Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze pagina is een index van Azure Policy ingebouwde beleidsdefinities voor Azure-schaalvergrotingssets voor virtuele machines. Zie Azure Policy ingebouwde definities voor meer Azure Policy ingebouwde definities voor andere services.
De naam van elke ingebouwde beleidsdefinitie is gekoppeld aan de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Version om de bron in de Azure Policy GitHub-opslagplaats weer te geven.
Microsoft. Berekenen
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Preview]: Er moet een beheerde identiteit zijn ingeschakeld op uw computers | Resources die worden beheerd door Automanage moeten een beheerde identiteit hebben. | Audit, uitgeschakeld | 1.0.0-preview |
| [Preview]: Door de gebruiker toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguratie in te schakelen op virtuele machines | Met dit beleid wordt een door de gebruiker toegewezen beheerde identiteit toegevoegd aan virtuele machines die worden gehost in Azure die worden ondersteund door gastconfiguratie. Een door de gebruiker toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties en moet worden toegevoegd aan computers voordat u beleidsdefinities voor gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 2.1.0-preview |
| [preview]: wijs Built-In User-Assigned beheerde identiteit toe aan Virtual Machine Scale Sets | Maak en wijs een ingebouwde door de gebruiker toegewezen beheerde identiteit toe of wijs een vooraf gemaakte door de gebruiker toegewezen beheerde identiteit op schaal toe aan virtuele-machineschaalsets. Ga naar aka.ms/managedidentitypolicy voor meer gedetailleerde documentatie. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.1.0-preview |
| [preview]: wijs Built-In User-Assigned beheerde identiteit toe aan Virtual Machines | Maak en wijs een ingebouwde door de gebruiker toegewezen beheerde identiteit toe of wijs een vooraf gemaakte door de gebruiker toegewezen beheerde identiteit op schaal toe aan virtuele machines. Ga naar aka.ms/managedidentitypolicy voor meer gedetailleerde documentatie. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.1.0-preview |
| [preview]: SSH-beveiligingspostuur controleren voor Windows | Dit beleid controleert de beveiligingsconfiguratie van de SSH-server op Windows Server 2019-, 2022- en 2025-machines (Azure-VM's en machines met Arc). Zie voor meer informatie, waaronder vereisten, instellingen in bereik, standaardinstellingen en aanpassingen https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | AuditIfNotExists, uitgeschakeld | 1.1.0-preview |
| [Preview]: Toewijzing van automatisch beheerprofiel moet conform zijn | Resources die worden beheerd door Automanage moeten de status Conformant of ConformantCorrected hebben. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: Azure Backup moet zijn ingeschakeld voor Managed Disks | Zorg voor beveiliging van uw Managed Disks door Azure Backup in te schakelen. Azure Backup is een veilige en kosteneffectieve oplossing voor gegevensbeveiliging voor Azure. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Diagnostische gegevens over opstarten moeten zijn ingeschakeld op virtuele machines | Azure virtuele machines moeten opstartdiagniostiek hebben ingeschakeld. | Audit, uitgeschakeld | 1.0.0-preview |
| [Preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw virtuele Linux-machine | Installeer de ChangeTracking-extensie op virtuele Linux-machines om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw Windows virtuele machine | Installeer de ChangeTracking-extensie op Windows virtuele machines om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [preview]: Azure Defender configureren voor SQL-agent op virtuele machine | Configureer Windows machines om de Azure Defender automatisch te installeren voor sql-agent waarop de Azure Monitor Agent is geïnstalleerd. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Hiermee maakt u een resourcegroep en Log Analytics werkruimte in dezelfde regio als de computer. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: back-up configureren voor Azure schijven (Managed Disks) met een bepaalde tag naar een bestaande back-upkluis in dezelfde regio | Dwing back-ups af voor alle Azure schijven (Managed Disks) die een bepaalde tag bevatten voor een centrale back-upkluis. Meer informatie vindt u op https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0-preview |
| [preview]: back-up configureren voor Azure schijven (Managed Disks) zonder een bepaalde tag naar een bestaande back-upkluis in dezelfde regio | Dwing back-ups af voor alle Azure Schijven (Managed Disks) die geen bepaalde tag bevatten voor een centrale back-upkluis. Meer informatie vindt u op https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0-preview |
| [preview]: SSH-beveiligingspostuur configureren voor Windows | Met dit beleid configureert u de SSH-serverbeveiligingsconfiguratie op Windows Server 2019-, 2022- en 2025-machines (Azure VM's en machines met Arc). Zie voor meer informatie, waaronder vereisten, instellingen in bereik, standaardinstellingen en aanpassingen https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | DeployIfNotExists, uitgeschakeld | 1.1.0-preview |
| [Preview]: Ondersteunde virtuele-machineschaalsets voor Linux configureren om automatisch de extensie gastverklaring te installeren | Configureer ondersteunde virtuele Linux-machinesschaalsets om de gastverklaringextensie automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 6.1.0-preview |
| [Preview]: Ondersteunde virtuele Linux-machines configureren om Beveiligd opstarten automatisch in te schakelen | Configureer ondersteunde virtuele Linux-machines om Beveiligd opstarten automatisch in te schakelen om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. | DeployIfNotExists, uitgeschakeld | 5.0.0-preview |
| [Preview]: Ondersteunde virtuele Linux-machines configureren om de gastattestextensie automatisch te installeren | Configureer ondersteunde virtuele Linux-machines voor het automatisch installeren van de Gast Attestation-extensie, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 7.1.0-preview |
| [Preview]: Ondersteunde virtuele machines configureren om vTPM automatisch in te schakelen | Configureer ondersteunde virtuele machines om vTPM automatisch in te schakelen voor het vergemakkelijken van gemeten opstarten en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [preview]: configureer ondersteunde Windows virtuele-machineschaalsets om de gastattestextensie automatisch te installeren | Configureer ondersteunde Windows virtuele-machineschaalsets om automatisch de extensie Voor gastattest te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 4.1.0-preview |
| [preview]: configureer ondersteunde Windows virtuele machines om Beveiligd opstarten automatisch in te schakelen | Configureer ondersteunde Windows virtuele machines om Beveiligd opstarten automatisch in te schakelen om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. | DeployIfNotExists, uitgeschakeld | 3.0.0-preview |
| [preview]: configureer ondersteunde Windows virtuele machines om de extensie gastverklaring automatisch te installeren | Configureer ondersteunde Windows virtuele machines om de extensie gastverklaring automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 5.1.0-preview |
| [preview]: configureer door het systeem toegewezen beheerde identiteit om Azure Monitor toewijzingen op VM's in te schakelen | Configureer door het systeem toegewezen beheerde identiteit aan virtuele machines die worden gehost in Azure die worden ondersteund door Azure Monitor en die geen door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle Azure Monitor toewijzingen en moet worden toegevoegd aan computers voordat u een Azure Monitor-extensie gebruikt. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | Wijzigen, uitgeschakeld | 6.2.0-preview |
| [preview]: vm's configureren die zijn gemaakt met Shared Image Gallery installatiekopieën om de extensie Guest Attestation te installeren | Configureer virtuele machines die zijn gemaakt met Shared Image Gallery-installatiekopieën om de Extensie gastverklaring automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [preview]: CONFIGUREER VMSS die zijn gemaakt met Shared Image Gallery-installatiekopieën om de gastverklaringsextensie te installeren | Configureer VMSS die zijn gemaakt met Shared Image Gallery-installatiekopieën om de extensie gastverklaring automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 2.1.0-preview |
| Hiermee maakt u een toewijzing van een gastenconfiguratie om lokale gebruikers op Windows Server uit te schakelen. Dit zorgt ervoor dat Windows Servers alleen toegankelijk zijn voor een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor de algehele beveiligingspostuur wordt verbeterd. | DeployIfNotExists, uitgeschakeld | 1.3.0-preview | |
| [preview]: implementeer Microsoft Defender voor Eindpunt agent op virtuele Linux-machines | Implementeert Microsoft Defender voor Eindpunt agent op toepasselijke Linux-VM-installatiekopieën. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 3.0.0-preview |
| [preview]: Microsoft Defender voor Eindpunt-agent implementeren op Windows virtuele machines | Implementeert Microsoft Defender voor Eindpunt op toepasselijke Windows VM-installatiekopieën. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.1-preview |
| [Preview]: Door het systeem toegewezen identiteit inschakelen voor SQL-VM | Schakel door het systeem toegewezen identiteit op schaal in voor virtuele SQL-machines. U moet dit beleid toewijzen op abonnementsniveau. Toewijzen op resourcegroepsniveau werkt niet zoals verwacht. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines | Installeer de gastattestextensie op ondersteunde virtuele Linux-machines zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele Machines met vertrouwde start en vertrouwelijke Linux-machines. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
| [Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines-schaalsets | Installeer de gastattestextensie op ondersteunde virtuele Linux-machinesschaalsets om Azure Security Center proactief te kunnen bevestigen en de opstartintegriteit te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele-machineschaalsets vertrouwde start en vertrouwelijke Linux-machines. | AuditIfNotExists, uitgeschakeld | 5.1.0-preview |
| [preview]: de extensie gastverklaring moet worden geïnstalleerd op ondersteunde Windows virtuele machines | Installeer de extensie Guest Attestation op ondersteunde virtuele machines zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op vertrouwde start en vertrouwelijke Windows virtuele machines. | AuditIfNotExists, uitgeschakeld | 4.0.0-preview |
| [preview]: de gastverklaringsextensie moet worden geïnstalleerd op ondersteunde Windows virtuele-machineschaalsets | Installeer de gastattestextensie op ondersteunde virtuele-machineschaalsets, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op vertrouwde start en vertrouwelijke Windows virtuele-machineschaalsets. | AuditIfNotExists, uitgeschakeld | 3.1.0-preview |
| [preview]: Linux-machines moeten voldoen aan de vereisten voor de Azure beveiligingsbasislijn voor Docker-hosts | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. De computer is niet juist geconfigureerd voor een van de aanbevelingen in de Azure beveiligingsbasislijn voor Docker-hosts. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [preview]: Linux-machines moeten voldoen aan de STIG-nalevingsvereisten voor Azure compute | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de STIG-nalevingsvereiste voor Azure compute. DISA (Defense Information Systems Agency) biedt technische handleidingen STIG (Security Technical Implementation Guide) voor het beveiligen van het rekenbesturingssystemen zoals vereist door Department of Defense (DoD). Voor meer informatie. https://public.cyber.mil/stigs/ | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Linux-machines waarop OMI is geïnstalleerd, moeten versie 1.6.8-1 of hoger hebben | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Vanwege een beveiligingsoplossing die is opgenomen in versie 1.6.8-1 van het OMI-pakket voor Linux, moeten alle computers worden bijgewerkt naar de nieuwste versie. Upgrade apps/pakketten die GEBRUIKMAKEN van OMI om het probleem op te lossen. Zie https://aka.ms/omiguidance voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: virtuele Linux-machines mogen alleen ondertekende en vertrouwde opstartonderdelen gebruiken | Alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) moeten worden ondertekend door vertrouwde uitgevers. Defender voor Cloud heeft niet-vertrouwde opstartonderdelen van het besturingssysteem geïdentificeerd op een of meer van uw Linux-machines. Als u uw computers wilt beschermen tegen mogelijk schadelijke onderdelen, voegt u deze toe aan uw acceptatielijst of verwijdert u de geïdentificeerde onderdelen. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: virtuele Linux-machines moeten Beveiligd opstarten gebruiken | Als u wilt beschermen tegen de installatie van rootkits en opstartkits op basis van malware, schakelt u Secure Boot in op ondersteunde virtuele Linux-machines. Beveiligd opstarten zorgt ervoor dat alleen ondertekende besturingssystemen en stuurprogramma's mogen worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor Agent is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Linux-workloads moeten voldoen aan de officiële CIS Security Benchmark | Dit beleid biedt u de mogelijkheid om CIS Security Benchmarks aan te passen en te implementeren voor controledoeleinden voor uw Linux-workloads in Azure, on-premises en hybride omgevingen. De inhoud van de CIS Security Benchmarks is in pariteit met de benchmarks gepubliceerd op https://cisecurity.org. Het beleid wordt mogelijk gemaakt door azure-osconfig. Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: Machines moeten poorten hebben gesloten die aanvalsvectoren mogelijk blootstellen | Azure gebruiksrechtovereenkomst verbiedt het gebruik van Azure services op manieren die schade kunnen aanbrengen, uitschakelen, overbelasten of verstoren Microsoft server of het netwerk. De weergegeven poorten die door deze aanbeveling worden geïdentificeerd, moeten worden gesloten voor uw continue beveiliging. Voor elke geïdentificeerde poort biedt de aanbeveling ook een uitleg van de mogelijke bedreiging. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| Managed Disks kan worden geconfigureerd als zone uitgelijnd, zone-redundant of geen van beide. Managed Disks met precies één zonetoewijzing zijn zone uitgelijnd. Managed Disks met een SKU-naam die eindigt op ZRS, zijn zone-redundant. Dit beleid helpt bij het identificeren en afdwingen van deze tolerantieconfiguraties voor Managed Disks. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview | |
| [Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt de Microsoft Dependency Agent om netwerkverkeersgegevens van uw Azure virtuele machines te verzamelen om geavanceerde netwerkbeveiligingsfuncties in te schakelen, zoals verkeersvisualisatie op de netwerkkaart, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [preview]: de agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op Windows virtuele machines | Security Center gebruikt de Microsoft Dependency Agent om netwerkverkeersgegevens van uw Azure virtuele machines te verzamelen om geavanceerde netwerkbeveiligingsfuncties in te schakelen, zoals verkeersvisualisatie op de netwerkkaart, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [preview]: officiële CIS Security-benchmarks voor Windows Server | Dit beleid biedt u de mogelijkheid om CIS Security Benchmarks aan te passen en te implementeren voor controledoeleinden voor uw Windows Server in Azure, on-premises en hybride omgevingen. De inhoud van de CIS Security Benchmarks is in pariteit met de benchmarks gepubliceerd op https://cisecurity.org. Vereist dat vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: Beveiligd opstarten moet zijn ingeschakeld op ondersteunde Windows virtuele machines | Schakel Beveiligd opstarten in op ondersteunde Windows virtuele machines om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. Deze evaluatie is van toepassing op vertrouwde start en vertrouwelijke Windows virtuele machines. | Audit, uitgeschakeld | 4.0.0-preview |
| [preview]: Virtual Machine Scale Sets moet Zone Resilient | Virtual Machine Scale Sets kan worden geconfigureerd als zone uitgelijnd, zone-redundant of geen van beide. Virtual Machine Scale Sets met precies één vermelding in de matrix zones worden beschouwd als Zone uitgelijnd. Daarentegen worden Virtual Machine Scale Sets met drie of meer vermeldingen in hun zonesmatrix en een capaciteit van ten minste 3 herkend als zone-redundant. Dit beleid helpt bij het identificeren en afdwingen van deze tolerantieconfiguraties. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [preview]: Virtual Machine Scale Sets met meer dan 2 beschikbaarheidszones moet automatische az-herverdeling hebben ingeschakeld | Dit beleid maakt automatische herverdeling van AZ mogelijk voor Virtual Machine Scale Sets die anders zonebestendig zijn. Automatische herverdeling van zones helpt ervoor te zorgen dat uw Virtual Machine Scale Sets gelijkmatig over de zones in de regio worden verdeeld. | Wijzigen, uitgeschakeld | 1.0.0-preview |
| [Preview]: Status van gastattest voor virtuele machines moet in orde zijn | Gastverklaring wordt uitgevoerd door een vertrouwd logboek (TCGLog) naar een attestation-server te verzenden. De server gebruikt deze logboeken om te bepalen of opstartonderdelen betrouwbaar zijn. Deze evaluatie is bedoeld om inbreuk te detecteren van de opstartketen die het gevolg kan zijn van een bootkit- of rootkit-infectie. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden waarop de extensie Guest Attestation is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: Virtual Machines moet zone zijn uitgelijnd | Virtual Machines kan worden geconfigureerd als zone uitgelijnd of niet. Ze worden beschouwd als zone uitgelijnd als ze slechts één vermelding hebben in hun zonesmatrix. Dit beleid zorgt ervoor dat ze zijn geconfigureerd voor gebruik binnen één beschikbaarheidszone. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: vTPM moet zijn ingeschakeld op ondersteunde virtuele machines | Schakel het virtuele TPM-apparaat in op ondersteunde virtuele machines om gemeten opstart en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist, mogelijk te maken. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden. | Audit, uitgeschakeld | 2.0.0-preview |
| [preview]: Windows machines moeten voldoen aan de STIG-nalevingsvereisten voor Azure compute | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in STIG-nalevingsvereisten voor Azure compute. DISA (Defense Information Systems Agency) biedt technische handleidingen STIG (Security Technical Implementation Guide) voor het beveiligen van het rekenbesturingssystemen zoals vereist door Department of Defense (DoD). Voor meer informatie. https://public.cyber.mil/stigs/ | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. de standaardprijscategorie van Azure Security Center omvat het scannen op beveiligingsproblemen voor uw virtuele machines zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Met dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan virtuele machines die worden gehost in Azure die worden ondersteund door gastconfiguratie, maar geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | modify | 4.1.0 |
| Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Met dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan virtuele machines die worden gehost in Azure die worden ondersteund door gastconfiguratie en ten minste één door de gebruiker toegewezen identiteit hebben, maar geen door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | modify | 4.1.0 |
| Voegt een tag toe aan NVA-VM's (Network Virtual Appliances) en VMSS voor MANA-ondersteuning | Hiermee past u een tag toe voor Marketplace NVA-implementaties wanneer de NVA bestaande VM-grootten gebruikt. Raadpleegt u https://aka.ms/manasupportforexistingvmfamilynva. | Wijzigen, uitgeschakeld | 1.0.0 |
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft vastgesteld dat bepaalde binnenkomende regels van uw netwerkbeveiligingsgroepen te permissief zijn. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Toegestane SKU's voor de grootte van virtuele machines | Met dit beleid kunt u een set SKU's voor grootten van virtuele machines opgeven die uw organisatie mag implementeren. | Deny | 1.0.1 |
| Assign System Assigned identity to SQL Virtual Machines | Wijs door het systeem toegewezen identiteit op schaal toe aan Windows virtuele SQL-machines. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarop de opgegeven toepassingen niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de resource Chef InSpec aangeeft dat een of meer van de pakketten van de parameter niet zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 4.2.0 |
| Linux-machines controleren met accounts zonder wachtwoorden | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoorden | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarop de opgegeven toepassingen zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de resource Chef InSpec aangeeft dat een of meer van de pakketten van de parameter zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 4.2.0 |
| SSH-beveiligingspostuur controleren voor Linux (mogelijk gemaakt door OSConfig) | Dit beleid controleert de SSH-serverbeveiligingsconfiguratie op Linux-machines (Azure VM's en machines met Arc). Zie voor meer informatie, waaronder vereisten, instellingen in bereik, standaardinstellingen en aanpassingen https://aka.ms/SshPostureControlOverview | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerd | Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. | auditIfNotExists | 1.0.0 |
| Controleer virtuele machines die niet gebruikmaken van beheerde schijven | Dit beleid controleert virtuele machines die niet gebruikmaken van beheerde schijven | audit | 1.0.0 |
| Audit Windows machines waarop een van de opgegeven leden in de groep Administrators ontbreken | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators niet een of meer leden bevat die worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Audit Windows machines netwerkconnectiviteit | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als een netwerkverbindingstatus met een IP- en TCP-poort niet overeenkomt met de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Audit Windows machines waarop de DSC-configuratie niet compatibel is | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de Windows PowerShell-opdracht Get-DSCConfigurationStatus retourneert dat de DSC-configuratie voor de machine niet compatibel is. | auditIfNotExists | 3.0.0 |
| Audit Windows machines waarop de Log Analytics-agent niet is verbonden zoals verwacht | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de agent niet is geïnstalleerd, of als deze wel is geïnstalleerd, maar door het COM-object AgentConfigManager.MgmtSvcCfg wordt geretourneerd dat deze is geregistreerd bij een andere werkruimte dan de id die is opgegeven in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Audit Windows machines waarop de opgegeven services niet zijn geïnstalleerd en 'Actief' | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als het resultaat van de Windows PowerShell-opdracht Get-Service geen servicenaam met overeenkomende status opneemt zoals opgegeven door de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Audit Windows machines waarop Windows seriële console niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als op de machine geen Seriële consolesoftware is geïnstalleerd of als het EMS-poortnummer of de baudrate niet zijn geconfigureerd met dezelfde waarden als de beleidsparameters. | auditIfNotExists | 3.0.0 |
| Audit Windows machines die het opnieuw gebruik van de wachtwoorden toestaan na het opgegeven aantal unieke wachtwoorden | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows machines die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan. De standaardwaarde voor unieke wachtwoorden is 24 | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Audit Windows machines die niet zijn gekoppeld aan het opgegeven domein | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de waarde van de domeineigenschap in de WMI-klasse win32_computersystem niet overeenkomt met de waarde in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Audit Windows machines die niet zijn ingesteld op de opgegeven tijdzone | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de waarde van het kenmerk StandardName in de WMI-klasse Win32_TimeZone niet overeenkomt met de geselecteerde tijdszone van de beleidsparameter. | auditIfNotExists | 4.0.0 |
| Audit Windows machines die certificaten bevatten die binnen het opgegeven aantal dagen verlopen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als certificaten in de opgegeven opslag een verloopdatum hebben die buiten het bereik van het aantal dagen in de parameter vallen. Het beleid biedt ook de optie om alleen te controleren op specifieke certificaten of om specifieke certificaten uit te sluiten, en of er moet worden gerapporteerd over verlopen certificaten. | auditIfNotExists | 2.0.0 |
| Audit Windows machines die niet de opgegeven certificaten bevatten in vertrouwde basis | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als het certificaatarchief in de Vertrouwde hoofdmap van de machine (CERT:\LocalMachine\Root) niet één of meer certificaten bevat die zijn opgegeven in de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Audit Windows machines waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows machines waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de maximale wachtwoordduur is 70 dagen | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Audit Windows machines waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows machines waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de minimale wachtwoordduur is 1 dag | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Audit Windows machines waarvoor de instelling wachtwoordcomplexiteit niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows machines waarvoor de instelling wachtwoordcomplexiteit niet is ingeschakeld | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Audit Windows machines waarvoor het opgegeven powerShell-uitvoeringsbeleid niet is Windows opgegeven | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de Windows PowerShell-opdracht Get-ExecutionPolicy een andere waarde retourneert dan de waarde die is geselecteerd in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Audit Windows machines waarop de opgegeven Windows PowerShell-modules niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als er geen module beschikbaar is op een locatie die is opgegeven via de omgevingsvariabele PSModulePath. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Audit Windows machines die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als Windows machines die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens. De standaardwaarde voor de minimale wachtwoordlengte is 14 tekens | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Audit Windows machines die geen wachtwoorden opslaan met omkeerbare versleuteling | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows machines die geen wachtwoorden opslaan met omkeerbare versleuteling | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Audit Windows machines waarop de opgegeven toepassingen niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de toepassingsnaam niet wordt gevonden in een van de volgende registerpaden: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows machines met extra accounts in de groep Administrators | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators leden bevat die niet worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Audit Windows machines die niet binnen het opgegeven aantal dagen opnieuw zijn opgestart | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als het WMI-kenmerk LastBootUpTime in klasse Win32_Operatingsystem buiten het bereik van de opgegeven dagen in de beleidsparameter valt. | auditIfNotExists | 2.0.0 |
| Audit Windows machines waarop de opgegeven toepassingen zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de toepassingsnaam wordt gevonden in een van de volgende registerpaden: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows machines met de opgegeven leden in de groep Administrators | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators een of meer leden bevat die worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Audit Windows VM's waarvoor opnieuw opstarten in behandeling is | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als het opnieuw opstarten van de computer in behandeling is om een van de volgende redenen: onderhoud op basis van onderdelen, Windows Update, hernoemen van bestanden in behandeling, naam van computer in behandeling, configuratiebeheer in behandeling opnieuw opstarten. Elke detectie heeft een uniek registerpad. | auditIfNotExists | 2.0.0 |
| Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist | Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een Azure virtuele Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| Azure Backup moet zijn ingeschakeld voor Virtual Machines | Zorg voor beveiliging van uw Azure Virtuele Machines door Azure Backup in te schakelen. Azure Backup is een veilige en kosteneffectieve oplossing voor gegevensbeveiliging voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| De ChangeTracking-extensie moet worden geïnstalleerd op uw virtuele Linux-machineschaalsets | Installeer de ChangeTracking-extensie in virtuele Linux-machineschaalsets om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| ChangeTracking-extensie moet zijn geïnstalleerd op uw Windows virtuele-machineschaalsets | Installeer de ChangeTracking-extensie op Windows virtuele-machineschaalsets om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Rolinstanties van Cloud Services (uitgebreide ondersteuning) moeten veilig worden geconfigureerd | Bescherm uw rolinstanties van cloudservices (uitgebreide ondersteuning) tegen aanvallen door ervoor te zorgen dat ze niet worden blootgesteld aan beveiligingsproblemen in het besturingssysteem. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor rolinstanties van Cloud Services (uitgebreide ondersteuning) moeten systeemupdates zijn geïnstalleerd | Beveilig uw rolinstanties voor Cloud Services (uitgebreide ondersteuning) door ervoor te zorgen dat de meest recente beveiligings- en essentiële updates erop zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Configuratie Azure Defender voor servers uitgeschakeld voor alle resources (resourceniveau) | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender voor servers uitgeschakeld voor alle resources (VM's, VMSS's en ARC-machines) in het geselecteerde bereik (abonnement of resourcegroep). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureer Azure Defender voor servers die moeten worden uitgeschakeld voor resources (resourceniveau) met de geselecteerde tag | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender voor Servers uitgeschakeld voor alle resources (VM's, VMSS's en ARC-machines) met de geselecteerde tagnaam en tagwaarde(s). | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Configureer Azure Defender voor servers die moeten worden ingeschakeld (subplan P1) voor alle resources (resourceniveau) met de geselecteerde tag | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender voor Servers-plan (met het subplan P1) ingeschakeld voor alle resources (VM's en ARC-machines) met de geselecteerde tagnaam en tagwaarde(s). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configuratie Azure Defender configureren voor servers die moeten worden ingeschakeld (met subplan P1) voor alle resources (resourceniveau) | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender voor Servers-plan (met het subplan P1) ingeschakeld voor alle resources (VM's en ARC-machines) in het geselecteerde bereik (abonnement of resourcegroep). | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Back-up configureren op virtuele machines met een bepaalde tag naar een nieuwe Recovery Services-kluis met een standaardbeleid | Dwing het maken van een back-up af voor alle virtuele machines door een Recovery Services-kluis te implementeren op dezelfde locatie en in dezelfde resourcegroep als de virtuele machine. Dit is handig wanneer er aan verschillende toepassingsteams in uw organisatie afzonderlijke resourcegroepen zijn toegewezen die elk hun eigen back-up- en herstelbewerkingen moeten kunnen beheren. U kunt ervoor kiezen om virtuele machines met een opgegeven tag toe te voegen om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, uitgeschakeld, Uitgeschakeld | 9.5.0 |
| Back-up configureren op virtuele machines met een bepaalde tag naar een bestaande Recovery Services-kluis op dezelfde locatie | Dwing het maken van een back-up af voor alle virtuele machines door deze back-up uit te voeren naar een Recovery Services-kluis op dezelfde locatie en in hetzelfde abonnement als de virtuele machine. Dit is handig wanneer een centraal team in uw organisatie back-ups beheert voor alle resources in een abonnement. U kunt ervoor kiezen om virtuele machines met een opgegeven tag toe te voegen om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, uitgeschakeld, Uitgeschakeld | 9.5.0 |
| Back-up configureren op virtuele machines zonder een bepaalde tag naar een nieuwe Recovery Services-kluis met een standaardbeleid | Dwing het maken van een back-up af voor alle virtuele machines door een Recovery Services-kluis te implementeren op dezelfde locatie en in dezelfde resourcegroep als de virtuele machine. Dit is handig wanneer er aan verschillende toepassingsteams in uw organisatie afzonderlijke resourcegroepen zijn toegewezen die elk hun eigen back-up- en herstelbewerkingen moeten kunnen beheren. U kunt ervoor kiezen om virtuele machines met een opgegeven tag uit te sluiten om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, uitgeschakeld, Uitgeschakeld | 9.5.0 |
| Back-up configureren op virtuele machines zonder een bepaalde tag naar een bestaande Recovery Services-kluis op dezelfde locatie | Dwing het maken van een back-up af voor alle virtuele machines door deze back-up uit te voeren naar een Recovery Services-kluis op dezelfde locatie en in hetzelfde abonnement als de virtuele machine. Dit is handig wanneer een centraal team in uw organisatie back-ups beheert voor alle resources in een abonnement. U kunt ervoor kiezen om virtuele machines met een opgegeven tag uit te sluiten om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, uitgeschakeld, Uitgeschakeld | 9.5.0 |
| ChangeTracking-extensie configureren voor virtuele Linux-machineschaalsets | Configureer virtuele-machineschaalsets voor Linux om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitor Agent. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| ChangeTracking-extensie configureren voor virtuele Linux-machines | Configureer virtuele Linux-machines om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitor Agent. | DeployIfNotExists, uitgeschakeld | 2.2.0 |
| Configure ChangeTracking Extension for Windows virtual machine scale sets | Configureer Windows virtuele-machineschaalsets om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitor Agent. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Configure ChangeTracking Extension for Windows virtual machines | Configureer Windows virtuele machines om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitor Agent. | DeployIfNotExists, uitgeschakeld | 2.2.0 |
| Herstel na noodgevallen configureren op virtuele machines door replicatie in te schakelen via Azure Site Recovery | Virtuele machines zonder configuraties voor herstel na noodgevallen zijn kwetsbaar voor storingen en andere onderbrekingen. Als de virtuele machine nog niet is geconfigureerd voor herstel na noodgevallen, zou dit hetzelfde initiëren door replicatie in te schakelen met vooraf ingestelde configuraties om bedrijfscontinuïteit te vergemakkelijken. U kunt eventueel virtuele machines met een opgegeven tag opnemen/uitsluiten om het toewijzingsbereik te bepalen. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. | DeployIfNotExists, uitgeschakeld | 2.1.1 |
| Resources voor schijftoegang configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te brengen aan resources voor schijftoegang, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Linux-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om virtuele Linux-machines, virtuele-machineschaalsets en Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 6.8.0 |
| Configureer Linux Server om lokale gebruikers uit te schakelen. | Hiermee maakt u een toewijzing van een gastenconfiguratie om het uitschakelen van lokale gebruikers op Linux Server te configureren. Dit zorgt ervoor dat Linux-servers alleen toegankelijk zijn voor een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor de algehele beveiligingsstatus wordt verbeterd. | DeployIfNotExists, uitgeschakeld | 1.4.0-preview |
| Linux-Virtual Machine Scale Sets configureren die moet worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om virtuele-machineschaalsets van Linux te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 4.7.0 |
| Virtuele Linux-machineschaalsets configureren om Azure Monitor Agent uit te voeren met door het systeem toegewezen verificatie op basis van beheerde identiteit | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw virtuele Linux-machineschaalsets voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.10.0 |
| Virtuele Linux-machineschaalsets configureren om Azure Monitor Agent uit te voeren met door de gebruiker toegewezen verificatie op basis van beheerde identiteit | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw virtuele Linux-machineschaalsets voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.11.0 |
| Linux-Virtual Machines configureren die moet worden gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om virtuele Linux-machines te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Linux-Virtual Machines configureren die moet worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om virtuele Linux-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 4.7.0 |
| Virtuele Linux-machines configureren om Azure Monitor Agent uit te voeren met door het systeem toegewezen verificatie op basis van beheerde identiteit | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw virtuele Linux-machines voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.10.0 |
| Virtuele Linux-machines configureren om Azure Monitor Agent uit te voeren met door de gebruiker toegewezen verificatie op basis van beheerde identiteit | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw virtuele Linux-machines voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.14.0 |
| Virtuele Linux-machines configureren om AMA te installeren voor ChangeTracking en Inventory met door de gebruiker toegewezen beheerde identiteit | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw virtuele Linux-machines voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.7.0 |
| Linux VMSS configureren om te worden gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om virtuele-machineschaalsets van Linux te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Linux VMSS configureren voor het installeren van AMA voor ChangeTracking en Inventory met door de gebruiker toegewezen beheerde identiteit | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw virtuele Linux-machineschaalsets voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.5.0 |
| Machines configureren voor het ontvangen van een provider voor evaluatie van beveiligingsproblemen | Azure Defender omvat het scannen van beveiligingsproblemen op uw machines zonder extra kosten. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center. Wanneer u dit beleid inschakelt, implementeert Azure Defender automatisch de Qualys-provider voor evaluatie van beveiligingsproblemen op alle ondersteunde computers waarop het beleid nog niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 4.0.0 |
| Beheerde schijven configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw beheerde schijfresource uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/disksprivatelinksdoc. | Wijzigen, uitgeschakeld | 2.0.0 |
| Periodieke controle configureren voor ontbrekende systeemupdates op virtuele Azure-machines | Configureer automatische evaluatie (elke 24 uur) voor besturingssysteemupdates op systeemeigen Azure virtuele machines. U kunt het toewijzingsbereik beheren op basis van het machineabonnement, de resourcegroep, de locatie of de tag. Meer informatie hierover vindt u voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.10.0 |
| Veilige communicatieprotocollen (TLS 1.1 of TLS 1.2) configureren op Windows machines | Hiermee maakt u een toewijzing van een gastenconfiguratie voor het configureren van de opgegeven versie van het beveiligde protocol (TLS 1.1 of TLS 1.2) op Windows computer. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Sql-Virtual Machines configureren om Azure Monitor Agent automatisch te installeren | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Windows SQL-Virtual Machines. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.6.0 |
| Configureer Windows SQL-Virtual Machines om de Microsoft Defender voor de SQL-extensie automatisch te installeren. Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. | DeployIfNotExists, uitgeschakeld | 1.6.0 | |
| Sql-Virtual Machines configureren om automatisch Microsoft Defender voor SQL en DCR te installeren met een Log Analytics werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep, een regel voor gegevensverzameling en Log Analytics werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.9.0 |
| Sql-Virtual Machines configureren om automatisch Microsoft Defender voor SQL en DCR te installeren met een door de gebruiker gedefinieerde LA-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en een regel voor gegevensverzameling in dezelfde regio als de door de gebruiker gedefinieerde Log Analytics werkruimte. | DeployIfNotExists, uitgeschakeld | 1.10.0 |
| Sql-Virtual Machines configureren om automatisch Microsoft Defender voor de SQL-extensie te installeren | Configureer Windows SQL-Virtual Machines om de Microsoft Defender voor de SQL-extensie automatisch te installeren. Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| SSH-beveiligingspostuur configureren voor Linux (mogelijk gemaakt door OSConfig) | Dit beleid controleert en configureert de SSH-serverbeveiligingsconfiguratie op Linux-machines (Azure VM's en machines met Arc). Zie voor meer informatie, waaronder vereisten, instellingen in bereik, standaardinstellingen en aanpassingen https://aka.ms/SshPostureControlOverview | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Tijdzone configureren op Windows machines. | Met dit beleid maakt u een toewijzing van een gastconfiguratie om de opgegeven tijdzone in te stellen op Windows virtuele machines. | deployIfNotExists | 3.1.0 |
| Virtuele machines configureren voor onboarding naar Azure Automanage | Azure Automanage virtuele machines registreert, configureert en bewaakt met aanbevolen procedures zoals gedefinieerd in de Microsoft-Cloud Adoption Framework voor Azure. Gebruik dit beleid om Automanage op uw geselecteerde bereik toe te passen. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 2.4.0 |
| Virtuele machines configureren voor onboarding naar Azure Automanage met aangepast configuratieprofiel | Azure Automanage virtuele machines registreert, configureert en bewaakt met aanbevolen procedures zoals gedefinieerd in de Microsoft-Cloud Adoption Framework voor Azure. Gebruik dit beleid om Automanage toe te passen met uw eigen aangepaste configuratieprofiel op uw geselecteerde bereik. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.4.0 |
| Configure Windows Machines worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om Windows virtuele machines, virtuele-machineschaalsets en Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 4.8.0 |
| Configuratie Windows Virtual Machine Scale Sets worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om Windows virtuele-machineschaalsets te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 3.7.0 |
| Configureer Windows virtuele-machineschaalsets om Azure Monitor Agent uit te voeren met behulp van door het systeem toegewezen beheerde identiteit | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Windows virtuele-machineschaalsets voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.7.0 |
| Configureer Windows virtuele-machineschaalsets om Azure Monitor Agent uit te voeren met door de gebruiker toegewezen verificatie op basis van beheerde identiteit | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Windows virtuele-machineschaalsets voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.9.0 |
| Configureer Windows Virtual Machines aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Koppeling implementeren om Windows virtuele machines te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| Configure Windows Virtual Machines worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om Windows virtuele machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 3.6.0 |
| Configureer Windows virtuele machines om Azure Monitor Agent uit te voeren met behulp van door het systeem toegewezen beheerde identiteit | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Windows virtuele machines voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 4.7.0 |
| Configureer Windows virtuele machines om Azure Monitor Agent uit te voeren met door de gebruiker toegewezen verificatie op basis van beheerde identiteit | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Windows virtuele machines voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.9.0 |
| Virtuele Windows machines configureren om AMA te installeren voor ChangeTracking en Inventory met door de gebruiker toegewezen beheerde identiteit | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Windows virtuele machines voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.4.0 |
| Configuratie Windows VMSS moet worden gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Koppeling implementeren om Windows virtuele-machineschaalsets te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Configure Windows VMSS to install AMA for ChangeTracking and Inventory with user-assigned managed identity | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Windows virtuele-machineschaalsets voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| Een ingebouwde door de gebruiker toegewezen beheerde identiteit maken en toewijzen | Maak en wijs een ingebouwde door de gebruiker toegewezen beheerde identiteit op schaal toe aan virtuele SQL-machines. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.8.0 |
| Afhankelijkheidsagent moet zijn ingeschakeld voor vermelde installatiekopieën van virtuele machines | Rapporteert virtuele machines als niet-compatibel als de installatiekopieën van de virtuele machine in de lijst zijn gedefinieerd en de agent niet is geïnstalleerd. De lijst met installatiekopieën van het besturingssysteem wordt na verloop van tijd bijgewerkt wanneer de ondersteuning wordt bijgewerkt. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Afhankelijkheidsagent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde installatiekopieën van virtuele machines | Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatiekopieën van de virtuele machine in de lijst zijn gedefinieerd en de agent niet is geïnstalleerd. De lijst met installatiekopieën van het besturingssysteem wordt na verloop van tijd bijgewerkt wanneer de ondersteuning wordt bijgewerkt. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Deploy- Configure Dependency Agent to be enabled on Windows virtual machine scale sets | Implementeer afhankelijkheidsagent voor Windows virtuele-machineschaalsets als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomen en de agent niet is geïnstalleerd. Als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door ze bij te werken. | DeployIfNotExists, uitgeschakeld | 3.3.0 |
| Deploy- Configure Dependency Agent to be enabled on Windows virtual machines | Implementeer de afhankelijkheidsagent voor Windows virtuele machines als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomen en de agent niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 3.3.0 |
| Deploy-standaardextensie Microsoft IaaSAntimalware voor Windows Server | Met dit beleid wordt een Microsoft IaaSAntimalware-extensie geïmplementeerd met een standaardconfiguratie wanneer een VIRTUELE machine niet is geconfigureerd met de antimalware-extensie. | deployIfNotExists | 1.1.0 |
| Afhankelijkheidsagent implementeren voor virtuele-machineschaalsets van Linux | Implementeer Afhankelijkheidsagent voor virtuele-machineschaalsets voor Linux als de VM-installatiekopie (besturingssysteem) in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. Opmerking: als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door een upgrade voor deze virtuele machines aan te roepen. In CLI zou dit az vmss update-instances zijn. | deployIfNotExists | 5.1.0 |
| Deploy Dependency Agent for Linux virtual machine scale sets with Azure Monitoring Agent settings | Implementeer afhankelijkheidsagent voor virtuele-machineschaalsets in Linux met Azure Monitoring Agent-instellingen als de VM-installatiekopieën (OS) in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. Opmerking: als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door een upgrade voor deze virtuele machines aan te roepen. In CLI zou dit az vmss update-instances zijn. | DeployIfNotExists, uitgeschakeld | 3.2.0 |
| Dependency agent implementeren voor virtuele Linux-machines | Implementeer Dependency agent voor virtuele Linux-machines als de VM-installatiekopie (besturingssysteem) voorkomt in de gedefinieerde lijst en de agent niet is geïnstalleerd. | deployIfNotExists | 5.1.0 |
| Deploy Dependency Agent for Linux virtual machines with Azure Monitoring Agent settings | Implementeer afhankelijkheidsagent voor virtuele Linux-machines met Azure Bewakingsagentinstellingen als de VM-installatiekopieën (OS) in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 3.2.0 |
| Deploy Dependency Agent moet worden ingeschakeld voor Windows virtuele-machineschaalsets met Azure Instellingen voor bewakingsagent | Implementeer afhankelijkheidsagent voor Windows virtuele-machineschaalsets met Azure Bewakingsagentinstellingen als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomen en de agent niet is geïnstalleerd. Als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door ze bij te werken. | DeployIfNotExists, uitgeschakeld | 1.4.0 |
| Deploy Dependency Agent moet worden ingeschakeld op Windows virtuele machines met instellingen voor Azure Bewakingsagent | Implementeer afhankelijkheidsagent voor Windows virtuele machines met Azure Bewakingsagentinstellingen als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomen en de agent niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 1.4.0 |
| De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-gastconfiguratie-extensie geïmplementeerd op virtuele Linux-machines die worden gehost in Azure die worden ondersteund door gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 3.2.0 |
| De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows VM's | Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op Windows virtuele machines die worden gehost in Azure die worden ondersteund door gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een Windows definitie van het gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.3.0 |
| Resources voor schijftoegang moeten gebruikmaken van private link | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Schijven en installatiekopieën van het besturingssysteem moeten trustedLaunch ondersteunen | TrustedLaunch verbetert de beveiliging van een virtuele machine waarvoor besturingssysteemschijf en installatiekopieën van het besturingssysteem moeten worden ondersteund (Gen 2). Ga voor meer informatie over TrustedLaunch naar https://aka.ms/trustedlaunch | Audit, uitgeschakeld | 1.0.0 |
| De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Na de installatie zijn in-guest-beleidsregels beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Hotpatch moet zijn ingeschakeld voor Windows Server Azure Edition-VM's | Minimaliseer opnieuw opstarten en installeer updates snel met hotpatch. Meer informatie vindt u op https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Linux-machines moeten voldoen aan de vereisten voor de Azure rekenbeveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet correct is geconfigureerd voor een van de aanbevelingen in de Azure rekenbeveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.3.1 |
| Linux-machines mogen alleen lokale accounts hebben die zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Het beheren van gebruikersaccounts met behulp van Azure Active Directory is een best practice voor het beheer van identiteiten. Het verminderen van lokale computeraccounts helpt de verspreiding van identiteiten die buiten een centraal systeem worden beheerd, te voorkomen. Machines zijn niet-compatibel als lokale gebruikersaccounts bestaan die zijn ingeschakeld en niet worden vermeld in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 2.2.0 |
| Linux virtuele-machineschaalsets moeten Azure Monitor Agent zijn geïnstalleerd | Virtuele Linux-machineschaalsets moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor Agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Met dit beleid worden virtuele-machineschaalsets gecontroleerd met ondersteunde installatiekopieën van besturingssystemen in ondersteunde regio's. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 3.6.0 |
| Hoewel het besturingssysteem en de gegevensschijven van een virtuele machine standaard versleuteld-at-rest zijn met behulp van door platform beheerde sleutels; resourceschijven (tijdelijke schijven), gegevenscaches en gegevensstromen tussen reken- en opslagresources worden niet versleuteld. Gebruik Azure Disk Encryption of EncryptionAtHost om te herstellen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.2.1 | |
| Linux virtuele machines moeten Azure Monitor Agent hebben geïnstalleerd | Virtuele Linux-machines moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor Agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Met dit beleid worden virtuele machines gecontroleerd met ondersteunde installatiekopieën van besturingssystemen in ondersteunde regio's. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 3.6.0 |
| Lokale verificatiemethoden moeten worden uitgeschakeld op Linux-machines | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als linux-servers geen lokale verificatiemethoden hebben uitgeschakeld. Dit is om te controleren of Linux-servers alleen toegankelijk zijn voor een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor de algehele beveiligingsstatus wordt verbeterd. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| Lokale verificatiemethoden moeten worden uitgeschakeld op Windows Servers | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als Windows servers geen lokale verificatiemethoden hebben uitgeschakeld. Dit is om te controleren of Windows Servers alleen toegankelijk zijn voor een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor het algehele beveiligingspostuur wordt verbeterd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| Log Analytics-agent moet zijn geïnstalleerd op uw rolinstanties van Cloud Services (uitgebreide ondersteuning | Security Center verzamelt gegevens van uw rolinstanties van Cloud Services (uitgebreide ondersteuning) om te controleren op beveiligingsproblemen en bedreigingen. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Machines moeten worden geconfigureerd om periodiek te controleren op ontbrekende systeemupdates | Om ervoor te zorgen dat periodieke evaluaties voor ontbrekende systeemupdates elke 24 uur automatisch worden geactiveerd, moet de eigenschap AssessmentMode worden ingesteld op 'AutomaticByPlatform'. Meer informatie over de eigenschap AssessmentMode voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Controleren, Weigeren, Uitgeschakeld | 3.9.0 |
| Computers moeten geheime bevindingen hebben opgelost | Controleert virtuele machines om te detecteren of ze geheime bevindingen van de geheime scanoplossingen op uw virtuele machines bevatten. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Beheerde schijven moeten dubbel worden versleuteld met zowel door het platform beheerde als door de klant beheerde sleutels | Hoge beveiligingsgevoelige klanten die zich zorgen maken over het risico dat gepaard gaat met een bepaald versleutelingsalgoritmen, implementatie of sleutel dat wordt aangetast, kunnen kiezen voor extra versleutelingslaag met behulp van een ander versleutelingsalgoritmen/-modus op de infrastructuurlaag met behulp van door platform beheerde versleutelingssleutels. De schijfversleutelingssets zijn vereist voor het gebruik van dubbele versleuteling. Meer informatie op https://aka.ms/disks-doubleEncryption. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Beheerde schijven moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat een beheerde schijf niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van beheerde schijven beperken. Zie voor meer informatie: https://aka.ms/disksprivatelinksdoc. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Beheerde schijven moeten een specifieke set schijfversleutelingssets gebruiken voor de door de klant beheerde sleutelversleuteling | Als u een specifieke set schijfversleutelingssets wilt gebruiken met beheerde schijven, hebt u controle over de sleutels die worden gebruikt voor versleuteling-at-rest. U kunt de toegestane versleutelde sets selecteren en alle andere worden geweigerd wanneer ze zijn gekoppeld aan een schijf. Meer informatie op https://aka.ms/disks-cmk. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke JIT-toegang (Network Just In Time) wordt als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Antimalware voor Azure moet worden geconfigureerd voor het automatisch bijwerken van beveiligingshandtekeningen | Met dit beleid worden alle Windows virtuele machine gecontroleerd die niet is geconfigureerd met automatische update van Microsoft antimalwarebeveiligingshandtekeningen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft IaaSAntimalware-extensie moet worden geïmplementeerd op Windows servers | Met dit beleid worden alle Windows server-VM's gecontroleerd zonder Microsoft IaaSAntimalware-extensie geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Alleen goedgekeurde VM-extensies mogen worden geïnstalleerd | Dit beleid is van toepassing op extensies van virtuele machines die niet zijn goedgekeurd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Besturingssysteem- en gegevensschijven moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels om de versleuteling in rust van de inhoud van uw beheerde schijven te beheren. Standaard worden de gegevens in rust versleuteld met door het platform beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan wettelijke nalevingsstandaarden. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/disks-cmk. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| Privé-eindpunten voor gastconfiguratietoewijzingen moeten zijn ingeschakeld | Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit met gastconfiguratie in te schakelen voor virtuele machines. Virtuele machines zijn niet-compatibel, tenzij ze de tag EnablePrivateNetworkGC hebben. Met deze tag wordt beveiligde communicatie afgedwongen via privéconnectiviteit met gastconfiguratie voor Virtual Machines. Privéconnectiviteit beperkt de toegang tot verkeer dat alleen afkomstig is van bekende netwerken en voorkomt toegang vanaf alle andere IP-adressen, ook binnen Azure. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Beveilig uw gegevens met verificatievereisten bij het exporteren of uploaden naar een schijf of momentopname. | Wanneer de URL voor exporteren/uploaden wordt gebruikt, controleert het systeem of de gebruiker een identiteit heeft in Azure Active Directory en de benodigde machtigingen heeft om de gegevens te exporteren/uploaden. Raadpleeg aka.ms/DisksAzureADAuth. | Wijzigen, uitgeschakeld | 1.0.0 |
| Automatisch patchen van besturingssysteeminstallatiekopieën op Virtual Machine Scale Sets | Dit beleid dwingt het inschakelen van automatische patching van installatiekopieën van besturingssystemen af op Virtual Machine Scale Sets om altijd Virtual Machines veilig te houden door elke maand veilig de nieuwste beveiligingspatches toe te passen. | deny | 1.0.0 |
| Terugkerende updates plannen met behulp van Azure Update Manager | U kunt Azure Update Manager in Azure gebruiken om terugkerende implementatieschema's op te slaan voor het installeren van besturingssysteemupdates voor uw Windows Server- en Linux-machines in Azure, in on-premises omgevingen en in andere cloudomgevingen die zijn verbonden met Azure Arc servers. Met dit beleid wordt ook de patchmodus voor de Azure virtuele machine gewijzigd in 'AutomaticByPlatform'. Meer informatie: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, uitgeschakeld | 3.14.0 |
| Vereisten instellen voor het plannen van terugkerende updates op Azure virtuele machines. | Met dit beleid wordt de vereiste ingesteld die nodig is voor het plannen van terugkerende updates op Azure Update Manager door patchindeling te configureren in 'Door de klant beheerde planningen'. Deze wijziging stelt de patchmodus automatisch in op 'AutomaticByPlatform' en schakelt BypassPlatformSafetyChecksOnUserSchedule in op True op Azure VM's. De vereiste is niet van toepassing op servers met Arc. Meer informatie- https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost | Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Er moeten systeemupdates worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center) | Op uw machines ontbreken systeem, beveiligings- en essentiële updates. Software-updates bevatten vaak essentiële patches voor beveiligingslekken. Dergelijke lekken worden vaak misbruikt in malware-aanvallen, zodat het essentieel is om uw software bijgewerkt te worden. Als u alle openstaande patches wilt installeren en uw computers wilt beveiligen, volgt u de herstelstappen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op virtuele-machineschaalsets voor Linux | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, wordt met dit beleid alle toekomstige installaties van de verouderde agentextensie op virtuele-machineschaalsets van Linux geweigerd. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op virtuele Linux-machines | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op virtuele Linux-machines. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op virtuele-machineschaalsets | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op Windows virtuele-machineschaalsets. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op virtuele machines | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op Windows virtuele machines. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| Voor virtuele machine moet TrustedLaunch zijn ingeschakeld | Schakel TrustedLaunch in op de virtuele machine voor verbeterde beveiliging, gebruik de VM SKU (Gen 2) die TrustedLaunch ondersteunt. Ga voor meer informatie over TrustedLaunch naar https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, uitgeschakeld | 1.0.0 |
| Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host | Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie op https://aka.ms/vm-hbe. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Virtual-machines moeten worden gemigreerd naar nieuwe Azure Resource Manager resources | Gebruik nieuwe Azure Resource Manager voor uw virtuele machines om beveiligingsverbeteringen te bieden, zoals: sterker toegangsbeheer (RBAC), betere controle, Azure Resource Manager gebaseerde implementatie en governance, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, Azure Verificatie en ondersteuning op basis van AD voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Azure virtuele machines binnen het bereik van dit beleid niet compatibel zijn wanneer de extensie Gastconfiguratie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-agent voor gastconfiguratie. Exploit Guard heeft vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen een groot aantal aanvalsvectoren en gedrag blokkeren dat vaak wordt gebruikt bij malwareaanvallen, terwijl ondernemingen hun beveiligingsrisico's en productiviteitsvereisten (alleen Windows) kunnen verdelen. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows machines moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 4.1.1 |
| Windows machines moeten Windows Defender configureren om beveiligingshandtekeningen binnen één dag bij te werken | Om voldoende bescherming te bieden tegen nieuw uitgebrachte malware, moeten Windows Defender beveiligingshandtekeningen regelmatig worden bijgewerkt om rekening te houden met nieuw uitgebrachte malware. Dit beleid wordt niet toegepast op servers die zijn verbonden met Arc en vereist dat de vereisten voor gastconfiguratie zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Windows machines moeten Windows Defender realtime-beveiliging inschakelen | Windows machines moeten de realtime-beveiliging in de Windows Defender inschakelen om voldoende bescherming te bieden tegen nieuw uitgebrachte malware. Dit beleid is niet van toepassing op verbonden arc-servers en vereist dat de vereisten voor gastconfiguratie zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Windows machines moeten voldoen aan de vereisten voor 'Beheersjablonen - Configuratiescherm' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beheersjablonen - Configuratiescherm voor persoonlijke invoer en preventie van het inschakelen van vergrendelingsschermen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beheersjablonen - MSS (verouderd)' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beheersjablonen - MSS (verouderd) voor automatische aanmelding, schermbeveiliging, netwerkgedrag, veilig DLL- en gebeurtenislogboek. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beheersjablonen - Netwerk' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beheersjablonen - Netwerk voor gastaanmeldingen, gelijktijdige verbindingen, netwerkbrug, ICS en multicast-naamomzetting. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beheersjablonen - Systeem' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beheersjablonen - Systeem voor instellingen die de beheerervaring en Hulp op afstand beheren. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Accounts' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Accounts voor het beperken van het gebruik van lege wachtwoorden en de status van het gastaccount. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Controle' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Controle voor het afdwingen van subcategorie controlebeleid en afsluiten als er geen beveiligingscontroles kunnen worden vastgelegd. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Apparaten' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Apparaten voor het loskoppelen zonder zich aan te melden, printerstuurprogramma's te installeren en media op te maken/uit te werpen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - interactieve aanmelding' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Interactieve aanmelding voor het weergeven van de achternaam en het vereisen van Ctrl-alt-del. Dit beleid vereist dat de vereisten voor gastconfiguratie zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Microsoft netwerkclient' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Microsoft netwerkclient voor Microsoft netwerkclient/-server en SMB v1. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Microsoft netwerkserver' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie 'Beveiligingsopties - Microsoft netwerkserver' voor het uitschakelen van SMB v1-server. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang' | Windows computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie 'Beveiligingsopties - netwerktoegang' voor inclusief toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie 'Beveiligingsopties - Netwerkbeveiliging' voor het opnemen van lokaal systeemgedrag, PKU2U, LAN Manager, LDAP-client en NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Herstelconsole' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Herstelconsole voor het toestaan van diskettekopie en toegang tot alle stations en mappen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Afsluiten' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Afsluiten voor het toestaan van afsluiten zonder aanmelding en het wissen van het wisselbestand voor virtueel geheugen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Systeemobjecten' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Systeemobjecten voor niet-Windows subsystemen en machtigingen van interne systeemobjecten. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Systeeminstellingen' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Systeeminstellingen voor certificaatregels voor uitvoerbare bestanden voor SRP en optionele subsystemen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsopties - Gebruikersaccountbeheer' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Gebruikersaccountbeheer voor de modus voor beheerders, gedrag van vragen om benodigde bevoegdheden en het virtualiseren van schrijffouten in bestanden en registers. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Beveiligingsinstellingen - Accountbeleid' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsinstellingen - Accountbeleid voor wachtwoordgeschiedenis, leeftijd, lengte, complexiteit en het opslaan van wachtwoorden met omkeerbare versleuteling. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Systeemcontrolebeleid - Accountaanmelding' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Accountaanmelding voor het controleren van referentievalidatie en andere accountaanmeldingsgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Systeemcontrolebeleid - Accountbeheer' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Accountbeheer voor het controleren van toepassings-, beveiligings- en gebruikersgroepbeheer en andere beheergebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Systeemcontrolebeleid - Gedetailleerd bijhouden' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Gedetailleerd bijhouden voor het controleren van DPAPI, proces maken/beëindigen, RPC-gebeurtenissen en PNP-activiteit. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor systeemcontrolebeleid - Aanmelden-afmelden | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Aanmelden-Afmelden voor het controleren van IPSec, netwerkbeleid, claims, accountvergrendeling, groepslidmaatschap en aanmeldings-/afmeldingsgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor Systeemcontrolebeleid - Objecttoegang | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Objecttoegang voor controlebestand, register, SAM, opslag, filteren, kernel en andere systeemtypen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Systeemcontrolebeleid - Beleidswijziging' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Beleidswijziging voor het controleren van wijzigingen in systeemcontrolebeleid. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor Systeemcontrolebeleid - Privilege Use' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Privilege Use voor het controleren van niet-gevoelige en andere bevoegdheden. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor 'Systeemcontrolebeleid - Systeem' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Systeemcontrolebeleid - Systeem voor het controleren van IPsec-stuurprogramma, systeemintegriteit, systeemextensie, statuswijziging en andere systeemgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten voor 'Toewijzing van gebruikersrechten' | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie 'Toewijzing van gebruikersrechten' voor het toestaan van lokaal aanmelden, RDP, toegang vanaf het netwerk en vele andere gebruikersactiviteiten. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor Windows Onderdelen | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie 'Windows Onderdelen' voor basisverificatie, niet-versleuteld verkeer, Microsoft accounts, telemetrie, Cortana en andere Windows gedrag. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten voor Windows firewalleigenschappen | Windows machines moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie 'Windows Firewalleigenschappen' voor firewallstatus, verbindingen, regelbeheer en meldingen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows machines moeten voldoen aan de vereisten van de Azure basislijn voor rekenbeveiliging | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet correct is geconfigureerd voor een van de aanbevelingen in de Azure rekenbeveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.1.1 |
| Windows machines mogen alleen lokale accounts hebben die zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Deze definitie wordt niet ondersteund voor Windows Server 2012 of 2012 R2. Het beheren van gebruikersaccounts met behulp van Azure Active Directory is een best practice voor het beheer van identiteiten. Het verminderen van lokale computeraccounts helpt de verspreiding van identiteiten die buiten een centraal systeem worden beheerd, te voorkomen. Machines zijn niet-compatibel als lokale gebruikersaccounts bestaan die zijn ingeschakeld en niet worden vermeld in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows virtuele-machineschaalsets moeten Azure Monitor Agent hebben geïnstalleerd | Windows virtuele-machineschaalsets moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor Agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Virtuele-machineschaalsets met ondersteund besturingssysteem en in ondersteunde regio's worden bewaakt voor Azure Monitor agentimplementatie. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 3.5.0 |
| Hoewel het besturingssysteem en de gegevensschijven van een virtuele machine standaard versleuteld-at-rest zijn met behulp van door platform beheerde sleutels; resourceschijven (tijdelijke schijven), gegevenscaches en gegevensstromen tussen reken- en opslagresources worden niet versleuteld. Gebruik Azure Disk Encryption of EncryptionAtHost om te herstellen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.1.1 | |
| Windows virtuele machines moeten Azure Monitor Agent hebben geïnstalleerd | Windows virtuele machines moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor Agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Windows virtuele machines met ondersteund besturingssysteem en in ondersteunde regio's worden bewaakt voor Azure Monitor Agent-implementatie. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 3.5.0 |
Microsoft. ClassicCompute
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. de standaardprijscategorie van Azure Security Center omvat het scannen op beveiligingsproblemen voor uw virtuele machines zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft vastgesteld dat bepaalde binnenkomende regels van uw netwerkbeveiligingsgroepen te permissief zijn. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerd | Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. | auditIfNotExists | 1.0.0 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Computers moeten geheime bevindingen hebben opgelost | Controleert virtuele machines om te detecteren of ze geheime bevindingen van de geheime scanoplossingen op uw virtuele machines bevatten. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Virtual-machines moeten worden gemigreerd naar nieuwe Azure Resource Manager resources | Gebruik nieuwe Azure Resource Manager voor uw virtuele machines om beveiligingsverbeteringen te bieden, zoals: sterker toegangsbeheer (RBAC), betere controle, Azure Resource Manager gebaseerde implementatie en governance, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, Azure Verificatie en ondersteuning op basis van AD voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Volgende stappen
- Zie de ingebouwde Azure Policy GitHub opslagplaats.
- Bekijk de definitiestructuur Azure Policy.
- Lees Informatie over de effecten van het beleid.