Azure Policy built-in definitions for Azure Arc-enabled servers (Wbudowane definicje usługi Azure Policy dla serwerów z obsługą usługi Azure Arc)
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla serwerów z obsługą usługi Azure Arc. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Serwery z obsługą usługi Azure Arc
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: Tożsamość zarządzana powinna być włączona na maszynach | Zasoby zarządzane przez program Automanage powinny mieć tożsamość zarządzaną. | Inspekcja, wyłączone | 1.0.0-preview |
[Wersja zapoznawcza]: Przypisanie profilu konfiguracji automatycznego zarządzania powinno być zgodne | Zasoby zarządzane przez funkcję Automanage powinny mieć stan Zgodne lub ZgodneKorekty. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany na maszynach z systemem Linux Arc | Zainstaluj agenta zabezpieczeń platformy Azure na maszynach z usługą Linux Arc, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany na maszynach z systemem Windows Arc | Zainstaluj agenta zabezpieczeń platformy Azure na maszynach z systemem Windows Arc, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie z systemem Linux Arc | Zainstaluj rozszerzenie ChangeTracking na maszynach z systemem Linux Arc, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie z systemem Windows Arc | Zainstaluj rozszerzenie ChangeTracking na maszynach z systemem Windows Arc, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Konfigurowanie maszyn z systemem Linux z obsługą usługi Azure Arc przy użyciu agentów usługi Log Analytics połączonych z domyślnym obszarem roboczym usługi Log Analytics | Chroń maszyny z systemem Linux z obsługą usługi Azure Arc przy użyciu Microsoft Defender dla Chmury możliwości, instalując agentów usługi Log Analytics, którzy wysyłają dane do domyślnego obszaru roboczego usługi Log Analytics utworzonego przez Microsoft Defender dla Chmury. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Konfigurowanie maszyn z systemem Windows z obsługą usługi Azure Arc przy użyciu agentów usługi Log Analytics połączonych z domyślnym obszarem roboczym usługi Log Analytics | Chroń maszyny z systemem Windows z obsługą usługi Azure Arc przy użyciu Microsoft Defender dla Chmury możliwości, instalując agentów usługi Log Analytics, którzy wysyłają dane do domyślnego obszaru roboczego usługi Log Analytics utworzonego przez Microsoft Defender dla Chmury. | DeployIfNotExists, Disabled | 1.1.0-preview |
[Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla maszyn z systemem Linux Arc | Skonfiguruj maszyny z usługą Linux Arc, aby automatycznie instalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla maszyn z systemem Windows Arc | Skonfiguruj maszyny z systemem Windows Arc, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Wersja zapoznawcza]: Konfigurowanie maszyn z obsługą usługi Linux Arc do skojarzenia z regułą zbierania danych na potrzeby rozwiązania ChangeTracking i spisu | Wdróż skojarzenie, aby połączyć maszyny z obsługą usługi Linux Arc w określonej regule zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Konfigurowanie maszyn z obsługą usługi Linux Arc w celu zainstalowania usługi AMA na potrzeby rozwiązania ChangeTracking i spisu | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach z obsługą usługi Linux Arc w celu włączenia rozwiązania ChangeTracking i spisu. Te zasady zainstalują rozszerzenie, jeśli region jest obsługiwany. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0—wersja zapoznawcza |
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn z usługą Linux Arc w celu automatycznego instalowania agenta zabezpieczeń platformy Azure | Skonfiguruj obsługiwane maszyny z usługą Linux Arc, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny z systemem Linux Arc muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn z systemem Windows Arc w celu automatycznego instalowania agenta zabezpieczeń platformy Azure | Skonfiguruj obsługiwane maszyny z usługą Windows Arc, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny z systemem Windows Arc muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Konfigurowanie maszyn z obsługą usługi Windows Arc do skojarzenia z regułą zbierania danych na potrzeby rozwiązania ChangeTracking i spisu | Wdróż skojarzenie, aby połączyć maszyny z obsługą usługi Windows Arc w określonej regule zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Konfigurowanie maszyn z obsługą usługi Windows Arc w celu zainstalowania usługi AMA na potrzeby rozwiązania ChangeTracking i spisu | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach z obsługą usługi Windows Arc w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Skonfiguruj system Windows Server, aby wyłączyć użytkowników lokalnych. | Tworzy przypisanie konfiguracji gościa w celu skonfigurowania wyłączania użytkowników lokalnych w systemie Windows Server. Gwarantuje to, że dostęp do serwerów z systemem Windows można uzyskać tylko za pomocą konta usługi AAD (Azure Active Directory) lub listy jawnie dozwolonych użytkowników przez te zasady, zwiększając ogólny poziom zabezpieczeń. | DeployIfNotExists, Disabled | 1.2.0-preview |
[Wersja zapoznawcza]: Odmowa tworzenia lub modyfikowania licencji rozszerzonych aktualizacji zabezpieczeń (ESU). | Te zasady umożliwiają ograniczenie tworzenia lub modyfikowania licencji ESU dla maszyn z systemem Windows Server 2012 Arc. Aby uzyskać więcej informacji na temat cen, odwiedź stronę https://aka.ms/ArcWS2012ESUPricing | Odmów, Wyłączone | 1.0.0-preview |
[Wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach hybrydowych z systemem Linux | Wdraża agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach hybrydowych z systemem Linux | DeployIfNotExists, AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
[Wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach z usługą Windows Azure Arc | Wdraża Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach z usługą Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
[Wersja zapoznawcza]: Włącz licencję rozszerzonych aktualizacji zabezpieczeń (ESU), aby zapewnić ochronę maszyn z systemem Windows 2012 po zakończeniu cyklu wsparcia technicznego. | Włącz licencję rozszerzonych aktualizacji zabezpieczeń (ESU), aby zapewnić ochronę maszyn z systemem Windows 2012 nawet po zakończeniu cyklu wsparcia technicznego. Dowiedz się, jak przygotować się do dostarczania rozszerzonych aktualizacji zabezpieczeń dla systemu Windows Server 2012 za pośrednictwem usługi AzureArc, odwiedź stronę https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Aby uzyskać więcej informacji na temat cen, odwiedź stronę https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Na maszynach z systemem Windows Server 2012 Arc należy zainstalować rozszerzone aktualizacje zabezpieczeń. | Maszyny z systemem Windows Server 2012 Arc powinny mieć zainstalowane wszystkie rozszerzone aktualizacje zabezpieczeń wydane przez firmę Microsoft. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń platformy Azure dla hostów platformy Docker | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń platformy Azure dla hostów platformy Docker. | AuditIfNotExists, Disabled | 1.2.0-preview |
[Wersja zapoznawcza]: Maszyny z systemem Linux powinny spełniać wymagania zgodności STIG dla obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w wymaganiach zgodności STIG dla obliczeń platformy Azure. DISA (Defense Information Systems Agency) zawiera przewodniki techniczne STIG (Security Technical Implementation Guide) w celu zabezpieczenia systemu operacyjnego obliczeniowego zgodnie z wymaganiami Departamentu Obrony (DoD). Aby uzyskać więcej informacji, zobacz https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-preview |
[Wersja zapoznawcza]: Maszyny z systemem Linux z zainstalowanym rozwiązaniem OMI powinny mieć wersję 1.6.8-1 lub nowszą | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Ze względu na poprawkę zabezpieczeń zawartą w wersji 1.6.8-1 pakietu OMI dla systemu Linux wszystkie maszyny powinny zostać zaktualizowane do najnowszej wersji. Uaktualnij aplikacje/pakiety korzystające z usługi OMI, aby rozwiązać ten problem. Aby uzyskać więcej informacji, zobacz https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-preview |
[Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | Te zasady przeprowadzają inspekcję maszyn usługi Azure Arc z systemem Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
[Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | Te zasady przeprowadzają inspekcję maszyn z systemem Windows Azure Arc, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
[Wersja zapoznawcza]: Nexus Compute Machines powinien spełniać punkt odniesienia zabezpieczeń | Korzysta z agenta konfiguracji gościa usługi Azure Policy do przeprowadzania inspekcji. Ta zasada zapewnia, że maszyny są zgodne z punktem odniesienia zabezpieczeń obliczeniowych Nexus, obejmujące różne zalecenia mające na celu wzmacnianie maszyn przed szeregiem luk w zabezpieczeniach i niebezpiecznych konfiguracjach (tylko system Linux). | AuditIfNotExists, Disabled | 1.1.0-preview |
[Wersja zapoznawcza]: Maszyny z systemem Windows powinny spełniać wymagania zgodności STIG dla obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana pod kątem jednego z zaleceń w wymaganiach zgodności STIG dla obliczeń platformy Azure. DISA (Defense Information Systems Agency) zawiera przewodniki techniczne STIG (Security Technical Implementation Guide) w celu zabezpieczenia systemu operacyjnego obliczeniowego zgodnie z wymaganiami Departamentu Obrony (DoD). Aby uzyskać więcej informacji, zobacz https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-preview |
Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | AuditIfNotExists, Disabled | 3.1.0 |
Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | AuditIfNotExists, Disabled | 3.1.0 |
Przeprowadź inspekcję maszyn z systemem Linux, na których nie zainstalowano określonych aplikacji | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli zasób Chef InSpec wskazuje, że co najmniej jeden pakiet dostarczony przez parametr nie jest zainstalowany. | AuditIfNotExists, Disabled | 4.2.0 |
Inspekcja maszyn z systemem Linux z kontami bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które mają konta bez haseł | AuditIfNotExists, Disabled | 3.1.0 |
Przeprowadzanie inspekcji maszyn z systemem Linux z zainstalowanymi określonymi aplikacjami | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli zasób Chef InSpec wskazuje, że zainstalowano co najmniej jeden pakiet dostarczony przez parametr . | AuditIfNotExists, Disabled | 4.2.0 |
Inspekcja stanu zabezpieczeń protokołu SSH dla systemu Linux (obsługiwanego przez program OSConfig) | Te zasady przeprowadzają inspekcję konfiguracji zabezpieczeń serwera SSH na maszynach z systemem Linux (maszynach wirtualnych platformy Azure i maszynach z obsługą usługi Arc). Aby uzyskać więcej informacji, w tym wymagania wstępne, ustawienia w zakresie, wartościach domyślnych i dostosowywaniu, zobacz https://aka.ms/SshPostureControlOverview | AuditIfNotExists, Disabled | 1.0.1 |
Inspekcja maszyn z systemem Windows bez określonych członków w grupie Administratorzy | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa administratorów nie zawiera co najmniej jednego elementu członkowskiego wymienionego w parametrze zasad. | auditIfNotExists | 2.0.0 |
Inspekcja łączności sieciowej maszyn z systemem Windows | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli stan połączenia sieciowego z adresem IP i portEM TCP nie jest zgodny z parametrem zasad. | auditIfNotExists | 2.0.0 |
Inspekcja maszyn z systemem Windows, na których konfiguracja DSC nie jest zgodna | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli polecenie programu Windows PowerShell Get-DSCConfigurationStatus zwraca, że konfiguracja DSC dla maszyny jest niezgodna. | auditIfNotExists | 3.0.0 |
Inspekcja maszyn z systemem Windows, na których agent usługi Log Analytics nie jest połączony zgodnie z oczekiwaniami | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli agent nie jest zainstalowany lub jeśli jest zainstalowany, ale obiekt COM AgentConfigManager.MgmtSvcCfg zwraca, że jest zarejestrowany w obszarze roboczym innym niż identyfikator określony w parametrze zasad. | auditIfNotExists | 2.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych usług i "Uruchomiono" | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli wynik polecenia programu Windows PowerShell Get-Service nie uwzględnia nazwy usługi z pasującym stanem określonym przez parametr zasad. | auditIfNotExists | 3.0.0 |
Inspekcja maszyn z systemem Windows, na których nie włączono konsoli szeregowej systemu Windows | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie ma zainstalowanego oprogramowania konsoli szeregowej lub jeśli numer portu EMS lub szybkość transmisji nie są skonfigurowane z tymi samymi wartościami co parametry zasad. | auditIfNotExists | 3.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które zezwalają na ponowne użycie haseł po określonej liczbie unikatowych haseł. Wartość domyślna dla unikatowych haseł to 24 | AuditIfNotExists, Disabled | 2.1.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie są przyłączone do określonej domeny | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli wartość właściwości Domain w klasie WMI win32_computersystem nie jest zgodna z wartością w parametrze zasad. | auditIfNotExists | 2.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie są ustawione na określoną strefę czasową | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli wartość właściwości StandardName w klasie WMI Win32_TimeZone nie jest zgodna z wybraną strefą czasową dla parametru zasad. | auditIfNotExists | 3.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które zawierają certyfikaty wygasające w ciągu określonej liczby dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli certyfikaty w określonym magazynie mają datę wygaśnięcia spoza zakresu dla liczby dni podanych jako parametr. Zasady udostępniają również opcję sprawdzania tylko określonych certyfikatów lub wykluczania określonych certyfikatów oraz tego, czy raportować wygasłe certyfikaty. | auditIfNotExists | 2.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie zawierają określonych certyfikatów w zaufanym katalogu głównym | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli magazyn zaufanych certyfikatów głównych komputera (Cert:\LocalMachine\Root) nie zawiera co najmniej jednego certyfikatu wymienionego przez parametr zasad. | auditIfNotExists | 3.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają maksymalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna maksymalnego wieku hasła to 70 dni | AuditIfNotExists, Disabled | 2.1.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna minimalnego wieku hasła to 1 dzień | AuditIfNotExists, Disabled | 2.1.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | AuditIfNotExists, Disabled | 2.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają określonych zasad wykonywania programu Windows PowerShell | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli polecenie programu Windows PowerShell Get-ExecutionPolicy zwraca wartość inną niż wybrana w parametrze zasad. | AuditIfNotExists, Disabled | 3.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych modułów programu Windows PowerShell | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli moduł nie jest dostępny w lokalizacji określonej przez zmienną środowiskową PSModulePath. | AuditIfNotExists, Disabled | 3.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków. Wartość domyślna minimalnej długości hasła to 14 znaków | AuditIfNotExists, Disabled | 2.1.0 |
Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | AuditIfNotExists, Disabled | 2.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych aplikacji | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli nazwa aplikacji nie zostanie znaleziona w żadnej z następujących ścieżek rejestru: HKLM:SOFTWARE\Microsoft\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
Inspekcja maszyn z systemem Windows z dodatkowymi kontami w grupie Administratorzy | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administratorzy zawiera elementy członkowskie, które nie są wymienione w parametrze zasad. | auditIfNotExists | 2.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie zostały uruchomione ponownie w ciągu określonej liczby dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli właściwość WMI LastBootUpTime w klasie Win32_Operatingsystem znajduje się poza zakresem dni podanym przez parametr zasad. | auditIfNotExists | 2.0.0 |
Przeprowadzanie inspekcji maszyn z systemem Windows z zainstalowanymi określonymi aplikacjami | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli nazwa aplikacji znajduje się w dowolnej z następujących ścieżek rejestru: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administratorzy zawiera co najmniej jednego członka wymienionego w parametrze zasad. | auditIfNotExists | 2.0.0 |
Przeprowadzanie inspekcji maszyn wirtualnych z systemem Windows z oczekującym ponownym uruchomieniem | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna oczekuje na ponowny rozruch z dowolnego z następujących powodów: obsługa oparta na składnikach, Windows Update, oczekiwanie na zmianę nazwy pliku, oczekiwanie na zmianę nazwy komputera, menedżer konfiguracji oczekuje na ponowny rozruch. Każde wykrywanie ma unikatową ścieżkę rejestru. | auditIfNotExists | 2.0.0 |
Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
Zakresy usługi Azure Arc Private Link powinny być skonfigurowane z prywatnym punktem końcowym | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zakresy usługi Azure Arc Private Link powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. | Inspekcja, wyłączone | 1.0.0 |
Zakresy usługi Azure Arc Private Link powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasoby usługi Azure Arc nie mogą łączyć się za pośrednictwem publicznego Internetu. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie zasobów usługi Azure Arc. Dowiedz się więcej na stronie: https://aka.ms/arc/privatelink. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Serwery z obsługą usługi Azure Arc powinny być skonfigurowane z zakresem usługi Azure Arc Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie serwerów z obsługą usługi Azure Arc do zakresu usługi Azure Arc Private Link skonfigurowanego przy użyciu prywatnego punktu końcowego zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Skonfiguruj serwery z obsługą usługi Arc z zainstalowanym rozszerzeniem programu SQL Server, aby włączyć lub wyłączyć ocenę najlepszych rozwiązań SQL. | Włącz lub wyłącz ocenę najlepszych rozwiązań SQL na wystąpieniach programu SQL Server na serwerach z obsługą usługi Arc, aby ocenić najlepsze rozwiązania. Dowiedz się więcej na https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurowanie serwerów SQL z obsługą usługi Arc w celu automatycznego instalowania agenta usługi Azure Monitor | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na serwerach SQL z obsługą usługi Windows Arc. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
Konfigurowanie serwerów SQL z obsługą usługi Arc w celu automatycznego instalowania usługi Microsoft Defender for SQL | Skonfiguruj serwery SQL z obsługą usługi Windows Arc, aby automatycznie instalować agenta usługi Microsoft Defender for SQL. Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). | DeployIfNotExists, Disabled | 1.2.0 |
Konfigurowanie serwerów SQL z obsługą usługi Arc w celu automatycznego instalowania usługi Microsoft Defender for SQL i DCR przy użyciu obszaru roboczego usługi Log Analytics | Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). Utwórz grupę zasobów, regułę zbierania danych i obszar roboczy usługi Log Analytics w tym samym regionie co maszyna. | DeployIfNotExists, Disabled | 1.5.0 |
Konfigurowanie serwerów SQL z obsługą usługi Arc w celu automatycznego instalowania usługi Microsoft Defender for SQL i DCR przy użyciu zdefiniowanego przez użytkownika obszaru roboczego la | Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). Utwórz grupę zasobów i regułę zbierania danych w tym samym regionie co zdefiniowany przez użytkownika obszar roboczy usługi Log Analytics. | DeployIfNotExists, Disabled | 1.7.0 |
Konfigurowanie serwerów SQL z obsługą usługi Arc za pomocą skojarzenia reguły zbierania danych z usługą Microsoft Defender dla usługi SQL DCR | Skonfiguruj skojarzenie między serwerami SQL z obsługą usługi Arc i usługą Microsoft Defender for SQL DCR. Usunięcie tego skojarzenia spowoduje przerwanie wykrywania luk w zabezpieczeniach dla tych serwerów SQL z obsługą usługi Arc. | DeployIfNotExists, Disabled | 1.1.0 |
Konfigurowanie serwerów SQL z obsługą usługi Arc za pomocą skojarzenia reguł zbierania danych z usługą Microsoft Defender dla zdefiniowanej przez użytkownika usługi DCR w usłudze Microsoft Defender | Skonfiguruj skojarzenie między serwerami SQL z włączoną usługą Arc i zdefiniowanym przez użytkownika kontrolerem domeny usługi Microsoft Defender for SQL. Usunięcie tego skojarzenia spowoduje przerwanie wykrywania luk w zabezpieczeniach dla tych serwerów SQL z obsługą usługi Arc. | DeployIfNotExists, Disabled | 1.3.0 |
Konfigurowanie zakresów usługi Azure Arc Private Link w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zakresu usługi Azure Arc Private Link, aby skojarzone zasoby usługi Azure Arc nie mogły łączyć się z usługami Azure Arc za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/arc/privatelink. | Modyfikowanie, wyłączone | 1.0.0 |
Konfigurowanie zakresów usługi Azure Arc Private Link z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zakresy usługi Azure Arc Private Link, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 2.0.0 |
Konfigurowanie serwerów z obsługą usługi Azure Arc do korzystania z zakresu usługi Azure Arc Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie serwerów z obsługą usługi Azure Arc do zakresu usługi Azure Arc Private Link skonfigurowanego przy użyciu prywatnego punktu końcowego zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. | Modyfikowanie, wyłączone | 1.0.0 |
Konfigurowanie usługi Azure Defender dla serwerów do wyłączenia dla wszystkich zasobów (poziom zasobów) | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady spowodują wyłączenie planu usługi Defender for Servers dla wszystkich zasobów (maszyn wirtualnych, zestawów SKALOWANIA maszyn wirtualnych i maszyn ARC) w wybranym zakresie (subskrypcja lub grupa zasobów). | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurowanie usługi Azure Defender dla serwerów do wyłączenia dla zasobów (poziom zasobów) przy użyciu wybranego tagu | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady spowodują wyłączenie planu usługi Defender for Servers dla wszystkich zasobów (maszyn wirtualnych, zestawów skalowania maszyn wirtualnych i maszyn ARC), które mają wybraną nazwę tagu i wartości tagów. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurowanie usługi Azure Defender dla serwerów do włączenia (podplanu P1) dla wszystkich zasobów (poziom zasobów) przy użyciu wybranego tagu | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady umożliwią plan usługi Defender for Servers (z podplanem P1) dla wszystkich zasobów (maszyn wirtualnych i maszyn ARC), które mają wybraną nazwę tagu i wartości tagów. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurowanie usługi Azure Defender dla serwerów do włączenia (z podplanem "P1" dla wszystkich zasobów (poziom zasobów) | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady umożliwią plan usługi Defender for Servers (z podplanem P1) dla wszystkich zasobów (maszyn wirtualnych i maszyn ARC) w wybranym zakresie (subskrypcja lub grupa zasobów). | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurowanie agenta zależności na serwerach z systemem Linux z obsługą usługi Azure Arc | Włącz szczegółowe informacje o maszynach wirtualnych na serwerach i maszynach połączonych z platformą Azure za pośrednictwem serwerów z obsługą usługi Arc, instalując rozszerzenie maszyny wirtualnej agenta zależności. Szczegółowe informacje o maszynie wirtualnej używają agenta zależności do zbierania metryk sieci i odnalezionych danych dotyczących procesów uruchomionych na maszynie i zależnościach procesów zewnętrznych. Zobacz więcej — https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.1.0 |
Konfigurowanie agenta zależności na serwerach z systemem Linux z obsługą usługi Azure Arc przy użyciu ustawień agenta monitorowania platformy Azure | Włącz szczegółowe informacje o maszynach wirtualnych na serwerach i maszynach połączonych z platformą Azure za pośrednictwem serwerów z obsługą usługi Arc, instalując rozszerzenie maszyny wirtualnej agenta zależności przy użyciu ustawień agenta monitorowania platformy Azure. Szczegółowe informacje o maszynie wirtualnej używają agenta zależności do zbierania metryk sieci i odnalezionych danych dotyczących procesów uruchomionych na maszynie i zależnościach procesów zewnętrznych. Zobacz więcej — https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.2.0 |
Konfigurowanie agenta zależności na serwerach z systemem Windows z obsługą usługi Azure Arc | Włącz szczegółowe informacje o maszynach wirtualnych na serwerach i maszynach połączonych z platformą Azure za pośrednictwem serwerów z obsługą usługi Arc, instalując rozszerzenie maszyny wirtualnej agenta zależności. Szczegółowe informacje o maszynie wirtualnej używają agenta zależności do zbierania metryk sieci i odnalezionych danych dotyczących procesów uruchomionych na maszynie i zależnościach procesów zewnętrznych. Zobacz więcej — https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.1.0 |
Konfigurowanie agenta zależności na serwerach z systemem Windows z obsługą usługi Azure Arc przy użyciu ustawień agenta monitorowania platformy Azure | Włącz szczegółowe informacje o maszynach wirtualnych na serwerach i maszynach połączonych z platformą Azure za pośrednictwem serwerów z obsługą usługi Arc, instalując rozszerzenie maszyny wirtualnej agenta zależności przy użyciu ustawień agenta monitorowania platformy Azure. Szczegółowe informacje o maszynie wirtualnej używają agenta zależności do zbierania metryk sieci i odnalezionych danych dotyczących procesów uruchomionych na maszynie i zależnościach procesów zewnętrznych. Zobacz więcej — https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.2.0 |
Konfigurowanie maszyn z systemem Linux Arc do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć maszyny z systemem Linux Arc z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 2.2.1 |
Konfigurowanie maszyn z obsługą usługi Linux Arc do uruchamiania agenta usługi Azure Monitor | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach z obsługą usługi Linux Arc w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli region jest obsługiwany. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
Konfigurowanie maszyn z systemem Linux do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie w celu połączenia maszyn wirtualnych z systemem Linux, zestawów skalowania maszyn wirtualnych i maszyn arc do określonej reguły zbierania danych lub określonego punktu końcowego zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 6.5.1 |
Skonfiguruj serwer z systemem Linux, aby wyłączyć użytkowników lokalnych. | Tworzy przypisanie konfiguracji gościa w celu skonfigurowania wyłączania użytkowników lokalnych na serwerze z systemem Linux. Gwarantuje to, że dostęp do serwerów z systemem Linux może uzyskać tylko konto usługi AAD (Azure Active Directory) lub lista jawnie dozwolonych użytkowników przez te zasady, co poprawia ogólny poziom zabezpieczeń. | DeployIfNotExists, Disabled | 1.3.0—wersja zapoznawcza |
Konfigurowanie rozszerzenia usługi Log Analytics na serwerach z systemem Linux z obsługą usługi Azure Arc. Zobacz powiadomienie o wycofaniu poniżej | Włącz szczegółowe informacje o maszynach wirtualnych na serwerach i maszynach połączonych z platformą Azure za pośrednictwem serwerów z obsługą usługi Arc, instalując rozszerzenie maszyny wirtualnej usługi Log Analytics. Szczegółowe informacje o maszynie wirtualnej używają agenta usługi Log Analytics do zbierania danych wydajności systemu operacyjnego gościa i zapewnia wgląd w ich wydajność. Zobacz więcej — https://aka.ms/vminsightsdocs. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor | DeployIfNotExists, Disabled | 2.1.1 |
Konfigurowanie rozszerzenia usługi Log Analytics na serwerach z systemem Windows z obsługą usługi Azure Arc | Włącz szczegółowe informacje o maszynach wirtualnych na serwerach i maszynach połączonych z platformą Azure za pośrednictwem serwerów z obsługą usługi Arc, instalując rozszerzenie maszyny wirtualnej usługi Log Analytics. Szczegółowe informacje o maszynie wirtualnej używają agenta usługi Log Analytics do zbierania danych wydajności systemu operacyjnego gościa i zapewnia wgląd w ich wydajność. Zobacz więcej — https://aka.ms/vminsightsdocs. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.1.1 |
Konfigurowanie maszyn do odbierania dostawcy oceny luk w zabezpieczeniach | Usługa Azure Defender obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn bez dodatkowych kosztów. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane w usłudze Security Center. Po włączeniu tych zasad usługa Azure Defender automatycznie wdraża dostawcę oceny luk w zabezpieczeniach Qualys na wszystkich obsługiwanych maszynach, które nie zostały jeszcze zainstalowane. | DeployIfNotExists, Disabled | 4.0.0 |
Konfigurowanie okresowego sprawdzania brakujących aktualizacji systemu na serwerach z obsługą usługi Azure Arc | Skonfiguruj automatyczną ocenę (co 24 godziny) pod kątem aktualizacji systemu operacyjnego na serwerach z obsługą usługi Azure Arc. Zakres przypisywania można kontrolować zgodnie z subskrypcją maszyny, grupą zasobów, lokalizacją lub tagiem. Dowiedz się więcej o tym dla systemu Windows: https://aka.ms/computevm-windowspatchassessmentmode, dla systemu Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Modyfikowanie | 2.3.0 |
Konfigurowanie protokołów bezpiecznej komunikacji (TLS 1.1 lub TLS 1.2) na maszynach z systemem Windows | Tworzy przypisanie konfiguracji gościa w celu skonfigurowania określonej wersji protokołu bezpiecznego (TLS 1.1 lub TLS 1.2) na maszynie z systemem Windows. | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurowanie stanu zabezpieczeń protokołu SSH dla systemu Linux (obsługiwanego przez program OSConfig) | Te zasady przeprowadzają inspekcję i konfigurowanie konfiguracji zabezpieczeń serwera SSH na maszynach z systemem Linux (maszyny wirtualne platformy Azure i maszyny z obsługą usługi Arc). Aby uzyskać więcej informacji, w tym wymagania wstępne, ustawienia w zakresie, wartościach domyślnych i dostosowywaniu, zobacz https://aka.ms/SshPostureControlOverview | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurowanie obszaru roboczego usługi Microsoft Defender dla usługi SQL Log Analytics | Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). Utwórz grupę zasobów i obszar roboczy usługi Log Analytics w tym samym regionie co maszyna. | DeployIfNotExists, Disabled | 1.4.0 |
Konfigurowanie strefy czasowej na maszynach z systemem Windows. | Te zasady umożliwiają utworzenie przypisania konfiguracji gościa w celu ustawienia określonej strefy czasowej na maszynach wirtualnych z systemem Windows. | deployIfNotExists | 2.1.0 |
Konfigurowanie maszyn wirtualnych do dołączenia do usługi Azure Automanage | Usługa Azure Automanage rejestruje, konfiguruje i monitoruje maszyny wirtualne przy użyciu najlepszych rozwiązań zdefiniowanych w przewodniku Microsoft Cloud Adoption Framework dla platformy Azure. Użyj tych zasad, aby zastosować automanage do wybranego zakresu. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
Konfigurowanie maszyn wirtualnych do dołączania do usługi Azure Automanage przy użyciu niestandardowego profilu konfiguracji | Usługa Azure Automanage rejestruje, konfiguruje i monitoruje maszyny wirtualne przy użyciu najlepszych rozwiązań zdefiniowanych w przewodniku Microsoft Cloud Adoption Framework dla platformy Azure. Użyj tych zasad, aby zastosować automanage z własnym dostosowanym profilem konfiguracji do wybranego zakresu. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
Konfigurowanie maszyn z systemem Windows Arc do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć maszyny z systemem Windows Arc z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 2.2.1 |
Konfigurowanie maszyn z obsługą usługi Windows Arc do uruchamiania agenta usługi Azure Monitor | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach z obsługą usługi Windows Arc w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
Konfigurowanie maszyn z systemem Windows do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Windows, zestawy skalowania maszyn wirtualnych i maszyny arc do określonej reguły zbierania danych lub określonego punktu końcowego zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 4.5.1 |
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Obsługiwane rozwiązania ochrony punktu końcowego w usłudze Azure Security Center zostały opisane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Program Endpoint Protection powinien być zainstalowany na maszynach | Aby chronić maszyny przed zagrożeniami i lukami w zabezpieczeniach, zainstaluj obsługiwane rozwiązanie ochrony punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
Na maszynach z obsługą usługi Linux Arc powinien być zainstalowany agent usługi Azure Monitor | Maszyny z obsługą usługi Linux Arc powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Te zasady przeprowadźą inspekcję maszyn z obsługą usługi Arc w obsługiwanych regionach. Dowiedz się więcej: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 2.2.0 |
Maszyny z systemem Linux powinny mieć dozwolone tylko konta lokalne | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Zarządzanie kontami użytkowników przy użyciu usługi Azure Active Directory to najlepsze rozwiązanie do zarządzania tożsamościami. Zmniejszenie liczby kont maszyn lokalnych pomaga zapobiec rozprzestrzenianiu się tożsamości zarządzanych poza systemem centralnym. Maszyny są niezgodne, jeśli istnieją konta użytkowników lokalnych, które są włączone, a nie wymienione w parametrze zasad. | AuditIfNotExists, Disabled | 2.2.0 |
Lokalne metody uwierzytelniania powinny być wyłączone na maszynach z systemem Linux | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli serwery z systemem Linux nie mają wyłączonych lokalnych metod uwierzytelniania. Ma to na celu sprawdzenie, czy serwery z systemem Linux mogą być dostępne tylko przez konto usługi AAD (Azure Active Directory) lub listę jawnie dozwolonych użytkowników przez te zasady, zwiększając ogólny stan zabezpieczeń. | AuditIfNotExists, Disabled | 1.2.0-preview |
Metody uwierzytelniania lokalnego powinny być wyłączone na serwerach z systemem Windows | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli serwery z systemem Windows nie mają wyłączonych lokalnych metod uwierzytelniania. Ma to na celu sprawdzenie, czy dostęp do serwerów z systemem Windows można uzyskać tylko za pomocą konta usługi AAD (Azure Active Directory) lub listy jawnie dozwolonych użytkowników przez te zasady, co poprawia ogólny stan zabezpieczeń. | AuditIfNotExists, Disabled | 1.0.0-preview |
Maszyny należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemu | Aby zapewnić automatyczne wyzwalanie okresowych ocen brakujących aktualizacji systemu co 24 godziny, właściwość AssessmentMode powinna być ustawiona na wartość "AutomaticByPlatform". Dowiedz się więcej o właściwości AssessmentMode dla systemu Windows: https://aka.ms/computevm-windowspatchassessmentmode, dla systemu Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Inspekcja, Odmowa, Wyłączone | 3.7.0 |
Planowanie cyklicznych aktualizacji przy użyciu usługi Azure Update Manager | Program Azure Update Manager na platformie Azure umożliwia zapisywanie cyklicznych harmonogramów wdrażania w celu zainstalowania aktualizacji systemu operacyjnego dla maszyn z systemem Windows Server i Linux na platformie Azure, w środowiskach lokalnych i w innych środowiskach w chmurze połączonych przy użyciu serwerów z obsługą usługi Azure Arc. Te zasady zmienią również tryb stosowania poprawek dla maszyny wirtualnej platformy Azure na "AutomaticByPlatform". Zobacz więcej: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.12.0 |
Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Ocena luk w zabezpieczeniach SQL skanuje bazę danych pod kątem luk w zabezpieczeniach i ujawnia wszelkie odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione poufne dane. Rozwiązanie znalezionych luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń bazy danych. | AuditIfNotExists, Disabled | 1.0.0 |
Subskrybowanie kwalifikujących się wystąpień programu SQL Server z obsługą usługi Arc do rozszerzonych aktualizacji zabezpieczeń. | Subskrybuj kwalifikujące się wystąpienia usług SQL Server z obsługą usługi Arc z typem licencji ustawionym na płatne lub płatne zgodnie z rozszerzonymi aktualizacjami zabezpieczeń. Więcej informacji na temat rozszerzonych aktualizacji https://go.microsoft.com/fwlink/?linkid=2239401zabezpieczeń . | DeployIfNotExists, Disabled | 1.0.0 |
Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji) | Na maszynach brakuje systemu, zabezpieczeń i aktualizacji krytycznych. Aktualizacje oprogramowania często obejmują krytyczne poprawki do luk w zabezpieczeniach. Takie są często wykorzystywane w atakach złośliwego oprogramowania, dlatego ważne jest, aby oprogramowanie było aktualizowane. Aby zainstalować wszystkie zaległe poprawki i zabezpieczyć maszyny, wykonaj kroki korygowania. | AuditIfNotExists, Disabled | 1.0.1 |
Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane na serwerach z systemem Linux z obsługą usługi Azure Arc | Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą blokować wszystkie przyszłe instalacje starszego rozszerzenia agenta na serwerach z systemem Linux z obsługą usługi Azure Arc. Dowiedz się więcej: https://aka.ms/migratetoAMA | Odmowa, inspekcja, wyłączone | 1.0.0 |
Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane na serwerach z systemem Windows z obsługą usługi Azure Arc | Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą blokować wszystkie przyszłe instalacje starszego rozszerzenia agenta na serwerach z systemem Windows z obsługą usługi Azure Arc. Dowiedz się więcej: https://aka.ms/migratetoAMA | Odmowa, inspekcja, wyłączone | 1.0.0 |
Maszyny z obsługą usługi Windows Arc powinny mieć zainstalowanego agenta usługi Azure Monitor | Maszyny z obsługą usługi Windows Arc powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Maszyny z obsługą usługi Windows Arc w obsługiwanych regionach są monitorowane pod kątem wdrażania agenta usługi Azure Monitor. Dowiedz się więcej: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists, Disabled | 4.1.1 |
Maszyny z systemem Windows powinny skonfigurować usługę Windows Defender do aktualizowania sygnatur ochrony w ciągu jednego dnia | Aby zapewnić odpowiednią ochronę przed nowo wydanym złośliwym oprogramowaniem, należy regularnie aktualizować podpisy ochrony usługi Windows Defender, aby uwzględnić nowo wydane złośliwe oprogramowanie. Te zasady nie są stosowane do serwerów połączonych z usługą Arc i wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Maszyny z systemem Windows powinny włączyć ochronę w czasie rzeczywistym w usłudze Windows Defender | Maszyny z systemem Windows powinny włączyć ochronę w czasie rzeczywistym w usłudze Windows Defender, aby zapewnić odpowiednią ochronę przed nowo wydanym złośliwym oprogramowaniem. Te zasady nie mają zastosowania do serwerów połączonych z łukiem i wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów administracyjnych — Panel sterowania | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Szablony administracyjne — Panel sterowania" na potrzeby personalizacji danych wejściowych i zapobiegania włączaniu ekranów blokady. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów administracyjnych — MSS (starsza wersja)" | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Szablony administracyjne — MSS (starsza wersja)" na potrzeby automatycznego logowania, wygaszacza ekranu, zachowania sieci, bezpiecznej biblioteki DLL i dziennika zdarzeń. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów administracyjnych — sieć | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Szablony administracyjne — sieć" dla logowania gościa, równoczesne połączenia, mostek sieciowy, ICS i rozpoznawanie nazw multiemisji. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów administracyjnych — system | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Szablony administracyjne — system" dla ustawień kontrolujących środowisko administracyjne i Pomoc zdalna. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — konta | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — konta" w celu ograniczenia używania konta lokalnego pustych haseł i stanu konta gościa. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — inspekcja | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — inspekcja" w celu wymuszania podkategorii zasad inspekcji i zamykania, jeśli nie można rejestrować inspekcji zabezpieczeń. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — urządzenia | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — urządzenia" do oddokowywania bez logowania, instalowania sterowników wydruku i formatowania/wysuwania nośnika. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — logowanie interakcyjne | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — logowanie interakcyjne" do wyświetlania nazwiska użytkownika i wymagania ctrl-alt-del. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — klient sieci firmy Microsoft | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — klient sieci Firmy Microsoft" dla klienta/serwera sieciowego firmy Microsoft i protokołu SMB v1. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — Microsoft Network Server | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — Microsoft Network Server" do wyłączania serwera SMB v1. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — dostęp sieciowy" w celu włączenia dostępu dla użytkowników anonimowych, kont lokalnych i dostępu zdalnego do rejestru. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — zabezpieczenia sieci" w celu włączenia zachowania systemu lokalnego, PKU2U, programu LAN Manager, klienta LDAP i dostawcy SSP NTLM. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — konsola odzyskiwania | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — konsola odzyskiwania" umożliwiające kopiowanie dyskietek i dostęp do wszystkich dysków i folderów. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zamykanie | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — zamknięcie", aby umożliwić zamknięcie bez logowania i wyczyszczenie pliku stronicowania pamięci wirtualnej. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — obiektów systemowych | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — obiekty systemowe" w przypadku braku poufności dla podsystemów innych niż Windows i uprawnień wewnętrznych obiektów systemu. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — ustawienia systemowe | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — ustawienia systemowe" dla reguł certyfikatów w plikach wykonywalnych dla SRP i opcjonalnych podsystemów. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — kontrola konta użytkownika | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — Kontrola konta użytkownika" dla administratorów, zachowanie monitu o podniesienie uprawnień oraz wirtualizacja błędów zapisu pliku i rejestru. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące ustawień zabezpieczeń — zasady konta | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Ustawienia zabezpieczeń — zasady konta" dla historii haseł, wieku, długości, złożoności i przechowywania haseł przy użyciu szyfrowania odwracalnego. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — logowanie do konta | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — logowanie konta" na potrzeby inspekcji weryfikacji poświadczeń i innych zdarzeń logowania do konta. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — zarządzanie kontami | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — zarządzanie kontami" na potrzeby inspekcji aplikacji, zabezpieczeń i zarządzania grupami użytkowników oraz innych zdarzeń zarządzania. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — szczegółowe śledzenie" na potrzeby inspekcji DPAPI, tworzenia/kończenia procesu, zdarzeń RPC i działania PNP. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — logowanie i wylogowanie | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — Logon-Logoff" na potrzeby inspekcji protokołu IPSec, zasad sieciowych, oświadczeń, blokady konta, członkostwa w grupach i zdarzeń logowania/wylogowania. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — dostęp do obiektów | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — dostęp do obiektów" na potrzeby inspekcji plików, rejestru, SAM, magazynu, filtrowania, jądra i innych typów systemu. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — zmiana zasad | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — zmiana zasad" na potrzeby inspekcji zmian w zasadach inspekcji systemu. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — użycie uprawnień | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — użycie uprawnień" do inspekcji niewrażliwe i inne użycie uprawnień. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — system | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — system" na potrzeby inspekcji sterownika IPsec, integralności systemu, rozszerzenia systemu, zmiany stanu i innych zdarzeń systemowych. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące przypisywania praw użytkownika | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Przypisywanie praw użytkownika" do zezwalania na logowanie lokalne, RDP, dostęp z sieci i wiele innych działań użytkownika. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące składników systemu Windows | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Składniki systemu Windows" na potrzeby uwierzytelniania podstawowego, niezaszyfrowanego ruchu, kont Microsoft, telemetrii, Cortany i innych zachowań systemu Windows. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania dotyczące właściwości zapory systemu Windows | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Właściwości zapory systemu Windows" dla stanu zapory, połączeń, zarządzania regułami i powiadomień. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Maszyny z systemem Windows powinny mieć dozwolone tylko konta lokalne | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Ta definicja nie jest obsługiwana w systemie Windows Server 2012 lub 2012 R2. Zarządzanie kontami użytkowników przy użyciu usługi Azure Active Directory to najlepsze rozwiązanie do zarządzania tożsamościami. Zmniejszenie liczby kont maszyn lokalnych pomaga zapobiec rozprzestrzenianiu się tożsamości zarządzanych poza systemem centralnym. Maszyny są niezgodne, jeśli istnieją konta użytkowników lokalnych, które są włączone, a nie wymienione w parametrze zasad. | AuditIfNotExists, Disabled | 2.0.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.