfg wordt geretourneerd dat deze is geregistreerd bij een andere werkruimte dan de id die is opgegeven in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Audit Windows machines waarop de opgegeven services niet zijn geïnstalleerd en 'Actief' | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als het resultaat van de Windows PowerShell-opdracht Get-Service geen servicenaam met overeenkomende status opneemt zoals opgegeven door de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Audit Windows machines waarop Windows seriële console niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als op de machine geen Seriële consolesoftware is geïnstalleerd of als het EMS-poortnummer of de baudrate niet zijn geconfigureerd met dezelfde waarden als de beleidsparameters. | auditIfNotExists | 3.0.0 |
| Audit Windows machines die het opnieuw gebruik van de wachtwoorden toestaan na het opgegeven aantal unieke wachtwoorden | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows machines die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan. De standaardwaarde voor unieke wachtwoorden is 24 | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Audit Windows machines die niet zijn gekoppeld aan het opgegeven domein | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de waarde van de domeineigenschap in de WMI-klasse win32_computersystem niet overeenkomt met de waarde in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Audit Windows machines die niet zijn ingesteld op de opgegeven tijdzone | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de waarde van het kenmerk StandardName in de WMI-klasse Win32_TimeZone niet overeenkomt met de geselecteerde tijdszone van de beleidsparameter. | auditIfNotExists | 4.0.0 |
| Audit Windows machines die certificaten bevatten die binnen het opgegeven aantal dagen verlopen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als certificaten in de opgegeven opslag een verloopdatum hebben die buiten het bereik van het aantal dagen in de parameter vallen. Het beleid biedt ook de optie om alleen te controleren op specifieke certificaten of om specifieke certificaten uit te sluiten, en of er moet worden gerapporteerd over verlopen certificaten. | auditIfNotExists | 2.0.0 |
| Audit Windows machines die niet de opgegeven certificaten bevatten in vertrouwde basis | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als het certificaatarchief in de Vertrouwde hoofdmap van de machine (CERT:\LocalMachine\Root) niet één of meer certificaten bevat die zijn opgegeven in de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Audit Windows machines waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows machines waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de maximale wachtwoordduur is 70 dagen | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Audit Windows machines waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows machines waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de minimale wachtwoordduur is 1 dag | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Audit Windows machines waarvoor de instelling wachtwoordcomplexiteit niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows machines waarvoor de instelling wachtwoordcomplexiteit niet is ingeschakeld | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Audit Windows machines waarvoor het opgegeven powerShell-uitvoeringsbeleid niet is Windows opgegeven | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de Windows PowerShell-opdracht Get-ExecutionPolicy een andere waarde retourneert dan de waarde die is geselecteerd in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Audit Windows machines waarop de opgegeven Windows PowerShell-modules niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als er geen module beschikbaar is op een locatie die is opgegeven via de omgevingsvariabele PSModulePath. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Audit Windows machines die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als Windows machines die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens. De standaardwaarde voor de minimale wachtwoordlengte is 14 tekens | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Audit Windows machines die geen wachtwoorden opslaan met omkeerbare versleuteling | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows machines die geen wachtwoorden opslaan met omkeerbare versleuteling | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Audit Windows machines waarop de opgegeven toepassingen niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de toepassingsnaam niet wordt gevonden in een van de volgende registerpaden: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows machines met extra accounts in de groep Administrators | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators leden bevat die niet worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Audit Windows machines die niet binnen het opgegeven aantal dagen opnieuw zijn opgestart | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als het WMI-kenmerk LastBootUpTime in klasse Win32_Operatingsystem buiten het bereik van de opgegeven dagen in de beleidsparameter valt. | auditIfNotExists | 2.0.0 |
| Audit Windows machines waarop de opgegeven toepassingen zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de toepassingsnaam wordt gevonden in een van de volgende registerpaden: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows machines met de opgegeven leden in de groep Administrators | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators een of meer leden bevat die worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Audit Windows VM's waarvoor opnieuw opstarten in behandeling is | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als het opnieuw opstarten van de computer in behandeling is om een van de volgende redenen: onderhoud op basis van onderdelen, Windows Update, hernoemen van bestanden in behandeling, naam van computer in behandeling, configuratiebeheer in behandeling opnieuw opstarten. Elke detectie heeft een uniek registerpad. | auditIfNotExists | 2.0.0 |
| Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist | Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een Azure virtuele Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| Azure Arc Private Link Bereiken moeten worden geconfigureerd met een privé-eindpunt | Azure Private Link kunt u uw virtuele netwerken verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te staan aan Azure Arc Private Link Bereiken, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Audit, uitgeschakeld | 1.0.0 |
| Azure Arc Private Link Bereiken moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat Azure Arc resources geen verbinding kunnen maken via het openbare internet. Het maken van privé-eindpunten kan de blootstelling van Azure Arc resources beperken. Zie voor meer informatie: https://aka.ms/arc/privatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Arc servers moeten worden geconfigureerd met een Azure Arc Private Link Bereik | Azure Private Link kunt u uw virtuele netwerken verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door servers met Azure Arc-functionaliteit toe te staan aan een Azure Arc Private Link Bereik dat is geconfigureerd met een privé-eindpunt, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Schakel de evaluatie van best practices voor SQL-procedures in of uit op de SQL Server-exemplaren op uw servers met Arc om best practices te evalueren. Meer informatie op https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, uitgeschakeld | 1.0.1 | |
| Sql-servers met Arc configureren om automatisch Azure Monitor Agent te installeren | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Windows SQL-servers met Arc. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| Sql-servers met Arc configureren om automatisch Microsoft Defender te installeren voor SQL | Configureer Windows SQL-servers met Arc om de Microsoft Defender voor SQL-agent automatisch te installeren. Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Sql-servers met Arc configureren om automatisch Microsoft Defender voor SQL en DCR te installeren met een Log Analytics werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep, een regel voor gegevensverzameling en Log Analytics werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.6.0 |
| Sql-servers met Arc configureren om automatisch Microsoft Defender voor SQL en DCR te installeren met een door de gebruiker gedefinieerde LA-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en een regel voor gegevensverzameling in dezelfde regio als de door de gebruiker gedefinieerde Log Analytics werkruimte. | DeployIfNotExists, uitgeschakeld | 1.8.0 |
| Sql-servers met arc configureren met gegevensverzamelingsregelkoppeling voor Microsoft Defender voor SQL DCR | Configureer de koppeling tussen SQL-servers met Arc en de Microsoft Defender voor SQL DCR. Als u deze koppeling verwijdert, wordt de detectie van beveiligingsproblemen voor sql-servers met Arc verbroken. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Sql-servers met arc configureren met gegevensverzamelingsregelkoppeling voor Microsoft Defender voor door de gebruiker gedefinieerde SQL DCR | Configureer de koppeling tussen SQL-servers met Arc en de Microsoft Defender voor door de gebruiker gedefinieerde SQL DCR. Als u deze koppeling verwijdert, wordt de detectie van beveiligingsproblemen voor sql-servers met Arc verbroken. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| Configure Azure Arc Private Link Scopes to disable public network access | Schakel openbare netwerktoegang voor uw Azure Arc Private Link Bereik uit, zodat gekoppelde Azure Arc resources geen verbinding kunnen maken met Azure Arc services via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/arc/privatelink. | Wijzigen, uitgeschakeld | 1.0.0 |
| Configuratie van Azure Arc Private Link bereiken met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te Azure Arc Private Link Bereiken, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Configure Azure Arc-enabled Servers to enable automatic upgrades | Met de functie Automatische upgrade kunnen servers bijgewerkt blijven zonder actie van de gebruiker nadat deze zich heeft aangemeld. Dit beleid zorgt ervoor dat Azure Arc servers zijn geconfigureerd voor automatische upgrades. | Wijzigen, uitgeschakeld | 1.0.0 |
| Configuratie van servers met Azure Arc ingeschakeld voor het gebruik van een Azure Arc Private Link Bereik | Azure Private Link kunt u uw virtuele netwerken verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door servers met Azure Arc-functionaliteit toe te staan aan een Azure Arc Private Link Bereik dat is geconfigureerd met een privé-eindpunt, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Wijzigen, uitgeschakeld | 1.0.0 |
| Configuratie Azure Defender voor servers uitgeschakeld voor alle resources (resourceniveau) | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender voor servers uitgeschakeld voor alle resources (VM's, VMSS's en ARC-machines) in het geselecteerde bereik (abonnement of resourcegroep). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureer Azure Defender voor servers die moeten worden uitgeschakeld voor resources (resourceniveau) met de geselecteerde tag | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender voor Servers uitgeschakeld voor alle resources (VM's, VMSS's en ARC-machines) met de geselecteerde tagnaam en tagwaarde(s). | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Configureer Azure Defender voor servers die moeten worden ingeschakeld (subplan P1) voor alle resources (resourceniveau) met de geselecteerde tag | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender voor Servers-plan (met het subplan P1) ingeschakeld voor alle resources (VM's en ARC-machines) met de geselecteerde tagnaam en tagwaarde(s). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configuratie Azure Defender configureren voor servers die moeten worden ingeschakeld (met subplan P1) voor alle resources (resourceniveau) | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender voor Servers-plan (met het subplan P1) ingeschakeld voor alle resources (VM's en ARC-machines) in het geselecteerde bereik (abonnement of resourcegroep). | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| ChangeTracking-extensie configureren voor Linux Arc-machines | Configureer Linux Arc-machines om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitor Agent. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Configure ChangeTracking Extension for Windows Arc machines | Configureer Windows Arc-machines om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitor Agent. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Agent voor afhankelijkheden configureren op Azure Arc ingeschakelde Linux-servers | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via servers met Arc door de vm-extensie van de afhankelijkheidsagent te installeren. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gedetecteerde gegevens over processen die worden uitgevoerd op de computer en afhankelijkheden van externe processen. Zie meer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Configure Dependency Agent on Azure Arc enabled Linux servers with Azure Monitoring Agent settings | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via servers met Arc door de vm-extensie van de afhankelijkheidsagent te installeren met Azure Instellingen voor bewakingsagent. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gedetecteerde gegevens over processen die worden uitgevoerd op de computer en afhankelijkheden van externe processen. Zie meer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Configure Dependency Agent on Azure Arc enabled Windows servers | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via servers met Arc door de vm-extensie van de afhankelijkheidsagent te installeren. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gedetecteerde gegevens over processen die worden uitgevoerd op de computer en afhankelijkheden van externe processen. Zie meer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Configure Dependency Agent on Azure Arc enabled Windows servers with Azure Monitoring Agent settings | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via servers met Arc door de vm-extensie van de afhankelijkheidsagent te installeren met Azure Instellingen voor bewakingsagent. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gedetecteerde gegevens over processen die worden uitgevoerd op de computer en afhankelijkheden van externe processen. Zie meer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Linux Arc-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om Linux Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties wordt na verloop van tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 2.2.1 |
| Linux Arc-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om linux Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties wordt na verloop van tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Configure Linux Arc-machines uitvoeren Azure Monitor Agent | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Linux Arc-machines voor het verzamelen van telemetriegegevens van het gastbesturingssysteem. Met dit beleid wordt de extensie geïnstalleerd als de regio wordt ondersteund. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 2.4.0 |
| Linux Arc-machines configureren om AMA te installeren voor ChangeTracking en Inventory | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Linux Arc-machines voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd als de regio wordt ondersteund. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.4.0 |
| Linux-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om virtuele Linux-machines, virtuele-machineschaalsets en Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 6.8.0 |
| Configureer Linux Server om lokale gebruikers uit te schakelen. | Hiermee maakt u een toewijzing van een gastenconfiguratie om het uitschakelen van lokale gebruikers op Linux Server te configureren. Dit zorgt ervoor dat Linux-servers alleen toegankelijk zijn voor een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor de algehele beveiligingsstatus wordt verbeterd. | DeployIfNotExists, uitgeschakeld | 1.4.0-preview |
| Machines configureren voor het ontvangen van een provider voor evaluatie van beveiligingsproblemen | Azure Defender omvat het scannen van beveiligingsproblemen op uw machines zonder extra kosten. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center. Wanneer u dit beleid inschakelt, implementeert Azure Defender automatisch de Qualys-provider voor evaluatie van beveiligingsproblemen op alle ondersteunde computers waarop het beleid nog niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 4.0.0 |
| Periodieke controle configureren voor ontbrekende systeemupdates op servers met Azure Arc | Configureer automatische evaluatie (elke 24 uur) voor updates van het besturingssysteem op Azure Arc servers. U kunt het toewijzingsbereik beheren op basis van het machineabonnement, de resourcegroep, de locatie of de tag. Meer informatie hierover vindt u voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.3.0 |
| Veilige communicatieprotocollen (TLS 1.1 of TLS 1.2) configureren op Windows machines | Hiermee maakt u een toewijzing van een gastenconfiguratie voor het configureren van de opgegeven versie van het beveiligde protocol (TLS 1.1 of TLS 1.2) op Windows computer. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| SSH-beveiligingspostuur configureren voor Linux (mogelijk gemaakt door OSConfig) | Dit beleid controleert en configureert de SSH-serverbeveiligingsconfiguratie op Linux-machines (Azure VM's en machines met Arc). Zie voor meer informatie, waaronder vereisten, instellingen in bereik, standaardinstellingen en aanpassingen https://aka.ms/SshPostureControlOverview | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Configure the Microsoft Defender for SQL Log Analytics workspace | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en Log Analytics werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.5.0 |
| Tijdzone configureren op Windows machines. | Met dit beleid maakt u een toewijzing van een gastconfiguratie om de opgegeven tijdzone in te stellen op Windows virtuele machines. | deployIfNotExists | 3.1.0 |
| Virtuele machines configureren voor onboarding naar Azure Automanage | Azure Automanage virtuele machines registreert, configureert en bewaakt met aanbevolen procedures zoals gedefinieerd in de Microsoft-Cloud Adoption Framework voor Azure. Gebruik dit beleid om Automanage op uw geselecteerde bereik toe te passen. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 2.4.0 |
| Virtuele machines configureren voor onboarding naar Azure Automanage met aangepast configuratieprofiel | Azure Automanage virtuele machines registreert, configureert en bewaakt met aanbevolen procedures zoals gedefinieerd in de Microsoft-Cloud Adoption Framework voor Azure. Gebruik dit beleid om Automanage toe te passen met uw eigen aangepaste configuratieprofiel op uw geselecteerde bereik. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.4.0 |
| Configureer Windows Arc-machines die zijn gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om Windows Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties wordt na verloop van tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 2.4.0 |
| Configure Windows Machines met Arc configureren die zijn gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om Windows machines met Arc te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties wordt na verloop van tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Configure Windows Arc-machines configureren voor het installeren van AMA voor ChangeTracking en Inventory | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Windows Machines met Arc voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Configure Windows Arc-machines uitvoeren Azure Monitor Agent | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Windows Machines met Arc voor het verzamelen van telemetriegegevens van het gastbesturingssysteem. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 2.6.0 |
| Configure Windows Machines worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om Windows virtuele machines, virtuele-machineschaalsets en Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 4.8.0 |
| Linux Arc-machines moeten Azure Monitor Agent hebben geïnstalleerd | Linux Arc-machines moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor Agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Met dit beleid worden machines met Arc in ondersteunde regio's gecontroleerd. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
| Linux-machines moeten voldoen aan de vereisten voor de Azure rekenbeveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet correct is geconfigureerd voor een van de aanbevelingen in de Azure rekenbeveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.3.1 |
| Linux-machines mogen alleen lokale accounts hebben die zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Het beheren van gebruikersaccounts met behulp van Azure Active Directory is een best practice voor het beheer van identiteiten. Het verminderen van lokale computeraccounts helpt de verspreiding van identiteiten die buiten een centraal systeem worden beheerd, te voorkomen. Machines zijn niet-compatibel als lokale gebruikersaccounts bestaan die zijn ingeschakeld en niet worden vermeld in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 2.2.0 |
| Lokale verificatiemethoden moeten worden uitgeschakeld op Linux-machines | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als linux-servers geen lokale verificatiemethoden hebben uitgeschakeld. Dit is om te controleren of Linux-servers alleen toegankelijk zijn voor een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor de algehele beveiligingsstatus wordt verbeterd. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| Lokale verificatiemethoden moeten worden uitgeschakeld op Windows Servers | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als Windows servers geen lokale verificatiemethoden hebben uitgeschakeld. Dit is om te controleren of Windows Servers alleen toegankelijk zijn voor een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor het algehele beveiligingspostuur wordt verbeterd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| Machines moeten worden geconfigureerd om periodiek te controleren op ontbrekende systeemupdates | Om ervoor te zorgen dat periodieke evaluaties voor ontbrekende systeemupdates elke 24 uur automatisch worden geactiveerd, moet de eigenschap AssessmentMode worden ingesteld op 'AutomaticByPlatform'. Meer informatie over de eigenschap AssessmentMode voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Controleren, Weigeren, Uitgeschakeld | 3.9.0 |
| Terugkerende updates plannen met behulp van Azure Update Manager | U kunt Azure Update Manager in Azure gebruiken om terugkerende implementatieschema's op te slaan voor het installeren van besturingssysteemupdates voor uw Windows Server- en Linux-machines in Azure, in on-premises omgevingen en in andere cloudomgevingen die zijn verbonden met Azure Arc servers. Met dit beleid wordt ook de patchmodus voor de Azure virtuele machine gewijzigd in 'AutomaticByPlatform'. Meer informatie: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, uitgeschakeld | 3.14.0 |
| SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost | Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Abonneer in aanmerking komende SQL Servers-exemplaren met Arc voor uitgebreide beveiligingsupdates. | Abonneer in aanmerking komende SQL Servers-exemplaren met Arc waarvoor het licentietype is ingesteld op Betaald of BETALEND op uitgebreide beveiligingsupdates. Meer informatie over uitgebreide beveiligingsupdates https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Er moeten systeemupdates worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center) | Op uw machines ontbreken systeem, beveiligings- en essentiële updates. Software-updates bevatten vaak essentiële patches voor beveiligingslekken. Dergelijke lekken worden vaak misbruikt in malware-aanvallen, zodat het essentieel is om uw software bijgewerkt te worden. Als u alle openstaande patches wilt installeren en uw computers wilt beveiligen, volgt u de herstelstappen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op Azure Arc ingeschakelde Linux-servers | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op Azure Arc ingeschakelde Linux-servers. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op Azure Arc ingeschakelde Windows servers | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op Azure Arc ingeschakelde Windows servers. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| Windows Voor Arc geschikte machines moeten Azure Monitor Agent zijn geïnstalleerd | Windows Machines met Arc moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor Agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Windows machines met Arc in ondersteunde regio's worden bewaakt voor Azure Monitor agentimplementatie. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 1.4.0 |
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-agent voor gastconfiguratie. Exploit Guard heeft vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen een groot aantal aanvalsvectoren en gedrag blokkeren dat vaak wordt gebruikt bij malwareaanvallen, terwijl ondernemingen hun beveiligingsrisico's en productiviteitsvereisten (alleen Windows) kunnen verdelen. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows machines moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 4.1.1 |
| Windows machines moeten Windows Defender configureren om beveiligingshandtekeningen binnen één dag bij te werken | Om voldoende bescherming te bieden tegen nieuw uitgebrachte malware, moeten Windows Defender beveiligingshandtekeningen regelmatig worden bijgewerkt om rekening te houden met nieuw uitgebrachte malware. Dit beleid wordt niet toegepast op servers die zijn verbonden met Arc en vereist dat de vereisten voor gastconfiguratie zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Windows machines moeten Windows Defender realtime-beveiliging inschakelen | Windows machines moeten de realtime-beveiliging in de Windows Defender inschakelen om voldoende bescherming te bieden tegen nieuw uitgebrachte malware. Dit beleid is niet van toepassing op verbonden arc-servers en vereist dat de vereisten voor gastconfiguratie zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Windows machines moeten voldoen aan de vereisten voor 'Beheersjablonen - Configuratiescherm' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beheersjablonen - Configuratiescherm voor persoonlijke invoer en preventie van het inschakelen van vergrendelingsschermen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beheersjablonen - MSS (verouderd)' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beheersjablonen - MSS (verouderd) voor automatische aanmelding, schermbeveiliging, netwerkgedrag, veilig DLL- en gebeurtenislogboek. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beheersjablonen - Netwerk' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beheersjablonen - Netwerk voor gastaanmeldingen, gelijktijdige verbindingen, netwerkbrug, ICS en multicast-naamomzetting. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beheersjablonen - Systeem' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beheersjablonen - Systeem voor instellingen die de beheerervaring en Hulp op afstand beheren. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Accounts' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Accounts voor het beperken van het gebruik van lege wachtwoorden en de status van het gastaccount. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Controle' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Controle voor het afdwingen van subcategorie controlebeleid en afsluiten als er geen beveiligingscontroles kunnen worden vastgelegd. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Apparaten' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Apparaten voor het loskoppelen zonder zich aan te melden, printerstuurprogramma's te installeren en media op te maken/uit te werpen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - interactieve aanmelding' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Interactieve aanmelding voor het weergeven van de achternaam en het vereisen van Ctrl-alt-del. Dit beleid vereist dat de vereisten voor gastconfiguratie zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Microsoft netwerkclient' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Microsoft netwerkclient voor Microsoft netwerkclient/-server en SMB v1. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Microsoft netwerkserver' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie 'Beveiligingsopties - Microsoft netwerkserver' voor het uitschakelen van SMB v1-server. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang' | Windows computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie 'Beveiligingsopties - netwerktoegang' voor inclusief toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie 'Beveiligingsopties - Netwerkbeveiliging' voor het opnemen van lokaal systeemgedrag, PKU2U, LAN Manager, LDAP-client en NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Herstelconsole' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Herstelconsole voor het toestaan van diskettekopie en toegang tot alle stations en mappen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Afsluiten' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Afsluiten voor het toestaan van afsluiten zonder aanmelding en het wissen van het wisselbestand voor virtueel geheugen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Systeemobjecten' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Systeemobjecten voor niet-Windows subsystemen en machtigingen van interne systeemobjecten. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Systeeminstellingen' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Systeeminstellingen voor certificaatregels voor uitvoerbare bestanden voor SRP en optionele subsystemen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Gebruikersaccountbeheer' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Gebruikersaccountbeheer voor de modus voor beheerders, gedrag van vragen om benodigde bevoegdheden en het virtualiseren van schrijffouten in bestanden en registers. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsinstellingen - Accountbeleid' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsinstellingen - Accountbeleid voor wachtwoordgeschiedenis, leeftijd, lengte, complexiteit en het opslaan van wachtwoorden met omkeerbare versleuteling. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Systeemcontrolebeleid - Accountaanmelding' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Accountaanmelding voor het controleren van referentievalidatie en andere accountaanmeldingsgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Systeemcontrolebeleid - Accountbeheer' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Accountbeheer voor het controleren van toepassings-, beveiligings- en gebruikersgroepbeheer en andere beheergebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Systeemcontrolebeleid - Gedetailleerd bijhouden' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Gedetailleerd bijhouden voor het controleren van DPAPI, proces maken/beëindigen, RPC-gebeurtenissen en PNP-activiteit. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor systeemcontrolebeleid - Aanmelden-afmelden | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Aanmelden-Afmelden voor het controleren van IPSec, netwerkbeleid, claims, accountvergrendeling, groepslidmaatschap en aanmeldings-/afmeldingsgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor Systeemcontrolebeleid - Objecttoegang | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Objecttoegang voor controlebestand, register, SAM, opslag, filteren, kernel en andere systeemtypen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Systeemcontrolebeleid - Beleidswijziging' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Beleidswijziging voor het controleren van wijzigingen in systeemcontrolebeleid. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor Systeemcontrolebeleid - Privilege Use' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Privilege Use voor het controleren van niet-gevoelige en andere bevoegdheden. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Systeemcontrolebeleid - Systeem' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Systeem voor het controleren van IPsec-stuurprogramma, systeemintegriteit, systeemextensie, statuswijziging en andere systeemgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Toewijzing van gebruikersrechten' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie 'Toewijzing van gebruikersrechten' voor het toestaan van lokaal aanmelden, RDP, toegang vanaf het netwerk en vele andere gebruikersactiviteiten. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor Windows Onderdelen | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie 'Windows Onderdelen' voor basisverificatie, niet-versleuteld verkeer, Microsoft accounts, telemetrie, Cortana en andere Windows gedrag. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor Windows firewalleigenschappen | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie 'Windows Firewalleigenschappen' voor firewallstatus, verbindingen, regelbeheer en meldingen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten van de Azure basislijn voor rekenbeveiliging | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet correct is geconfigureerd voor een van de aanbevelingen in de Azure rekenbeveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.1.1 |
| Windows machines mogen alleen lokale accounts hebben die zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Deze definitie wordt niet ondersteund voor Windows Server 2012 of 2012 R2. Het beheren van gebruikersaccounts met behulp van Azure Active Directory is een best practice voor het beheer van identiteiten. Het verminderen van lokale computeraccounts helpt de verspreiding van identiteiten die buiten een centraal systeem worden beheerd, te voorkomen. Machines zijn niet-compatibel als lokale gebruikersaccounts bestaan die zijn ingeschakeld en niet worden vermeld in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Volgende stappen
- Zie de ingebouwde Azure Policy GitHub opslagplaats.
- Bekijk de definitiestructuur Azure Policy.
- Bekijk Azure Policy definitie-effecten.