Wbudowane definicje usługi Azure Policy dla zestawów skalowania maszyn wirtualnych platformy Azure
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla zestawów skalowania maszyn wirtualnych platformy Azure. Aby uzyskać więcej wbudowanych funkcji usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Microsoft.Compute
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Tożsamość zarządzana powinna być włączona na maszynach | Zasoby zarządzane przez program Automanage powinny mieć tożsamość zarządzaną. | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Dodawanie tożsamości zarządzanej przypisanej przez użytkownika w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych | Te zasady dodają tożsamość zarządzaną przypisaną przez użytkownika do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Tożsamość zarządzana przypisana przez użytkownika jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-preview |
| [Wersja zapoznawcza]: Przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika do zestawów skalowania maszyn wirtualnych | Utwórz i przypisz wbudowaną tożsamość zarządzaną przypisaną przez użytkownika lub przypisz wstępnie utworzoną tożsamość zarządzaną przypisaną przez użytkownika na dużą skalę do zestawów skalowania maszyn wirtualnych. Aby uzyskać bardziej szczegółową dokumentację, odwiedź aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
| [Wersja zapoznawcza]: Przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika do maszyn wirtualnych | Utwórz i przypisz wbudowaną tożsamość zarządzaną przypisaną przez użytkownika lub przypisz wstępnie utworzoną tożsamość zarządzaną przypisaną przez użytkownika na dużą skalę do maszyn wirtualnych. Aby uzyskać bardziej szczegółową dokumentację, odwiedź aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
| [Wersja zapoznawcza]: Inspekcja kontroli stanu protokołu SSH na maszynach z systemem Linux | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli serwer SSH nie jest bezpiecznie skonfigurowany na maszynach z systemem Linux. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Przypisanie profilu konfiguracji automatycznego zarządzania powinno być zgodne | Zasoby zarządzane przez funkcję Automanage powinny mieć stan Zgodne lub ZgodneKorekty. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Usługa Azure Backup powinna być włączona dla Dyski zarządzane | Zapewnij ochronę Dyski zarządzane, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany w zestawach skalowania maszyn wirtualnych z systemem Linux | Zainstaluj agenta zabezpieczeń platformy Azure w zestawach skalowania maszyn wirtualnych z systemem Linux, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Zainstaluj agenta zabezpieczeń platformy Azure na maszynach wirtualnych z systemem Linux, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany w zestawach skalowania maszyn wirtualnych z systemem Windows | Zainstaluj agenta zabezpieczeń platformy Azure w zestawach skalowania maszyn wirtualnych z systemem Windows, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Zainstaluj agenta zabezpieczeń platformy Azure na maszynach wirtualnych z systemem Windows, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Wersja zapoznawcza]: Diagnostyka rozruchu powinna być włączona na maszynach wirtualnych | Maszyny wirtualne platformy Azure powinny mieć włączoną diagnostykę rozruchu. | Inspekcja, wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie wirtualnej z systemem Linux | Zainstaluj rozszerzenie ChangeTracking na maszynach wirtualnych z systemem Linux, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane w zestawach skalowania maszyn wirtualnych z systemem Linux | Zainstaluj rozszerzenie ChangeTracking w zestawach skalowania maszyn wirtualnych z systemem Linux, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie wirtualnej z systemem Windows | Zainstaluj rozszerzenie ChangeTracking na maszynach wirtualnych z systemem Windows, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane w zestawach skalowania maszyn wirtualnych z systemem Windows | Zainstaluj rozszerzenie ChangeTracking w zestawach skalowania maszyn wirtualnych z systemem Windows, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie agenta usługi Azure Defender for SQL na maszynie wirtualnej | Skonfiguruj maszyny z systemem Windows, aby automatycznie instalować agenta usługi Azure Defender for SQL, na którym zainstalowano agenta usługi Azure Monitor. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Tworzy grupę zasobów i obszar roboczy usługi Log Analytics w tym samym regionie co maszyna. Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie kopii zapasowej dla dysków platformy Azure (Dyski zarządzane) przy użyciu danego tagu do istniejącego magazynu kopii zapasowych w tym samym regionie | Wymuś tworzenie kopii zapasowej dla wszystkich dysków platformy Azure (Dyski zarządzane), które zawierają dany tag do centralnego magazynu kopii zapasowych. Dowiedz się więcej na stronie https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie kopii zapasowej dysków platformy Azure (Dyski zarządzane) bez danego tagu do istniejącego magazynu kopii zapasowych w tym samym regionie | Wymuszaj tworzenie kopii zapasowej dla wszystkich dysków platformy Azure (Dyski zarządzane), które nie zawierają danego tagu w centralnym magazynie kopii zapasowych. Dowiedz się więcej na stronie https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla zestawów skalowania maszyn wirtualnych z systemem Linux | Skonfiguruj zestawy skalowania maszyn wirtualnych z systemem Linux, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla maszyn wirtualnych z systemem Linux | Skonfiguruj maszyny wirtualne z systemem Linux, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla zestawów skalowania maszyn wirtualnych z systemem Windows | Skonfiguruj zestawy skalowania maszyn wirtualnych z systemem Windows, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla maszyn wirtualnych z systemem Windows | Skonfiguruj maszyny wirtualne z systemem Windows, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych z systemem Linux do skojarzenia z regułą zbierania danych dla funkcji ChangeTracking i Inventory | Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Linux z określoną regułą zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych z systemem Linux w celu zainstalowania usługi AMA dla rozwiązania ChangeTracking i spisu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Linux w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | Wersja zapoznawcza 1.5.0 |
| [Wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych z systemem Linux do skojarzenia z regułą zbierania danych na potrzeby rozwiązania ChangeTracking i spisu | Wdróż skojarzenie, aby połączyć zestawy skalowania maszyn wirtualnych z systemem Linux z określoną regułą zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych z systemem Linux w celu zainstalowania usługi AMA dla rozwiązania ChangeTracking i spisu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Linux w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Linux w celu automatycznego instalowania agenta zabezpieczeń platformy Azure | Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Linux, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Linux w celu automatycznego instalowania rozszerzenia zaświadczania gościa | Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Linux, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Disabled | Wersja zapoznawcza 6.1.0 |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Linux w celu automatycznego włączania bezpiecznego rozruchu | Skonfiguruj obsługiwane maszyny wirtualne z systemem Linux, aby automatycznie włączyć bezpieczny rozruch w celu ograniczenia ryzyka złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. | DeployIfNotExists, Disabled | 5.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Linux w celu automatycznego instalowania agenta zabezpieczeń platformy Azure | Skonfiguruj obsługiwane maszyny wirtualne z systemem Linux, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | Wersja zapoznawcza 7.0.0 |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Linux w celu automatycznego instalowania rozszerzenia zaświadczania gościa | Skonfiguruj obsługiwane maszyny wirtualne z systemem Linux, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Disabled | Wersja zapoznawcza 7.1.0 |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych w celu automatycznego włączania maszyn wirtualnych vTPM | Skonfiguruj obsługiwane maszyny wirtualne, aby automatycznie włączyć maszyny wirtualne vTPM w celu ułatwienia mierzonego rozruchu i innych funkcji zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn z systemem Windows w celu automatycznego instalowania agenta zabezpieczeń platformy Azure | Skonfiguruj obsługiwane maszyny z systemem Windows, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | Wersja zapoznawcza 5.1.0 |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Windows w celu automatycznego instalowania agenta zabezpieczeń platformy Azure | Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Windows, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe zestawy skalowania maszyn wirtualnych z systemem Windows muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Windows w celu automatycznego instalowania rozszerzenia zaświadczania gościa | Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Windows, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Disabled | 4.1.0—wersja zapoznawcza |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Windows w celu automatycznego włączania bezpiecznego rozruchu | Skonfiguruj obsługiwane maszyny wirtualne z systemem Windows, aby automatycznie włączyć bezpieczny rozruch w celu ograniczenia ryzyka złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. | DeployIfNotExists, Disabled | 3.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Windows w celu automatycznego instalowania rozszerzenia zaświadczania gościa | Skonfiguruj obsługiwane maszyny wirtualne z systemem Windows, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Disabled | Wersja zapoznawcza 5.1.0 |
| [Wersja zapoznawcza]: Konfigurowanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań usługi Azure Monitor na maszynach wirtualnych | Skonfiguruj tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez usługę Azure Monitor i nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań usługi Azure Monitor i musi zostać dodana do maszyn przed użyciem dowolnego rozszerzenia usługi Azure Monitor. Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. | Modyfikowanie, wyłączone | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych utworzonych przy użyciu obrazów galerii obrazów udostępnionych w celu zainstalowania rozszerzenia zaświadczania gościa | Skonfiguruj maszyny wirtualne utworzone przy użyciu obrazów galerii obrazów udostępnionych, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie usługi VMSS utworzonego przy użyciu obrazów galerii obrazów udostępnionych w celu zainstalowania rozszerzenia zaświadczania gościa | Skonfiguruj usługę VMSS utworzoną przy użyciu obrazów z galerii obrazów udostępnionych, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Wersja zapoznawcza]: Skonfiguruj system Windows Server, aby wyłączyć użytkowników lokalnych. | Tworzy przypisanie konfiguracji gościa w celu skonfigurowania wyłączania użytkowników lokalnych w systemie Windows Server. Gwarantuje to, że dostęp do serwerów z systemem Windows można uzyskać tylko za pomocą konta usługi AAD (Azure Active Directory) lub listy jawnie dozwolonych użytkowników przez te zasady, zwiększając ogólny poziom zabezpieczeń. | DeployIfNotExists, Disabled | 1.2.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych z systemem Windows do skojarzenia z regułą zbierania danych dla funkcji ChangeTracking i Inventory | Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Windows z określoną regułą zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych z systemem Windows w celu zainstalowania usługi AMA dla rozwiązania ChangeTracking i spisu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych z systemem Windows do skojarzenia z regułą zbierania danych na potrzeby rozwiązania ChangeTracking i spisu | Wdróż skojarzenie, aby połączyć zestawy skalowania maszyn wirtualnych z systemem Windows z określoną regułą zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych z systemem Windows w celu zainstalowania usługi AMA na potrzeby rozwiązania ChangeTracking i spisu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Windows w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach wirtualnych z systemem Linux | Wdraża agenta Ochrona punktu końcowego w usłudze Microsoft Defender na odpowiednich obrazach maszyn wirtualnych z systemem Linux. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach wirtualnych z systemem Windows | Wdraża Ochrona punktu końcowego w usłudze Microsoft Defender na odpowiednich obrazach maszyn wirtualnych z systemem Windows. | DeployIfNotExists, AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
| [Wersja zapoznawcza]: Włączanie tożsamości przypisanej przez system do maszyny wirtualnej SQL | Włącz tożsamość przypisaną przez system na dużą skalę do maszyn wirtualnych SQL. Te zasady należy przypisać na poziomie subskrypcji. Przypisanie na poziomie grupy zasobów nie będzie działać zgodnie z oczekiwaniami. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych z systemem Linux, aby umożliwić usłudze Azure Security Center aktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Linux i zaufanych. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Linux i zaufanych uruchomiń. | AuditIfNotExists, Disabled | Wersja zapoznawcza 5.1.0 |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Windows i zaufanych. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Windows i zaufanych. | AuditIfNotExists, Disabled | 3.1.0-preview |
| [Wersja zapoznawcza]: Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń platformy Azure dla hostów platformy Docker | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń platformy Azure dla hostów platformy Docker. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Wersja zapoznawcza]: Maszyny z systemem Linux powinny spełniać wymagania zgodności STIG dla obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w wymaganiach zgodności STIG dla obliczeń platformy Azure. DISA (Defense Information Systems Agency) zawiera przewodniki techniczne STIG (Security Technical Implementation Guide) w celu zabezpieczenia systemu operacyjnego obliczeniowego zgodnie z wymaganiami Departamentu Obrony (DoD). Aby uzyskać więcej informacji, zobacz https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Wersja zapoznawcza]: Maszyny z systemem Linux z zainstalowanym rozwiązaniem OMI powinny mieć wersję 1.6.8-1 lub nowszą | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Ze względu na poprawkę zabezpieczeń zawartą w wersji 1.6.8-1 pakietu OMI dla systemu Linux wszystkie maszyny powinny zostać zaktualizowane do najnowszej wersji. Uaktualnij aplikacje/pakiety korzystające z usługi OMI, aby rozwiązać ten problem. Aby uzyskać więcej informacji, zobacz https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny używać tylko podpisanych i zaufanych składników rozruchu | Wszystkie składniki rozruchu systemu operacyjnego (moduł ładujący rozruchu, jądro, sterowniki jądra) muszą być podpisane przez zaufanych wydawców. Defender dla Chmury zidentyfikował niezaufane składniki rozruchu systemu operacyjnego na co najmniej jednej maszynie z systemem Linux. Aby chronić maszyny przed potencjalnie złośliwymi składnikami, dodaj je do listy dozwolonych lub usuń zidentyfikowane składniki. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny używać bezpiecznego rozruchu | Aby chronić przed instalacją zestawów rootkit opartych na złośliwym oprogramowaniu i zestawów rozruchowych, włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Linux. Bezpieczny rozruch zapewnia możliwość uruchamiania tylko podpisanych systemów operacyjnych i sterowników. Ta ocena dotyczy tylko maszyn wirtualnych z systemem Linux z zainstalowanym agentem usługi Azure Monitor. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
| [Wersja zapoznawcza]: Maszyny powinny mieć zamknięte porty, które mogą uwidaczniać wektory ataków | Warunki użytkowania platformy Azure uniemożliwiają korzystanie z usług platformy Azure w sposób, który może uszkodzić, wyłączyć, przeciążyć lub osłabić dowolny serwer firmy Microsoft lub sieć. Uwidocznione porty zidentyfikowane przez to zalecenie muszą zostać zamknięte w celu zapewnienia ciągłego zabezpieczeń. W przypadku każdego zidentyfikowanego portu zalecenie zawiera również wyjaśnienie potencjalnego zagrożenia. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Dyski zarządzane powinna być odporna na strefy | Dyski zarządzane można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Dyski zarządzane z dokładnie jednym przypisaniem strefy są wyrównane do strefy. Dyski zarządzane z nazwą jednostki SKU kończącą się strefowo nadmiarowym magazynem ZRS. Te zasady pomagają zidentyfikować i wymusić te konfiguracje odporności dla Dyski zarządzane. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows | Włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Windows, aby ograniczyć ryzyko złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Windows i zaufanych. | Inspekcja, wyłączone | 4.0.0-preview |
| [Wersja zapoznawcza]: Ustaw wymagania wstępne dotyczące planowania cyklicznych aktualizacji na maszynach wirtualnych platformy Azure. | Te zasady ustawią wymagania wstępne wymagane do zaplanowannia cyklicznych aktualizacji w usłudze Azure Update Manager, konfigurując aranżację poprawek na "Harmonogramy zarządzane przez klienta". Ta zmiana spowoduje automatyczne ustawienie trybu poprawki na wartość "AutomaticByPlatform" i włącza wartość "BypassPlatform Sejf tyChecksOnUserSchedule" na wartość "True" na maszynach wirtualnych platformy Azure. Wymagania wstępne nie mają zastosowania dla serwerów z obsługą usługi Arc. Dowiedz się więcej- https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji) | Na maszynach brakuje systemu, zabezpieczeń i aktualizacji krytycznych. Aktualizacje oprogramowania często obejmują krytyczne poprawki do luk w zabezpieczeniach. Takie dziury są często wykorzystywane w atakach złośliwego oprogramowania, dlatego ważne jest, aby oprogramowanie było aktualizowane. Aby zainstalować wszystkie zaległe poprawki i zabezpieczyć maszyny, wykonaj kroki korygowania. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Zestawy skalowania maszyn wirtualnych powinny być odporne na strefy | Zestawy skalowania maszyn wirtualnych można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Zestawy skalowania maszyn wirtualnych, które mają dokładnie jeden wpis w tablicy stref, są traktowane jako Wyrównane strefy. Z kolei zestawy skalowania maszyn wirtualnych z co najmniej 3 wpisami w tablicy stref i pojemność co najmniej 3 są rozpoznawane jako strefowo nadmiarowe. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Stan zaświadczania gościa maszyn wirtualnych powinien być w dobrej kondycji | Zaświadczanie gościa jest wykonywane przez wysłanie zaufanego dziennika (TCGLog) do serwera zaświadczania. Serwer używa tych dzienników do określenia, czy składniki rozruchu są wiarygodne. Ta ocena ma na celu wykrywanie kompromisów łańcucha rozruchowego, które mogą być wynikiem infekcji bootkit lub rootkit. Ta ocena dotyczy tylko maszyn wirtualnych z włączoną obsługą zaufanego uruchamiania z zainstalowanym rozszerzeniem zaświadczania gościa. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Maszyny wirtualne powinny być wyrównane do strefy | Maszyny wirtualne można skonfigurować tak, aby były wyrównane do strefy. Są one traktowane jako Wyrównane strefy, jeśli mają tylko jeden wpis w tablicy stref. Te zasady zapewniają, że są skonfigurowane do działania w jednej strefie dostępności. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych | Włącz wirtualne urządzenie TPM na obsługiwanych maszynach wirtualnych, aby ułatwić mierzony rozruch i inne funkcje zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z obsługą uruchamiania. | Inspekcja, wyłączone | 2.0.0-preview |
| [Wersja zapoznawcza]: Maszyny z systemem Windows powinny spełniać wymagania zgodności STIG dla obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana pod kątem jednego z zaleceń w wymaganiach zgodności STIG dla obliczeń platformy Azure. DISA (Defense Information Systems Agency) zawiera przewodniki techniczne STIG (Security Technical Implementation Guide) w celu zabezpieczenia systemu operacyjnego obliczeniowego zgodnie z wymaganiami Departamentu Obrony (DoD). Aby uzyskać więcej informacji, zobacz https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AuditIfNotExists, Disabled | 3.0.0 |
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu | Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków | AuditIfNotExists, Disabled | 3.0.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Dozwolone jednostki SKU rozmiaru maszyny wirtualnej | Te zasady umożliwiają określenie zestawu jednostek SKU rozmiaru maszyny wirtualnej, które organizacja może wdrożyć. | Zablokuj | 1.0.1 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | AuditIfNotExists, Disabled | 3.1.0 |
| Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | AuditIfNotExists, Disabled | 3.1.0 |
| Przeprowadź inspekcję maszyn z systemem Linux, na których nie zainstalowano określonych aplikacji | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli zasób Chef InSpec wskazuje, że co najmniej jeden pakiet dostarczony przez parametr nie jest zainstalowany. | AuditIfNotExists, Disabled | 4.2.0 |
| Inspekcja maszyn z systemem Linux z kontami bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które mają konta bez haseł | AuditIfNotExists, Disabled | 3.1.0 |
| Przeprowadzanie inspekcji maszyn z systemem Linux z zainstalowanymi określonymi aplikacjami | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli zasób Chef InSpec wskazuje, że zainstalowano co najmniej jeden pakiet dostarczony przez parametr . | AuditIfNotExists, Disabled | 4.2.0 |
| Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych | inspekcje | 1.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows bez określonych elementów członkowskich w grupie Administracja istratorów | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administracja istrators nie zawiera co najmniej jednego elementu członkowskiego wymienionego w parametrze zasad. | auditIfNotExists | 2.0.0 |
| Inspekcja łączności sieciowej maszyn z systemem Windows | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli stan połączenia sieciowego z adresem IP i portEM TCP nie jest zgodny z parametrem zasad. | auditIfNotExists | 2.0.0 |
| Inspekcja maszyn z systemem Windows, na których konfiguracja DSC nie jest zgodna | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli polecenie programu Windows PowerShell Get-DSCConfigurationStatus zwraca, że konfiguracja DSC dla maszyny jest niezgodna. | auditIfNotExists | 3.0.0 |
| Inspekcja maszyn z systemem Windows, na których agent usługi Log Analytics nie jest połączony zgodnie z oczekiwaniami | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli agent nie jest zainstalowany lub jeśli jest zainstalowany, ale obiekt COM AgentConfigManager.MgmtSvcCfg zwraca, że jest zarejestrowany w obszarze roboczym innym niż identyfikator określony w parametrze zasad. | auditIfNotExists | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych usług i "Uruchomiono" | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli wynik polecenia programu Windows PowerShell Get-Service nie uwzględnia nazwy usługi z pasującym stanem określonym przez parametr zasad. | auditIfNotExists | 3.0.0 |
| Inspekcja maszyn z systemem Windows, na których nie włączono konsoli szeregowej systemu Windows | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie ma zainstalowanego oprogramowania konsoli szeregowej lub jeśli numer portu EMS lub szybkość transmisji nie są skonfigurowane z tymi samymi wartościami co parametry zasad. | auditIfNotExists | 3.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które zezwalają na ponowne użycie haseł po określonej liczbie unikatowych haseł. Wartość domyślna dla unikatowych haseł to 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie są przyłączone do określonej domeny | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli wartość właściwości Domain w klasie WMI win32_computersystem nie jest zgodna z wartością w parametrze zasad. | auditIfNotExists | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie są ustawione na określoną strefę czasową | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli wartość właściwości StandardName w klasie WMI Win32_TimeZone nie jest zgodna z wybraną strefą czasową dla parametru zasad. | auditIfNotExists | 3.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które zawierają certyfikaty wygasające w ciągu określonej liczby dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli certyfikaty w określonym magazynie mają datę wygaśnięcia spoza zakresu dla liczby dni podanych jako parametr. Zasady udostępniają również opcję sprawdzania tylko określonych certyfikatów lub wykluczania określonych certyfikatów oraz tego, czy raportować wygasłe certyfikaty. | auditIfNotExists | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie zawierają określonych certyfikatów w zaufanym katalogu głównym | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli magazyn zaufanych certyfikatów głównych komputera (Cert:\LocalMachine\Root) nie zawiera co najmniej jednego certyfikatu wymienionego przez parametr zasad. | auditIfNotExists | 3.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają maksymalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna maksymalnego wieku hasła to 70 dni | AuditIfNotExists, Disabled | 2.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna minimalnego wieku hasła to 1 dzień | AuditIfNotExists, Disabled | 2.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | AuditIfNotExists, Disabled | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają określonych zasad wykonywania programu Windows PowerShell | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli polecenie programu Windows PowerShell Get-ExecutionPolicy zwraca wartość inną niż wybrana w parametrze zasad. | AuditIfNotExists, Disabled | 3.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych modułów programu Windows PowerShell | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli moduł nie jest dostępny w lokalizacji określonej przez zmienną środowiskową PSModulePath. | AuditIfNotExists, Disabled | 3.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków. Wartość domyślna minimalnej długości hasła to 14 znaków | AuditIfNotExists, Disabled | 2.1.0 |
| Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | AuditIfNotExists, Disabled | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych aplikacji | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli nazwa aplikacji nie zostanie znaleziona w żadnej z następujących ścieżek rejestru: HKLM:SOFTWARE\Microsoft\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows z dodatkowymi kontami w grupie Administracja istratorów | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administracja istrators zawiera elementy członkowskie, które nie są wymienione w parametrze zasad. | auditIfNotExists | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie zostały uruchomione ponownie w ciągu określonej liczby dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli właściwość WMI LastBootUpTime w klasie Win32_Operatingsystem znajduje się poza zakresem dni podanym przez parametr zasad. | auditIfNotExists | 2.0.0 |
| Przeprowadzanie inspekcji maszyn z systemem Windows z zainstalowanymi określonymi aplikacjami | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli nazwa aplikacji znajduje się w dowolnej z następujących ścieżek rejestru: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które mają określone elementy członkowskie w grupie Administracja istratorów | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administracja istrators zawiera co najmniej jeden element członkosty wymieniony w parametrze zasad. | auditIfNotExists | 2.0.0 |
| Przeprowadzanie inspekcji maszyn wirtualnych z systemem Windows z oczekującym ponownym uruchomieniem | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna oczekuje na ponowny rozruch z dowolnego z następujących powodów: obsługa oparta na składnikach, Windows Update, oczekiwanie na zmianę nazwy pliku, oczekiwanie na zmianę nazwy komputera, menedżer konfiguracji oczekuje na ponowny rozruch. Każde wykrywanie ma unikatową ścieżkę rejestru. | auditIfNotExists | 2.0.0 |
| Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Wystąpienia ról usług Cloud Services (wsparcie dodatkowe) należy skonfigurować bezpiecznie | Chroń wystąpienia ról usługi w chmurze (wsparcie dodatkowe) przed atakami, zapewniając, że nie są one ujawniane żadnym lukom w zabezpieczeniach systemu operacyjnego. | AuditIfNotExists, Disabled | 1.0.0 |
| Wystąpienia ról usług Cloud Services (wsparcie dodatkowe) powinny mieć zainstalowane rozwiązanie ochrony punktu końcowego | Chroń wystąpienia ról usług Cloud Services (wsparcie dodatkowe) przed zagrożeniami i lukami w zabezpieczeniach, zapewniając zainstalowanie na nich rozwiązania ochrony punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Wystąpienia ról usług Cloud Services (wsparcie dodatkowe) powinny mieć zainstalowane aktualizacje systemu | Zabezpieczanie wystąpień ról usług w chmurze (rozszerzonej pomocy technicznej), zapewniając zainstalowanie na nich najnowszych aktualizacji zabezpieczeń i krytycznych. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Defender dla serwerów do wyłączenia dla wszystkich zasobów (poziom zasobów) | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady spowodują wyłączenie planu usługi Defender for Servers dla wszystkich zasobów (maszyn wirtualnych, zestawów SKALOWANIA maszyn wirtualnych i maszyn ARC) w wybranym zakresie (subskrypcja lub grupa zasobów). | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Defender dla serwerów do wyłączenia dla zasobów (poziom zasobów) przy użyciu wybranego tagu | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady spowodują wyłączenie planu usługi Defender for Servers dla wszystkich zasobów (maszyn wirtualnych, zestawów skalowania maszyn wirtualnych i maszyn ARC), które mają wybraną nazwę tagu i wartości tagów. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Defender dla serwerów do włączenia (podplanu P1) dla wszystkich zasobów (poziom zasobów) przy użyciu wybranego tagu | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady umożliwią plan usługi Defender for Servers (z podplanem P1) dla wszystkich zasobów (maszyn wirtualnych i maszyn ARC), które mają wybraną nazwę tagu i wartości tagów. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Defender dla serwerów do włączenia (z podplanem "P1" dla wszystkich zasobów (poziom zasobów) | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady umożliwią plan usługi Defender for Servers (z podplanem P1) dla wszystkich zasobów (maszyn wirtualnych i maszyn ARC) w wybranym zakresie (subskrypcja lub grupa zasobów). | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie kopii zapasowej na maszynach wirtualnych przy użyciu danego tagu do nowego magazynu usługi Recovery Services z domyślnymi zasadami | Wymuszanie tworzenia kopii zapasowej dla wszystkich maszyn wirtualnych przez wdrożenie magazynu usługi Recovery Services w tej samej lokalizacji i grupie zasobów co maszyna wirtualna. Jest to przydatne, gdy różne zespoły aplikacji w organizacji są przydzielane oddzielnymi grupami zasobów i muszą zarządzać własnymi kopiami zapasowymi i przywracaniem. Opcjonalnie możesz uwzględnić maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Konfigurowanie kopii zapasowej na maszynach wirtualnych przy użyciu danego tagu do istniejącego magazynu usługi Recovery Services w tej samej lokalizacji | Wymuś tworzenie kopii zapasowej dla wszystkich maszyn wirtualnych, tworząc ich kopię zapasową do istniejącego centralnego magazynu usługi Recovery Services w tej samej lokalizacji i subskrypcji co maszyna wirtualna. Jest to przydatne, gdy w organizacji istnieje centralny zespół zarządzający kopiami zapasowymi dla wszystkich zasobów w ramach subskrypcji. Opcjonalnie możesz uwzględnić maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Konfigurowanie kopii zapasowej na maszynach wirtualnych bez danego tagu do nowego magazynu usługi Recovery Services z domyślnymi zasadami | Wymuszanie tworzenia kopii zapasowej dla wszystkich maszyn wirtualnych przez wdrożenie magazynu usługi Recovery Services w tej samej lokalizacji i grupie zasobów co maszyna wirtualna. Jest to przydatne, gdy różne zespoły aplikacji w organizacji są przydzielane oddzielnymi grupami zasobów i muszą zarządzać własnymi kopiami zapasowymi i przywracaniem. Opcjonalnie można wykluczyć maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Konfigurowanie kopii zapasowej na maszynach wirtualnych bez danego tagu do istniejącego magazynu usługi Recovery Services w tej samej lokalizacji | Wymuś tworzenie kopii zapasowej dla wszystkich maszyn wirtualnych, tworząc ich kopię zapasową do istniejącego centralnego magazynu usługi Recovery Services w tej samej lokalizacji i subskrypcji co maszyna wirtualna. Jest to przydatne, gdy w organizacji istnieje centralny zespół zarządzający kopiami zapasowymi dla wszystkich zasobów w ramach subskrypcji. Opcjonalnie można wykluczyć maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Konfigurowanie odzyskiwania po awarii na maszynach wirtualnych przez włączenie replikacji za pośrednictwem usługi Azure Site Recovery | Maszyny wirtualne bez konfiguracji odzyskiwania po awarii są narażone na awarie i inne zakłócenia. Jeśli maszyna wirtualna nie ma jeszcze skonfigurowanego odzyskiwania po awarii, spowoduje to zainicjowanie tego samego przez włączenie replikacji przy użyciu wstępnie ustawionych konfiguracji w celu ułatwienia ciągłości działania. Opcjonalnie można dołączać/wykluczać maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Konfigurowanie zasobów dostępu do dysku przy użyciu prywatnych punktów końcowych | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby dostępu do dysku, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie maszyn z systemem Linux do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie w celu połączenia maszyn wirtualnych z systemem Linux, zestawów skalowania maszyn wirtualnych i maszyn arc do określonej reguły zbierania danych lub określonego punktu końcowego zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 6.4.0 |
| Skonfiguruj serwer z systemem Linux, aby wyłączyć użytkowników lokalnych. | Tworzy przypisanie konfiguracji gościa w celu skonfigurowania wyłączania użytkowników lokalnych na serwerze z systemem Linux. Gwarantuje to, że dostęp do serwerów z systemem Linux może uzyskać tylko konto usługi AAD (Azure Active Directory) lub lista jawnie dozwolonych użytkowników przez te zasady, co poprawia ogólny poziom zabezpieczeń. | DeployIfNotExists, Disabled | 1.3.0—wersja zapoznawcza |
| Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Linux do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć zestawy skalowania maszyn wirtualnych z systemem Linux z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 4.3.0 |
| Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Linux w celu uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez system | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Linux w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Linux w celu uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Linux w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.7.0 |
| Konfigurowanie maszyn wirtualnych z systemem Linux do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Linux z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 4.3.0 |
| Konfigurowanie maszyn wirtualnych z systemem Linux do uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez system | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Linux w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Konfigurowanie maszyn wirtualnych z systemem Linux do uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Linux w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.7.0 |
| Konfigurowanie maszyn do odbierania dostawcy oceny luk w zabezpieczeniach | Usługa Azure Defender obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn bez dodatkowych kosztów. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane w usłudze Security Center. Po włączeniu tych zasad usługa Azure Defender automatycznie wdraża dostawcę oceny luk w zabezpieczeniach Qualys na wszystkich obsługiwanych maszynach, które nie zostały jeszcze zainstalowane. | DeployIfNotExists, Disabled | 4.0.0 |
| Konfigurowanie dysków zarządzanych w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu dysku zarządzanego, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/disksprivatelinksdoc. | Modyfikowanie, wyłączone | 2.0.0 |
| Konfigurowanie okresowego sprawdzania brakujących aktualizacji systemu na maszynach wirtualnych platformy Azure | Skonfiguruj automatyczną ocenę (co 24 godziny) pod kątem aktualizacji systemu operacyjnego na natywnych maszynach wirtualnych platformy Azure. Zakres przypisywania można kontrolować zgodnie z subskrypcją maszyny, grupą zasobów, lokalizacją lub tagiem. Dowiedz się więcej o tym dla systemu Windows: https://aka.ms/computevm-windowspatchassessmentmode, dla systemu Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Modyfikowanie | 4.8.0 |
| Konfigurowanie protokołów bezpiecznej komunikacji (TLS 1.1 lub TLS 1.2) na maszynach z systemem Windows | Tworzy przypisanie konfiguracji gościa w celu skonfigurowania określonej wersji protokołu bezpiecznego (TLS 1.1 lub TLS 1.2) na maszynie z systemem Windows. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie maszyn wirtualnych SQL do automatycznego instalowania agenta usługi Azure Monitor | Automatyzowanie wdrażania rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows SQL. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurowanie maszyn wirtualnych SQL w celu automatycznego instalowania usługi Microsoft Defender for SQL | Skonfiguruj maszyny wirtualne SQL systemu Windows, aby automatycznie instalować rozszerzenie Microsoft Defender for SQL. Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). | DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurowanie maszyn wirtualnych SQL w celu automatycznego instalowania usługi Microsoft Defender dla usług SQL i DCR przy użyciu obszaru roboczego usługi Log Analytics | Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). Utwórz grupę zasobów, regułę zbierania danych i obszar roboczy usługi Log Analytics w tym samym regionie co maszyna. | DeployIfNotExists, Disabled | 1.5.0 |
| Konfigurowanie maszyn wirtualnych SQL w celu automatycznego instalowania usługi Microsoft Defender for SQL i DCR przy użyciu zdefiniowanego przez użytkownika obszaru roboczego la | Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). Utwórz grupę zasobów i regułę zbierania danych w tym samym regionie co zdefiniowany przez użytkownika obszar roboczy usługi Log Analytics. | DeployIfNotExists, Disabled | 1.6.0 |
| Konfigurowanie obszaru roboczego usługi Microsoft Defender dla usługi SQL Log Analytics | Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). Utwórz grupę zasobów i obszar roboczy usługi Log Analytics w tym samym regionie co maszyna. | DeployIfNotExists, Disabled | 1.3.0 |
| Konfigurowanie strefy czasowej na maszynach z systemem Windows. | Te zasady umożliwiają utworzenie przypisania konfiguracji gościa w celu ustawienia określonej strefy czasowej na maszynach wirtualnych z systemem Windows. | deployIfNotExists | 2.1.0 |
| Konfigurowanie maszyn wirtualnych do dołączenia do usługi Azure Automanage | Usługa Azure Automanage rejestruje, konfiguruje i monitoruje maszyny wirtualne przy użyciu najlepszych rozwiązań zdefiniowanych w przewodniku Microsoft Cloud Adoption Framework dla platformy Azure. Użyj tych zasad, aby zastosować automanage do wybranego zakresu. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Konfigurowanie maszyn wirtualnych do dołączania do usługi Azure Automanage przy użyciu niestandardowego profilu konfiguracji | Usługa Azure Automanage rejestruje, konfiguruje i monitoruje maszyny wirtualne przy użyciu najlepszych rozwiązań zdefiniowanych w przewodniku Microsoft Cloud Adoption Framework dla platformy Azure. Użyj tych zasad, aby zastosować automanage z własnym dostosowanym profilem konfiguracji do wybranego zakresu. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurowanie maszyn z systemem Windows do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Windows, zestawy skalowania maszyn wirtualnych i maszyny arc do określonej reguły zbierania danych lub określonego punktu końcowego zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 4.5.0 |
| Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Windows do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć zestawy skalowania maszyn wirtualnych z systemem Windows z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 3.3.0 |
| Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Windows do uruchamiania agenta usługi Azure Monitor przy użyciu tożsamości zarządzanej przypisanej przez system | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Windows w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
| Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Windows w celu uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Windows w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0 |
| Konfigurowanie maszyn wirtualnych z systemem Windows do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych | Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Windows z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. | DeployIfNotExists, Disabled | 3.3.0 |
| Konfigurowanie maszyn wirtualnych z systemem Windows do uruchamiania agenta usługi Azure Monitor przy użyciu przypisanej przez system tożsamości zarządzanej | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 4.4.0 |
| Konfigurowanie maszyn wirtualnych z systemem Windows do uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika | Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0 |
| Tworzenie i przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika | Tworzenie i przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika na dużą skalę do maszyn wirtualnych SQL. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.6.0 |
| Agent zależności powinien być włączony dla wyświetlanych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i agent nie jest zainstalowany. Lista obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę aktualizowania obsługi. | AuditIfNotExists, Disabled | 2.0.0 |
| Agent zależności powinien być włączony w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Zgłasza zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Lista obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę aktualizowania obsługi. | AuditIfNotExists, Disabled | 2.0.0 |
| Wdrażanie — konfigurowanie agenta zależności do włączenia w zestawach skalowania maszyn wirtualnych z systemem Windows | Wdróż agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Jeśli zestaw skalowania upgradePolicy jest ustawiony na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie, aktualizując je. | DeployIfNotExists, Disabled | 3.1.0 |
| Wdrażanie — konfigurowanie agenta zależności do włączenia na maszynach wirtualnych z systemem Windows | Wdróż agenta zależności dla maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. | DeployIfNotExists, Disabled | 3.1.0 |
| Wdrażanie — konfigurowanie rozszerzenia usługi Log Analytics do włączenia w zestawach skalowania maszyn wirtualnych z systemem Windows | Wdróż rozszerzenie usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a rozszerzenie nie jest zainstalowane. Jeśli zestaw skalowania upgradePolicy jest ustawiony na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie, aktualizując je. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 3.1.0 |
| Wdrażanie — konfigurowanie rozszerzenia usługi Log Analytics do włączenia na maszynach wirtualnych z systemem Windows | Wdróż rozszerzenie usługi Log Analytics dla maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 3.1.0 |
| Wdrażanie domyślnego rozszerzenia Microsoft IaaSAntimalware dla systemu Windows Server | Te zasady wdraża rozszerzenie IaaSAntimalware firmy Microsoft z konfiguracją domyślną, gdy maszyna wirtualna nie jest skonfigurowana z rozszerzeniem ochrony przed złośliwym kodem. | deployIfNotExists | 1.1.0 |
| Wdrażanie agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Linux | Wdróż agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Linux, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Uwaga: jeśli uaktualnienie zestawu skalowaniaZasady jest ustawione na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie przez wywołanie uaktualnienia na nich. W interfejsie wiersza polecenia będzie to az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Wdrażanie agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Linux przy użyciu ustawień agenta monitorowania platformy Azure | Wdróż agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Linux przy użyciu ustawień agenta monitorowania platformy Azure, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście, a agent nie jest zainstalowany. Uwaga: jeśli uaktualnienie zestawu skalowaniaZasady jest ustawione na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie przez wywołanie uaktualnienia na nich. W interfejsie wiersza polecenia będzie to az vmss update-instances. | DeployIfNotExists, Disabled | 3.1.1 |
| Wdrażanie agenta zależności dla maszyn wirtualnych z systemem Linux | Wdróż agenta zależności dla maszyn wirtualnych z systemem Linux, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. | deployIfNotExists | 5.0.0 |
| Wdrażanie agenta zależności dla maszyn wirtualnych z systemem Linux przy użyciu ustawień agenta monitorowania platformy Azure | Wdróż agenta zależności dla maszyn wirtualnych z systemem Linux przy użyciu ustawień agenta monitorowania platformy Azure, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. | DeployIfNotExists, Disabled | 3.1.1 |
| Wdrażanie agenta zależności do włączenia w zestawach skalowania maszyn wirtualnych z systemem Windows przy użyciu ustawień agenta monitorowania platformy Azure | Wdróż agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Windows przy użyciu ustawień agenta monitorowania platformy Azure, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Jeśli zestaw skalowania upgradePolicy jest ustawiony na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie, aktualizując je. | DeployIfNotExists, Disabled | 1.2.2 |
| Wdrażanie agenta zależności do włączenia na maszynach wirtualnych z systemem Windows przy użyciu ustawień agenta monitorowania platformy Azure | Wdróż agenta zależności dla maszyn wirtualnych z systemem Windows przy użyciu ustawień agenta monitorowania platformy Azure, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. | DeployIfNotExists, Disabled | 1.2.2 |
| Wdróż rozszerzenie usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Linux. Zobacz powiadomienie o wycofaniu poniżej | Wdróż rozszerzenie usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Linux, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. Uwaga: jeśli uaktualnienie zestawu skalowaniaZasady jest ustawione na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie przez wywołanie uaktualnienia na nich. W interfejsie wiersza polecenia będzie to az vmss update-instances. Powiadomienie o wycofaniu: Agent usługi Log Analytics nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor | deployIfNotExists | 3.0.0 |
| Wdrażanie rozszerzenia usługi Log Analytics dla maszyn wirtualnych z systemem Linux. Zobacz powiadomienie o wycofaniu poniżej | Wdróż rozszerzenie usługi Log Analytics dla maszyn wirtualnych z systemem Linux, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor | deployIfNotExists | 3.0.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Dyski i obraz systemu operacyjnego powinny obsługiwać usługę TrustedLaunch | TrustedLaunch zwiększa bezpieczeństwo maszyny wirtualnej, co wymaga obsługi obrazu systemu operacyjnego i dysku systemu operacyjnego (Gen 2). Aby dowiedzieć się więcej o trustedLaunch, odwiedź stronę https://aka.ms/trustedlaunch | Inspekcja, wyłączone | 1.0.0 |
| Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Obsługiwane rozwiązania ochrony punktu końcowego w usłudze Azure Security Center zostały opisane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Program Endpoint Protection powinien być zainstalowany na maszynach | Aby chronić maszyny przed zagrożeniami i lukami w zabezpieczeniach, zainstaluj obsługiwane rozwiązanie ochrony punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. | AuditIfNotExists, Disabled | 3.0.0 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Na gorąco należy włączyć maszyny wirtualne z systemem Windows Server Azure Edition | Zminimalizuj ponowne uruchomienie i szybko zainstaluj aktualizacje przy użyciu funkcji hotpatch. Dowiedz się więcej na stronie https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Maszyny z systemem Linux powinny mieć dozwolone tylko konta lokalne | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Zarządzanie kontami użytkowników przy użyciu usługi Azure Active Directory to najlepsze rozwiązanie do zarządzania tożsamościami. Zmniejszenie liczby kont maszyn lokalnych pomaga zapobiec rozprzestrzenianiu się tożsamości zarządzanych poza systemem centralnym. Maszyny są niezgodne, jeśli istnieją konta użytkowników lokalnych, które są włączone, a nie wymienione w parametrze zasad. | AuditIfNotExists, Disabled | 2.2.0 |
| Zestawy skalowania maszyn wirtualnych z systemem Linux powinny mieć zainstalowanego agenta usługi Azure Monitor | Zestawy skalowania maszyn wirtualnych z systemem Linux powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Te zasady będą przeprowadzać inspekcję zestawów skalowania maszyn wirtualnych przy użyciu obsługiwanych obrazów systemu operacyjnego w obsługiwanych regionach. Dowiedz się więcej: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost. | Mimo że dyski systemu operacyjnego i danych maszyny wirtualnej są domyślnie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski zasobów (dyski tymczasowe), pamięci podręczne danych i dane przepływające między zasobami obliczeniowymi i magazynowymi nie są szyfrowane. Korygowanie przy użyciu usługi Azure Disk Encryption lub EncryptionAtHost. Odwiedź stronę https://aka.ms/diskencryptioncomparison , aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
| Maszyny wirtualne z systemem Linux powinny mieć zainstalowanego agenta usługi Azure Monitor | Maszyny wirtualne z systemem Linux powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Te zasady będą przeprowadzać inspekcję maszyn wirtualnych z obsługiwanymi obrazami systemu operacyjnego w obsługiwanych regionach. Dowiedz się więcej: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Lokalne metody uwierzytelniania powinny być wyłączone na maszynach z systemem Linux | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli serwery z systemem Linux nie mają wyłączonych lokalnych metod uwierzytelniania. Ma to na celu sprawdzenie, czy serwery z systemem Linux mogą być dostępne tylko przez konto usługi AAD (Azure Active Directory) lub listę jawnie dozwolonych użytkowników przez te zasady, zwiększając ogólny stan zabezpieczeń. | AuditIfNotExists, Disabled | 1.2.0-preview |
| Metody uwierzytelniania lokalnego powinny być wyłączone na serwerach z systemem Windows | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli serwery z systemem Windows nie mają wyłączonych lokalnych metod uwierzytelniania. Ma to na celu sprawdzenie, czy dostęp do serwerów z systemem Windows można uzyskać tylko za pomocą konta usługi AAD (Azure Active Directory) lub listy jawnie dozwolonych użytkowników przez te zasady, co poprawia ogólny stan zabezpieczeń. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Agent usługi Log Analytics powinien być zainstalowany w wystąpieniach ról usług Cloud Services (wsparcie dodatkowe) | Usługa Security Center zbiera dane z wystąpień ról usług Cloud Services (rozszerzonej pomocy technicznej) w celu monitorowania pod kątem luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 2.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Raportuje zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | 2.0.1 |
| Maszyny należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemu | Aby zapewnić automatyczne wyzwalanie okresowych ocen brakujących aktualizacji systemu co 24 godziny, właściwość AssessmentMode powinna być ustawiona na wartość "AutomaticByPlatform". Dowiedz się więcej o właściwości AssessmentMode dla systemu Windows: https://aka.ms/computevm-windowspatchassessmentmode, dla systemu Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Inspekcja, Odmowa, Wyłączone | 3.7.0 |
| Maszyny powinny mieć rozpoznane wyniki wpisów tajnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy zawierają tajne wyniki rozwiązań do skanowania wpisów tajnych na maszynach wirtualnych. | AuditIfNotExists, Disabled | 1.0.2 |
| Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta | Klienci z wysokim poziomem zabezpieczeń, którzy są zaniepokojeni ryzykiem związanym z konkretnym algorytmem szyfrowania, implementacją lub kluczem, mogą zdecydować się na dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanych przez platformę. Zestawy szyfrowania dysków są wymagane do używania podwójnego szyfrowania. Dowiedz się więcej na https://aka.ms/disks-doubleEncryption. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dyski zarządzane powinny wyłączać dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że dysk zarządzany nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie dysków zarządzanych. Dowiedz się więcej na stronie: https://aka.ms/disksprivatelinksdoc. | Inspekcja, wyłączone | 2.0.0 |
| Dyski zarządzane powinny używać określonego zestawu zestawów szyfrowania dysków na potrzeby szyfrowania kluczy zarządzanych przez klienta | Wymaganie użycia określonego zestawu zestawów szyfrowania dysków z dyskami zarządzanymi zapewnia kontrolę nad kluczami używanymi do szyfrowania magazynowanych. Możesz wybrać dozwolone zestawy zaszyfrowane, a wszystkie inne zostaną odrzucone po dołączeniu do dysku. Dowiedz się więcej na https://aka.ms/disks-cmk. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows, które nie zostały skonfigurowane przy użyciu automatycznej aktualizacji sygnatur ochrony przed złośliwym kodem firmy Microsoft. | AuditIfNotExists, Disabled | 1.0.0 |
| Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows | Te zasady przeprowadzają inspekcję dowolnej maszyny wirtualnej z systemem Windows server bez wdrożonego rozszerzenia IaaSAntimalware firmy Microsoft. | AuditIfNotExists, Disabled | 1.1.0 |
| Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center | Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dyski systemu operacyjnego i danych powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości dysków zarządzanych. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/disks-cmk. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Należy włączyć prywatne punkty końcowe dla przypisań konfiguracji gościa | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z konfiguracją gościa dla maszyn wirtualnych. Maszyny wirtualne będą niezgodne, chyba że mają tag "EnablePrivateNetworkGC". Ten tag wymusza bezpieczną komunikację za pośrednictwem prywatnej łączności z konfiguracją gościa dla maszyn wirtualnych. Łączność prywatna ogranicza dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwia dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Ochrona danych przy użyciu wymagań dotyczących uwierzytelniania podczas eksportowania lub przekazywania do dysku lub migawki. | Gdy jest używany adres URL eksportowania/przekazywania, system sprawdza, czy użytkownik ma tożsamość w usłudze Azure Active Directory i ma niezbędne uprawnienia do eksportowania/przekazywania danych. Zapoznaj się z aka.ms/DisksAzureADAuth. | Modyfikowanie, wyłączone | 1.0.0 |
| Wymagaj automatycznego stosowania poprawek obrazów systemu operacyjnego w zestawach skalowania maszyn wirtualnych | Te zasady wymuszają włączenie automatycznego stosowania poprawek obrazów systemu operacyjnego w zestawach skalowania maszyn wirtualnych w celu zapewnienia bezpieczeństwa maszyn wirtualnych przez bezpieczne stosowanie najnowszych poprawek zabezpieczeń co miesiąc. | odmowa | 1.0.0 |
| Planowanie cyklicznych aktualizacji przy użyciu usługi Azure Update Manager | Program Azure Update Manager na platformie Azure umożliwia zapisywanie cyklicznych harmonogramów wdrażania w celu zainstalowania aktualizacji systemu operacyjnego dla maszyn z systemem Windows Server i Linux na platformie Azure, w środowiskach lokalnych i w innych środowiskach w chmurze połączonych przy użyciu serwerów z obsługą usługi Azure Arc. Te zasady zmienią również tryb stosowania poprawek dla maszyny wirtualnej platformy Azure na "AutomaticByPlatform". Zobacz więcej: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
| Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Ocena luk w zabezpieczeniach SQL skanuje bazę danych pod kątem luk w zabezpieczeniach i ujawnia wszelkie odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione poufne dane. Rozwiązanie znalezionych luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń bazy danych. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy zainstalować aktualizacje systemu w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję sprawdzającą, czy nie brakuje żadnych aktualizacji zabezpieczeń systemu i aktualizacji krytycznych, które powinny być zainstalowane, aby zapewnić bezpieczeństwo zestawów skalowania maszyn wirtualnych z systemami Windows i Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| Aktualizacje systemu powinny być instalowane na maszynach | Brakujące aktualizacje systemu zabezpieczeń na serwerach będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 4.0.0 |
| Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane w zestawach skalowania maszyn wirtualnych z systemem Linux | Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą odrzucać wszystkie przyszłe instalacje starszego rozszerzenia agenta w zestawach skalowania maszyn wirtualnych z systemem Linux. Dowiedz się więcej: https://aka.ms/migratetoAMA | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane na maszynach wirtualnych z systemem Linux | Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą odrzucać wszystkie przyszłe instalacje starszego rozszerzenia agenta na maszynach wirtualnych z systemem Linux. Dowiedz się więcej: https://aka.ms/migratetoAMA | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą blokować wszystkie przyszłe instalacje starszego rozszerzenia agenta w zestawach skalowania maszyn wirtualnych z systemem Windows. Dowiedz się więcej: https://aka.ms/migratetoAMA | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane na maszynach wirtualnych | Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą blokować wszystkie przyszłe instalacje starszego rozszerzenia agenta na maszynach wirtualnych z systemem Windows. Dowiedz się więcej: https://aka.ms/migratetoAMA | Odmowa, inspekcja, wyłączone | 1.0.0 |
| Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Te zasady przeprowadzają inspekcję wszystkich zestawów skalowania maszyn wirtualnych z systemem Windows/Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1 |
| Maszyna wirtualna powinna mieć włączoną opcję TrustedLaunch | Włącz pozycję TrustedLaunch na maszynie wirtualnej w celu zapewnienia zwiększonych zabezpieczeń, użyj jednostki SKU maszyny wirtualnej (Gen 2), która obsługuje usługę TrustedLaunch. Aby dowiedzieć się więcej o trustedLaunch, odwiedź stronę https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Inspekcja, wyłączone | 1.0.0 |
| Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na https://aka.ms/vm-hbe. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | Zgłasza maszyny wirtualne jako niezgodne, jeśli nie są rejestrowane w obszarze roboczym usługi Log Analytics określonym w przypisaniu zasad/inicjatywy. | AuditIfNotExists, Disabled | 1.1.0 |
| Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| Należy skorygować luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera | Przeprowadź inspekcję luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z zainstalowaną platformą Docker i wyświetl ją jako zalecenia w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję luk w zabezpieczeniach systemu operacyjnego w zestawach skalowania maszyn wirtualnych, aby chronić je przed atakami. | AuditIfNotExists, Disabled | 3.0.0 |
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists, Disabled | 4.1.1 |
| Maszyny z systemem Windows powinny skonfigurować usługę Windows Defender do aktualizowania sygnatur ochrony w ciągu jednego dnia | Aby zapewnić odpowiednią ochronę przed nowo wydanym złośliwym oprogramowaniem, należy regularnie aktualizować podpisy ochrony usługi Windows Defender, aby uwzględnić nowo wydane złośliwe oprogramowanie. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny z systemem Windows powinny włączyć ochronę w czasie rzeczywistym w usłudze Windows Defender | Maszyny z systemem Windows powinny włączyć ochronę w czasie rzeczywistym w usłudze Windows Defender, aby zapewnić odpowiednią ochronę przed nowo wydanym złośliwym oprogramowaniem. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów Administracja istracyjnych — Panel sterowania | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "szablony Administracja istracyjne — Panel sterowania" na potrzeby personalizacji danych wejściowych i zapobiegania włączaniu ekranów blokady. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów Administracja istracyjnych — MSS (starsza wersja)" | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "szablony Administracja istracyjne — MSS (starsza wersja)" na potrzeby automatycznego logowania, wygaszacza ekranu, zachowania sieci, bezpiecznej biblioteki DLL i dziennika zdarzeń. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów Administracja istracyjnych — sieć | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Administracja istrative Templates - Network" dla logowania gościa, równoczesne połączenia, mostek sieciowy, ICS i rozpoznawanie nazw multiemisji. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów Administracja istracyjnych — System | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Administracja istrative Templates - System" dla ustawień kontrolujących środowisko administracyjne i Pomoc zdalna. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — konta | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — konta" w celu ograniczenia używania konta lokalnego pustych haseł i stanu konta gościa. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — inspekcja | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — inspekcja" w celu wymuszania podkategorii zasad inspekcji i zamykania, jeśli nie można rejestrować inspekcji zabezpieczeń. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — urządzenia | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — urządzenia" do oddokowywania bez logowania, instalowania sterowników wydruku i formatowania/wysuwania nośnika. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — logowanie interakcyjne | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — logowanie interakcyjne" do wyświetlania nazwiska użytkownika i wymagania ctrl-alt-del. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — klient sieci firmy Microsoft | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — klient sieci Firmy Microsoft" dla klienta/serwera sieciowego firmy Microsoft i protokołu SMB v1. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — Microsoft Network Server | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — Microsoft Network Server" do wyłączania serwera SMB v1. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — dostęp sieciowy" w celu włączenia dostępu dla użytkowników anonimowych, kont lokalnych i dostępu zdalnego do rejestru. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — zabezpieczenia sieci" w celu włączenia zachowania systemu lokalnego, PKU2U, programu LAN Manager, klienta LDAP i dostawcy SSP NTLM. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — konsola odzyskiwania | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — konsola odzyskiwania" umożliwiające kopiowanie dyskietek i dostęp do wszystkich dysków i folderów. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zamykanie | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — zamknięcie", aby umożliwić zamknięcie bez logowania i wyczyszczenie pliku stronicowania pamięci wirtualnej. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — obiektów systemowych | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — obiekty systemowe" w przypadku braku poufności dla podsystemów innych niż Windows i uprawnień wewnętrznych obiektów systemu. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — ustawienia systemowe | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — ustawienia systemowe" dla reguł certyfikatów w plikach wykonywalnych dla SRP i opcjonalnych podsystemów. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — kontrola konta użytkownika | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — Kontrola konta użytkownika" dla administratorów, zachowanie monitu o podniesienie uprawnień oraz wirtualizacja błędów zapisu pliku i rejestru. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące Ustawienia zabezpieczeń — zasady konta | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zabezpieczenia Ustawienia — zasady konta" dla historii haseł, wieku, długości, złożoności i przechowywania haseł przy użyciu szyfrowania odwracalnego. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — logowanie do konta | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — logowanie konta" na potrzeby inspekcji weryfikacji poświadczeń i innych zdarzeń logowania do konta. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — zarządzanie kontami | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — zarządzanie kontami" na potrzeby inspekcji aplikacji, zabezpieczeń i zarządzania grupami użytkowników oraz innych zdarzeń zarządzania. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — szczegółowe śledzenie" na potrzeby inspekcji DPAPI, tworzenia/kończenia procesu, zdarzeń RPC i działania PNP. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — logowanie i wylogowanie | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — Logon-Logoff" na potrzeby inspekcji protokołu IPSec, zasad sieciowych, oświadczeń, blokady konta, członkostwa w grupach i zdarzeń logowania/wylogowania. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — dostęp do obiektów | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — dostęp do obiektów" na potrzeby inspekcji plików, rejestru, SAM, magazynu, filtrowania, jądra i innych typów systemu. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — zmiana zasad | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — zmiana zasad" na potrzeby inspekcji zmian w zasadach inspekcji systemu. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — użycie uprawnień | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — użycie uprawnień" do inspekcji niewrażliwe i inne użycie uprawnień. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — system | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — system" na potrzeby inspekcji sterownika IPsec, integralności systemu, rozszerzenia systemu, zmiany stanu i innych zdarzeń systemowych. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące przypisywania praw użytkownika | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Przypisywanie praw użytkownika" do zezwalania na logowanie lokalne, RDP, dostęp z sieci i wiele innych działań użytkownika. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące składników systemu Windows | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Składniki systemu Windows" na potrzeby uwierzytelniania podstawowego, niezaszyfrowanego ruchu, kont Microsoft, telemetrii, Cortany i innych zachowań systemu Windows. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania dotyczące właściwości zapory systemu Windows | Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Właściwości zapory systemu Windows" dla stanu zapory, połączeń, zarządzania regułami i powiadomień. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny z systemem Windows powinny mieć dozwolone tylko konta lokalne | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Ta definicja nie jest obsługiwana w systemie Windows Server 2012 lub 2012 R2. Zarządzanie kontami użytkowników przy użyciu usługi Azure Active Directory to najlepsze rozwiązanie do zarządzania tożsamościami. Zmniejszenie liczby kont maszyn lokalnych pomaga zapobiec rozprzestrzenianiu się tożsamości zarządzanych poza systemem centralnym. Maszyny są niezgodne, jeśli istnieją konta użytkowników lokalnych, które są włączone, a nie wymienione w parametrze zasad. | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny z systemem Windows powinny codziennie planować usługę Windows Defender do przeprowadzania zaplanowanego skanowania | Aby zapewnić szybkie wykrywanie złośliwego oprogramowania i zminimalizować jego wpływ na system, zaleca się zaplanowanie codziennego skanowania na maszynach z systemem Windows za pomocą usługi Windows Defender. Upewnij się, że usługa Windows Defender jest obsługiwana, wstępnie zainstalowana na urządzeniu, a wymagania wstępne dotyczące konfiguracji gościa zostały wdrożone. Niedopełnienie tych wymagań może prowadzić do niedokładnych wyników oceny. Dowiedz się więcej o konfiguracji gościa na stronie https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0 |
| Maszyny z systemem Windows powinny używać domyślnego serwera NTP | Skonfiguruj "time.windows.com" jako domyślny serwer NTP dla wszystkich maszyn z systemem Windows, aby upewnić się, że dzienniki we wszystkich systemach mają zegary systemowe, które są zsynchronizowane. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Zestawy skalowania maszyn wirtualnych z systemem Windows powinny mieć zainstalowanego agenta usługi Azure Monitor | Zestawy skalowania maszyn wirtualnych z systemem Windows powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Zestawy skalowania maszyn wirtualnych z obsługiwanym systemem operacyjnym i w obsługiwanych regionach są monitorowane pod kątem wdrażania agenta usługi Azure Monitor. Dowiedz się więcej: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Maszyny wirtualne z systemem Windows powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost. | Mimo że dyski systemu operacyjnego i danych maszyny wirtualnej są domyślnie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski zasobów (dyski tymczasowe), pamięci podręczne danych i dane przepływające między zasobami obliczeniowymi i magazynowymi nie są szyfrowane. Korygowanie przy użyciu usługi Azure Disk Encryption lub EncryptionAtHost. Odwiedź stronę https://aka.ms/diskencryptioncomparison , aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
| Na maszynach wirtualnych z systemem Windows powinien być zainstalowany agent usługi Azure Monitor | Maszyny wirtualne z systemem Windows powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Maszyny wirtualne z systemem Windows z obsługiwanym systemem operacyjnym i w obsługiwanych regionach są monitorowane pod kątem wdrażania agenta usługi Azure Monitor. Dowiedz się więcej: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
Microsoft.ClassicCompute
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AuditIfNotExists, Disabled | 3.0.0 |
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Obsługiwane rozwiązania ochrony punktu końcowego w usłudze Azure Security Center zostały opisane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Program Endpoint Protection powinien być zainstalowany na maszynach | Aby chronić maszyny przed zagrożeniami i lukami w zabezpieczeniach, zainstaluj obsługiwane rozwiązanie ochrony punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny powinny mieć rozpoznane wyniki wpisów tajnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy zawierają tajne wyniki rozwiązań do skanowania wpisów tajnych na maszynach wirtualnych. | AuditIfNotExists, Disabled | 1.0.2 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center | Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Aktualizacje systemu powinny być instalowane na maszynach | Brakujące aktualizacje systemu zabezpieczeń na serwerach będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 4.0.0 |
| Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| Należy skorygować luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera | Przeprowadź inspekcję luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z zainstalowaną platformą Docker i wyświetl ją jako zalecenia w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.