Udostępnij za pośrednictwem


Wbudowane definicje usługi Azure Policy dla usługi Azure Virtual Machines

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows ✔️ — elastyczne zestawy ✔️ skalowania

Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure Virtual Machines. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.

Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.

Microsoft.Compute

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: Tożsamość zarządzana powinna być włączona na maszynach Zasoby zarządzane przez program Automanage powinny mieć tożsamość zarządzaną. Inspekcja, wyłączone 1.0.0-preview
[Wersja zapoznawcza]: Dodawanie tożsamości zarządzanej przypisanej przez użytkownika w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych Te zasady dodają tożsamość zarządzaną przypisaną przez użytkownika do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Tożsamość zarządzana przypisana przez użytkownika jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, DeployIfNotExists, Disabled 2.1.0-preview
[Wersja zapoznawcza]: Przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika do zestawów skalowania maszyn wirtualnych Utwórz i przypisz wbudowaną tożsamość zarządzaną przypisaną przez użytkownika lub przypisz wstępnie utworzoną tożsamość zarządzaną przypisaną przez użytkownika na dużą skalę do zestawów skalowania maszyn wirtualnych. Aby uzyskać bardziej szczegółową dokumentację, odwiedź aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Disabled 1.1.0-preview
[Wersja zapoznawcza]: Przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika do maszyn wirtualnych Utwórz i przypisz wbudowaną tożsamość zarządzaną przypisaną przez użytkownika lub przypisz wstępnie utworzoną tożsamość zarządzaną przypisaną przez użytkownika na dużą skalę do maszyn wirtualnych. Aby uzyskać bardziej szczegółową dokumentację, odwiedź aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Disabled 1.1.0-preview
[Wersja zapoznawcza]: Przypisanie profilu konfiguracji automatycznego zarządzania powinno być zgodne Zasoby zarządzane przez funkcję Automanage powinny mieć stan Zgodne lub ZgodneKorekty. AuditIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Usługa Azure Backup powinna być włączona dla Dyski zarządzane Zapewnij ochronę Dyski zarządzane, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. AuditIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany w zestawach skalowania maszyn wirtualnych z systemem Linux Zainstaluj agenta zabezpieczeń platformy Azure w zestawach skalowania maszyn wirtualnych z systemem Linux, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. AuditIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany na maszynach wirtualnych z systemem Linux Zainstaluj agenta zabezpieczeń platformy Azure na maszynach wirtualnych z systemem Linux, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. AuditIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany w zestawach skalowania maszyn wirtualnych z systemem Windows Zainstaluj agenta zabezpieczeń platformy Azure w zestawach skalowania maszyn wirtualnych z systemem Windows, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. AuditIfNotExists, Disabled 2.1.0-preview
[Wersja zapoznawcza]: Agent zabezpieczeń platformy Azure powinien być zainstalowany na maszynach wirtualnych z systemem Windows Zainstaluj agenta zabezpieczeń platformy Azure na maszynach wirtualnych z systemem Windows, aby monitorować maszyny pod kątem konfiguracji zabezpieczeń i luk w zabezpieczeniach. Wyniki ocen można zobaczyć i zarządzać nimi w usłudze Azure Security Center. AuditIfNotExists, Disabled 2.1.0-preview
[Wersja zapoznawcza]: Diagnostyka rozruchu powinna być włączona na maszynach wirtualnych Maszyny wirtualne platformy Azure powinny mieć włączoną diagnostykę rozruchu. Inspekcja, wyłączone 1.0.0-preview
[Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie wirtualnej z systemem Linux Zainstaluj rozszerzenie ChangeTracking na maszynach wirtualnych z systemem Linux, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane w zestawach skalowania maszyn wirtualnych z systemem Linux Zainstaluj rozszerzenie ChangeTracking w zestawach skalowania maszyn wirtualnych z systemem Linux, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie wirtualnej z systemem Windows Zainstaluj rozszerzenie ChangeTracking na maszynach wirtualnych z systemem Windows, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane w zestawach skalowania maszyn wirtualnych z systemem Windows Zainstaluj rozszerzenie ChangeTracking w zestawach skalowania maszyn wirtualnych z systemem Windows, aby włączyć monitorowanie integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta monitorowania platformy Azure. AuditIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie agenta usługi Azure Defender for SQL na maszynie wirtualnej Skonfiguruj maszyny z systemem Windows, aby automatycznie instalować agenta usługi Azure Defender for SQL, na którym zainstalowano agenta usługi Azure Monitor. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Tworzy grupę zasobów i obszar roboczy usługi Log Analytics w tym samym regionie co maszyna. Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. DeployIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie kopii zapasowej dla dysków platformy Azure (Dyski zarządzane) przy użyciu danego tagu do istniejącego magazynu kopii zapasowych w tym samym regionie Wymuś tworzenie kopii zapasowej dla wszystkich dysków platformy Azure (Dyski zarządzane), które zawierają dany tag do centralnego magazynu kopii zapasowych. Dowiedz się więcej na stronie https://aka.ms/AB-DiskBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie kopii zapasowej dysków platformy Azure (Dyski zarządzane) bez danego tagu do istniejącego magazynu kopii zapasowych w tym samym regionie Wymuszaj tworzenie kopii zapasowej dla wszystkich dysków platformy Azure (Dyski zarządzane), które nie zawierają danego tagu w centralnym magazynie kopii zapasowych. Dowiedz się więcej na stronie https://aka.ms/AB-DiskBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla zestawów skalowania maszyn wirtualnych z systemem Linux Skonfiguruj zestawy skalowania maszyn wirtualnych z systemem Linux, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. DeployIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla maszyn wirtualnych z systemem Linux Skonfiguruj maszyny wirtualne z systemem Linux, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. DeployIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla zestawów skalowania maszyn wirtualnych z systemem Windows Skonfiguruj zestawy skalowania maszyn wirtualnych z systemem Windows, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. DeployIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie rozszerzenia ChangeTracking dla maszyn wirtualnych z systemem Windows Skonfiguruj maszyny wirtualne z systemem Windows, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w usłudze Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry systemu Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta usługi Azure Monitor. DeployIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych z systemem Linux do skojarzenia z regułą zbierania danych dla funkcji ChangeTracking i Inventory Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Linux z określoną regułą zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. DeployIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych z systemem Linux w celu zainstalowania usługi AMA dla rozwiązania ChangeTracking i spisu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Linux w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled Wersja zapoznawcza 1.5.0
[Wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych z systemem Linux do skojarzenia z regułą zbierania danych na potrzeby rozwiązania ChangeTracking i spisu Wdróż skojarzenie, aby połączyć zestawy skalowania maszyn wirtualnych z systemem Linux z określoną regułą zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. DeployIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych z systemem Linux w celu zainstalowania usługi AMA dla rozwiązania ChangeTracking i spisu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Linux w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.4.0-preview
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Linux w celu automatycznego instalowania agenta zabezpieczeń platformy Azure Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Linux, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. DeployIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Linux w celu automatycznego instalowania rozszerzenia zaświadczania gościa Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Linux, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. DeployIfNotExists, Disabled Wersja zapoznawcza 6.1.0
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Linux w celu automatycznego włączania bezpiecznego rozruchu Skonfiguruj obsługiwane maszyny wirtualne z systemem Linux, aby automatycznie włączyć bezpieczny rozruch w celu ograniczenia ryzyka złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. DeployIfNotExists, Disabled 5.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Linux w celu automatycznego instalowania agenta zabezpieczeń platformy Azure Skonfiguruj obsługiwane maszyny wirtualne z systemem Linux, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. DeployIfNotExists, Disabled Wersja zapoznawcza 7.0.0
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Linux w celu automatycznego instalowania rozszerzenia zaświadczania gościa Skonfiguruj obsługiwane maszyny wirtualne z systemem Linux, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. DeployIfNotExists, Disabled Wersja zapoznawcza 7.1.0
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych w celu automatycznego włączania maszyn wirtualnych vTPM Skonfiguruj obsługiwane maszyny wirtualne, aby automatycznie włączyć maszyny wirtualne vTPM w celu ułatwienia mierzonego rozruchu i innych funkcji zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. DeployIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn z systemem Windows w celu automatycznego instalowania agenta zabezpieczeń platformy Azure Skonfiguruj obsługiwane maszyny z systemem Windows, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. DeployIfNotExists, Disabled Wersja zapoznawcza 5.1.0
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Windows w celu automatycznego instalowania agenta zabezpieczeń platformy Azure Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Windows, aby automatycznie instalować agenta zabezpieczeń platformy Azure. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Docelowe zestawy skalowania maszyn wirtualnych z systemem Windows muszą znajdować się w obsługiwanej lokalizacji. DeployIfNotExists, Disabled 2.1.0-preview
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Windows w celu automatycznego instalowania rozszerzenia zaświadczania gościa Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Windows, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. DeployIfNotExists, Disabled 4.1.0—wersja zapoznawcza
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Windows w celu automatycznego włączania bezpiecznego rozruchu Skonfiguruj obsługiwane maszyny wirtualne z systemem Windows, aby automatycznie włączyć bezpieczny rozruch w celu ograniczenia ryzyka złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. DeployIfNotExists, Disabled 3.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Windows w celu automatycznego instalowania rozszerzenia zaświadczania gościa Skonfiguruj obsługiwane maszyny wirtualne z systemem Windows, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. DeployIfNotExists, Disabled Wersja zapoznawcza 5.1.0
[Wersja zapoznawcza]: Konfigurowanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań usługi Azure Monitor na maszynach wirtualnych Skonfiguruj tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez usługę Azure Monitor i nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań usługi Azure Monitor i musi zostać dodana do maszyn przed użyciem dowolnego rozszerzenia usługi Azure Monitor. Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. Modyfikowanie, wyłączone Wersja zapoznawcza 6.0.0
[Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych utworzonych przy użyciu obrazów galerii obrazów udostępnionych w celu zainstalowania rozszerzenia zaświadczania gościa Skonfiguruj maszyny wirtualne utworzone przy użyciu obrazów galerii obrazów udostępnionych, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. DeployIfNotExists, Disabled 2.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie usługi VMSS utworzonego przy użyciu obrazów galerii obrazów udostępnionych w celu zainstalowania rozszerzenia zaświadczania gościa Skonfiguruj usługę VMSS utworzoną przy użyciu obrazów z galerii obrazów udostępnionych, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. DeployIfNotExists, Disabled 2.1.0-preview
[Wersja zapoznawcza]: Skonfiguruj system Windows Server, aby wyłączyć użytkowników lokalnych. Tworzy przypisanie konfiguracji gościa w celu skonfigurowania wyłączania użytkowników lokalnych w systemie Windows Server. Gwarantuje to, że dostęp do serwerów z systemem Windows można uzyskać tylko za pomocą konta usługi AAD (Azure Active Directory) lub listy jawnie dozwolonych użytkowników przez te zasady, zwiększając ogólny poziom zabezpieczeń. DeployIfNotExists, Disabled 1.2.0-preview
[Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych z systemem Windows do skojarzenia z regułą zbierania danych dla funkcji ChangeTracking i Inventory Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Windows z określoną regułą zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. DeployIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych z systemem Windows w celu zainstalowania usługi AMA dla rozwiązania ChangeTracking i spisu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.1.0-preview
[Wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych z systemem Windows do skojarzenia z regułą zbierania danych na potrzeby rozwiązania ChangeTracking i spisu Wdróż skojarzenie, aby połączyć zestawy skalowania maszyn wirtualnych z systemem Windows z określoną regułą zbierania danych w celu włączenia funkcji ChangeTracking i Inventory. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. DeployIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych z systemem Windows w celu zainstalowania usługi AMA na potrzeby rozwiązania ChangeTracking i spisu przy użyciu tożsamości zarządzanej przypisanej przez użytkownika Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Windows w celu włączenia funkcji ChangeTracking i Inventory. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.1.0-preview
[Wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach wirtualnych z systemem Linux Wdraża agenta Ochrona punktu końcowego w usłudze Microsoft Defender na odpowiednich obrazach maszyn wirtualnych z systemem Linux. DeployIfNotExists, AuditIfNotExists, Disabled 3.0.0-preview
[Wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach wirtualnych z systemem Windows Wdraża Ochrona punktu końcowego w usłudze Microsoft Defender na odpowiednich obrazach maszyn wirtualnych z systemem Windows. DeployIfNotExists, AuditIfNotExists, Disabled Wersja zapoznawcza 2.0.1
[Wersja zapoznawcza]: Włączanie tożsamości przypisanej przez system do maszyny wirtualnej SQL Włącz tożsamość przypisaną przez system na dużą skalę do maszyn wirtualnych SQL. Te zasady należy przypisać na poziomie subskrypcji. Przypisanie na poziomie grupy zasobów nie będzie działać zgodnie z oczekiwaniami. DeployIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych z systemem Linux, aby umożliwić usłudze Azure Security Center aktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Linux i zaufanych. AuditIfNotExists, Disabled Wersja zapoznawcza 6.0.0
[Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Linux i zaufanych uruchomiń. AuditIfNotExists, Disabled Wersja zapoznawcza 5.1.0
[Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Windows i zaufanych. AuditIfNotExists, Disabled 4.0.0-preview
[Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Windows i zaufanych. AuditIfNotExists, Disabled 3.1.0-preview
[Wersja zapoznawcza]: Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń platformy Azure dla hostów platformy Docker Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń platformy Azure dla hostów platformy Docker. AuditIfNotExists, Disabled 1.2.0-preview
[Wersja zapoznawcza]: Maszyny z systemem Linux powinny spełniać wymagania zgodności STIG dla obliczeń platformy Azure Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w wymaganiach zgodności STIG dla obliczeń platformy Azure. DISA (Defense Information Systems Agency) zawiera przewodniki techniczne STIG (Security Technical Implementation Guide) w celu zabezpieczenia systemu operacyjnego obliczeniowego zgodnie z wymaganiami Departamentu Obrony (DoD). Aby uzyskać więcej informacji, zobacz https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.2.0-preview
[Wersja zapoznawcza]: Maszyny z systemem Linux z zainstalowanym rozwiązaniem OMI powinny mieć wersję 1.6.8-1 lub nowszą Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Ze względu na poprawkę zabezpieczeń zawartą w wersji 1.6.8-1 pakietu OMI dla systemu Linux wszystkie maszyny powinny zostać zaktualizowane do najnowszej wersji. Uaktualnij aplikacje/pakiety korzystające z usługi OMI, aby rozwiązać ten problem. Aby uzyskać więcej informacji, zobacz https://aka.ms/omiguidance. AuditIfNotExists, Disabled 1.2.0-preview
[Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny używać tylko podpisanych i zaufanych składników rozruchu Wszystkie składniki rozruchu systemu operacyjnego (moduł ładujący rozruchu, jądro, sterowniki jądra) muszą być podpisane przez zaufanych wydawców. Defender dla Chmury zidentyfikował niezaufane składniki rozruchu systemu operacyjnego na co najmniej jednej maszynie z systemem Linux. Aby chronić maszyny przed potencjalnie złośliwymi składnikami, dodaj je do listy dozwolonych lub usuń zidentyfikowane składniki. AuditIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny używać bezpiecznego rozruchu Aby chronić przed instalacją zestawów rootkit opartych na złośliwym oprogramowaniu i zestawów rozruchowych, włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Linux. Bezpieczny rozruch zapewnia możliwość uruchamiania tylko podpisanych systemów operacyjnych i sterowników. Ta ocena dotyczy tylko maszyn wirtualnych z systemem Linux z zainstalowanym agentem usługi Azure Monitor. AuditIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. AuditIfNotExists, Disabled Wersja zapoznawcza 2.0.1
[Wersja zapoznawcza]: Maszyny powinny mieć zamknięte porty, które mogą uwidaczniać wektory ataków Warunki użytkowania platformy Azure uniemożliwiają korzystanie z usług platformy Azure w sposób, który może uszkodzić, wyłączyć, przeciążyć lub osłabić dowolny serwer firmy Microsoft lub sieć. Uwidocznione porty zidentyfikowane przez to zalecenie muszą zostać zamknięte w celu zapewnienia ciągłego zabezpieczeń. W przypadku każdego zidentyfikowanego portu zalecenie zawiera również wyjaśnienie potencjalnego zagrożenia. AuditIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Dyski zarządzane powinna być odporna na strefy Dyski zarządzane można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Dyski zarządzane z dokładnie jednym przypisaniem strefy są wyrównane do strefy. Dyski zarządzane z nazwą jednostki SKU kończącą się strefowo nadmiarowym magazynem ZRS. Te zasady pomagają zidentyfikować i wymusić te konfiguracje odporności dla Dyski zarządzane. Inspekcja, Odmowa, Wyłączone 1.0.0-preview
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. AuditIfNotExists, Disabled 1.0.2—wersja zapoznawcza
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. AuditIfNotExists, Disabled 1.0.2—wersja zapoznawcza
[Wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows Włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Windows, aby ograniczyć ryzyko złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Windows i zaufanych. Inspekcja, wyłączone 4.0.0-preview
[Wersja zapoznawcza]: Ustaw wymagania wstępne dotyczące planowania cyklicznych aktualizacji na maszynach wirtualnych platformy Azure. Te zasady ustawią wymagania wstępne wymagane do zaplanowannia cyklicznych aktualizacji w usłudze Azure Update Manager, konfigurując aranżację poprawek na "Harmonogramy zarządzane przez klienta". Ta zmiana spowoduje automatyczne ustawienie trybu poprawki na wartość "AutomaticByPlatform" i włącza wartość "BypassPlatformSafetyChecksOnUserSchedule" na wartość "True" na maszynach wirtualnych platformy Azure. Wymagania wstępne nie mają zastosowania dla serwerów z obsługą usługi Arc. Dowiedz się więcej- https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites DeployIfNotExists, Disabled 1.1.0-preview
[Wersja zapoznawcza]: Zestawy skalowania maszyn wirtualnych powinny być odporne na strefy Zestawy skalowania maszyn wirtualnych można skonfigurować tak, aby były wyrównane do strefy, strefowo nadmiarowe lub nie. Zestawy skalowania maszyn wirtualnych, które mają dokładnie jeden wpis w tablicy stref, są traktowane jako Wyrównane strefy. Z kolei zestawy skalowania maszyn wirtualnych z co najmniej 3 wpisami w tablicy stref i pojemność co najmniej 3 są rozpoznawane jako strefowo nadmiarowe. Te zasady pomagają identyfikować i wymuszać te konfiguracje odporności. Inspekcja, Odmowa, Wyłączone 1.0.0-preview
[Wersja zapoznawcza]: Stan zaświadczania gościa maszyn wirtualnych powinien być w dobrej kondycji Zaświadczanie gościa jest wykonywane przez wysłanie zaufanego dziennika (TCGLog) do serwera zaświadczania. Serwer używa tych dzienników do określenia, czy składniki rozruchu są wiarygodne. Ta ocena ma na celu wykrywanie kompromisów łańcucha rozruchowego, które mogą być wynikiem infekcji bootkit lub rootkit. Ta ocena dotyczy tylko maszyn wirtualnych z włączoną obsługą zaufanego uruchamiania z zainstalowanym rozszerzeniem zaświadczania gościa. AuditIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Maszyny wirtualne powinny być wyrównane do strefy Maszyny wirtualne można skonfigurować tak, aby były wyrównane do strefy. Są one traktowane jako Wyrównane strefy, jeśli mają tylko jeden wpis w tablicy stref. Te zasady zapewniają, że są skonfigurowane do działania w jednej strefie dostępności. Inspekcja, Odmowa, Wyłączone 1.0.0-preview
[Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych Włącz wirtualne urządzenie TPM na obsługiwanych maszynach wirtualnych, aby ułatwić mierzony rozruch i inne funkcje zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z obsługą uruchamiania. Inspekcja, wyłączone 2.0.0-preview
[Wersja zapoznawcza]: Maszyny z systemem Windows powinny spełniać wymagania zgodności STIG dla obliczeń platformy Azure Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana pod kątem jednego z zaleceń w wymaganiach zgodności STIG dla obliczeń platformy Azure. DISA (Defense Information Systems Agency) zawiera przewodniki techniczne STIG (Security Technical Implementation Guide) w celu zabezpieczenia systemu operacyjnego obliczeniowego zgodnie z wymaganiami Departamentu Obrony (DoD). Aby uzyskać więcej informacji, zobacz https://public.cyber.mil/stigs/. AuditIfNotExists, Disabled 1.0.0-preview
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. AuditIfNotExists, Disabled 3.0.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 4.1.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 4.1.0
Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. AuditIfNotExists, Disabled 3.0.0
Dozwolone jednostki SKU rozmiaru maszyny wirtualnej Te zasady umożliwiają określenie zestawu jednostek SKU rozmiaru maszyny wirtualnej, które organizacja może wdrożyć. Zablokuj 1.0.1
Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł AuditIfNotExists, Disabled 3.1.0
Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 AuditIfNotExists, Disabled 3.1.0
Przeprowadź inspekcję maszyn z systemem Linux, na których nie zainstalowano określonych aplikacji Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli zasób Chef InSpec wskazuje, że co najmniej jeden pakiet dostarczony przez parametr nie jest zainstalowany. AuditIfNotExists, Disabled 4.2.0
Inspekcja maszyn z systemem Linux z kontami bez haseł Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które mają konta bez haseł AuditIfNotExists, Disabled 3.1.0
Przeprowadzanie inspekcji maszyn z systemem Linux z zainstalowanymi określonymi aplikacjami Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli zasób Chef InSpec wskazuje, że zainstalowano co najmniej jeden pakiet dostarczony przez parametr . AuditIfNotExists, Disabled 4.2.0
Inspekcja stanu zabezpieczeń protokołu SSH dla systemu Linux (obsługiwanego przez program OSConfig) Te zasady przeprowadzają inspekcję konfiguracji zabezpieczeń serwera SSH na maszynach z systemem Linux (maszynach wirtualnych platformy Azure i maszynach z obsługą usługi Arc). Aby uzyskać więcej informacji, w tym wymagania wstępne, ustawienia w zakresie, wartościach domyślnych i dostosowywaniu, zobacz https://aka.ms/SshPostureControlOverview AuditIfNotExists, Disabled 1.0.1
Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych inspekcje 1.0.0
Inspekcja maszyn z systemem Windows bez określonych członków w grupie Administratorzy Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa administratorów nie zawiera co najmniej jednego elementu członkowskiego wymienionego w parametrze zasad. auditIfNotExists 2.0.0
Inspekcja łączności sieciowej maszyn z systemem Windows Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli stan połączenia sieciowego z adresem IP i portEM TCP nie jest zgodny z parametrem zasad. auditIfNotExists 2.0.0
Inspekcja maszyn z systemem Windows, na których konfiguracja DSC nie jest zgodna Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli polecenie programu Windows PowerShell Get-DSCConfigurationStatus zwraca, że konfiguracja DSC dla maszyny jest niezgodna. auditIfNotExists 3.0.0
Inspekcja maszyn z systemem Windows, na których agent usługi Log Analytics nie jest połączony zgodnie z oczekiwaniami Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli agent nie jest zainstalowany lub jeśli jest zainstalowany, ale obiekt COM AgentConfigManager.MgmtSvcCfg zwraca, że jest zarejestrowany w obszarze roboczym innym niż identyfikator określony w parametrze zasad. auditIfNotExists 2.0.0
Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych usług i "Uruchomiono" Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli wynik polecenia programu Windows PowerShell Get-Service nie uwzględnia nazwy usługi z pasującym stanem określonym przez parametr zasad. auditIfNotExists 3.0.0
Inspekcja maszyn z systemem Windows, na których nie włączono konsoli szeregowej systemu Windows Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie ma zainstalowanego oprogramowania konsoli szeregowej lub jeśli numer portu EMS lub szybkość transmisji nie są skonfigurowane z tymi samymi wartościami co parametry zasad. auditIfNotExists 3.0.0
Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które zezwalają na ponowne użycie haseł po określonej liczbie unikatowych haseł. Wartość domyślna dla unikatowych haseł to 24 AuditIfNotExists, Disabled 2.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie są przyłączone do określonej domeny Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli wartość właściwości Domain w klasie WMI win32_computersystem nie jest zgodna z wartością w parametrze zasad. auditIfNotExists 2.0.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie są ustawione na określoną strefę czasową Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli wartość właściwości StandardName w klasie WMI Win32_TimeZone nie jest zgodna z wybraną strefą czasową dla parametru zasad. auditIfNotExists 3.0.0
Przeprowadź inspekcję maszyn z systemem Windows, które zawierają certyfikaty wygasające w ciągu określonej liczby dni Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli certyfikaty w określonym magazynie mają datę wygaśnięcia spoza zakresu dla liczby dni podanych jako parametr. Zasady udostępniają również opcję sprawdzania tylko określonych certyfikatów lub wykluczania określonych certyfikatów oraz tego, czy raportować wygasłe certyfikaty. auditIfNotExists 2.0.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie zawierają określonych certyfikatów w zaufanym katalogu głównym Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli magazyn zaufanych certyfikatów głównych komputera (Cert:\LocalMachine\Root) nie zawiera co najmniej jednego certyfikatu wymienionego przez parametr zasad. auditIfNotExists 3.0.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają maksymalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna maksymalnego wieku hasła to 70 dni AuditIfNotExists, Disabled 2.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna minimalnego wieku hasła to 1 dzień AuditIfNotExists, Disabled 2.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają włączonego ustawienia złożoności hasła AuditIfNotExists, Disabled 2.0.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają określonych zasad wykonywania programu Windows PowerShell Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli polecenie programu Windows PowerShell Get-ExecutionPolicy zwraca wartość inną niż wybrana w parametrze zasad. AuditIfNotExists, Disabled 3.0.0
Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych modułów programu Windows PowerShell Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli moduł nie jest dostępny w lokalizacji określonej przez zmienną środowiskową PSModulePath. AuditIfNotExists, Disabled 3.0.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków. Wartość domyślna minimalnej długości hasła to 14 znaków AuditIfNotExists, Disabled 2.1.0
Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego AuditIfNotExists, Disabled 2.0.0
Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych aplikacji Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli nazwa aplikacji nie zostanie znaleziona w żadnej z następujących ścieżek rejestru: HKLM:SOFTWARE\Microsoft\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Inspekcja maszyn z systemem Windows z dodatkowymi kontami w grupie Administratorzy Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administratorzy zawiera elementy członkowskie, które nie są wymienione w parametrze zasad. auditIfNotExists 2.0.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie zostały uruchomione ponownie w ciągu określonej liczby dni Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli właściwość WMI LastBootUpTime w klasie Win32_Operatingsystem znajduje się poza zakresem dni podanym przez parametr zasad. auditIfNotExists 2.0.0
Przeprowadzanie inspekcji maszyn z systemem Windows z zainstalowanymi określonymi aplikacjami Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli nazwa aplikacji znajduje się w dowolnej z następujących ścieżek rejestru: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administratorzy zawiera co najmniej jednego członka wymienionego w parametrze zasad. auditIfNotExists 2.0.0
Przeprowadzanie inspekcji maszyn wirtualnych z systemem Windows z oczekującym ponownym uruchomieniem Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna oczekuje na ponowny rozruch z dowolnego z następujących powodów: obsługa oparta na składnikach, Windows Update, oczekiwanie na zmianę nazwy pliku, oczekiwanie na zmianę nazwy komputera, menedżer konfiguracji oczekuje na ponowny rozruch. Każde wykrywanie ma unikatową ścieżkę rejestru. auditIfNotExists 2.0.0
Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Usługa Azure Backup powinna być włączona dla maszyn wirtualnych Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. AuditIfNotExists, Disabled 3.0.0
Wystąpienia ról usług Cloud Services (wsparcie dodatkowe) należy skonfigurować bezpiecznie Chroń wystąpienia ról usługi w chmurze (wsparcie dodatkowe) przed atakami, zapewniając, że nie są one ujawniane żadnym lukom w zabezpieczeniach systemu operacyjnego. AuditIfNotExists, Disabled 1.0.0
Wystąpienia ról usług Cloud Services (wsparcie dodatkowe) powinny mieć zainstalowane rozwiązanie ochrony punktu końcowego Chroń wystąpienia ról usług Cloud Services (wsparcie dodatkowe) przed zagrożeniami i lukami w zabezpieczeniach, zapewniając zainstalowanie na nich rozwiązania ochrony punktu końcowego. AuditIfNotExists, Disabled 1.0.0
Wystąpienia ról usług Cloud Services (wsparcie dodatkowe) powinny mieć zainstalowane aktualizacje systemu Zabezpieczanie wystąpień ról usług w chmurze (rozszerzonej pomocy technicznej), zapewniając zainstalowanie na nich najnowszych aktualizacji zabezpieczeń i krytycznych. AuditIfNotExists, Disabled 1.0.0
Konfigurowanie usługi Azure Defender dla serwerów do wyłączenia dla wszystkich zasobów (poziom zasobów) Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady spowodują wyłączenie planu usługi Defender for Servers dla wszystkich zasobów (maszyn wirtualnych, zestawów SKALOWANIA maszyn wirtualnych i maszyn ARC) w wybranym zakresie (subskrypcja lub grupa zasobów). DeployIfNotExists, Disabled 1.0.0
Konfigurowanie usługi Azure Defender dla serwerów do wyłączenia dla zasobów (poziom zasobów) przy użyciu wybranego tagu Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady spowodują wyłączenie planu usługi Defender for Servers dla wszystkich zasobów (maszyn wirtualnych, zestawów skalowania maszyn wirtualnych i maszyn ARC), które mają wybraną nazwę tagu i wartości tagów. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie usługi Azure Defender dla serwerów do włączenia (podplanu P1) dla wszystkich zasobów (poziom zasobów) przy użyciu wybranego tagu Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady umożliwią plan usługi Defender for Servers (z podplanem P1) dla wszystkich zasobów (maszyn wirtualnych i maszyn ARC), które mają wybraną nazwę tagu i wartości tagów. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie usługi Azure Defender dla serwerów do włączenia (z podplanem "P1" dla wszystkich zasobów (poziom zasobów) Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te zasady umożliwią plan usługi Defender for Servers (z podplanem P1) dla wszystkich zasobów (maszyn wirtualnych i maszyn ARC) w wybranym zakresie (subskrypcja lub grupa zasobów). DeployIfNotExists, Disabled 1.0.0
Konfigurowanie kopii zapasowej na maszynach wirtualnych przy użyciu danego tagu do nowego magazynu usługi Recovery Services z domyślnymi zasadami Wymuszanie tworzenia kopii zapasowej dla wszystkich maszyn wirtualnych przez wdrożenie magazynu usługi Recovery Services w tej samej lokalizacji i grupie zasobów co maszyna wirtualna. Jest to przydatne, gdy różne zespoły aplikacji w organizacji są przydzielane oddzielnymi grupami zasobów i muszą zarządzać własnymi kopiami zapasowymi i przywracaniem. Opcjonalnie możesz uwzględnić maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMAppCentricBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.4.0
Konfigurowanie kopii zapasowej na maszynach wirtualnych przy użyciu danego tagu do istniejącego magazynu usługi Recovery Services w tej samej lokalizacji Wymuś tworzenie kopii zapasowej dla wszystkich maszyn wirtualnych, tworząc ich kopię zapasową do istniejącego centralnego magazynu usługi Recovery Services w tej samej lokalizacji i subskrypcji co maszyna wirtualna. Jest to przydatne, gdy w organizacji istnieje centralny zespół zarządzający kopiami zapasowymi dla wszystkich zasobów w ramach subskrypcji. Opcjonalnie możesz uwzględnić maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMCentralBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.4.0
Konfigurowanie kopii zapasowej na maszynach wirtualnych bez danego tagu do nowego magazynu usługi Recovery Services z domyślnymi zasadami Wymuszanie tworzenia kopii zapasowej dla wszystkich maszyn wirtualnych przez wdrożenie magazynu usługi Recovery Services w tej samej lokalizacji i grupie zasobów co maszyna wirtualna. Jest to przydatne, gdy różne zespoły aplikacji w organizacji są przydzielane oddzielnymi grupami zasobów i muszą zarządzać własnymi kopiami zapasowymi i przywracaniem. Opcjonalnie można wykluczyć maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMAppCentricBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.4.0
Konfigurowanie kopii zapasowej na maszynach wirtualnych bez danego tagu do istniejącego magazynu usługi Recovery Services w tej samej lokalizacji Wymuś tworzenie kopii zapasowej dla wszystkich maszyn wirtualnych, tworząc ich kopię zapasową do istniejącego centralnego magazynu usługi Recovery Services w tej samej lokalizacji i subskrypcji co maszyna wirtualna. Jest to przydatne, gdy w organizacji istnieje centralny zespół zarządzający kopiami zapasowymi dla wszystkich zasobów w ramach subskrypcji. Opcjonalnie można wykluczyć maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.4.0
Konfigurowanie odzyskiwania po awarii na maszynach wirtualnych przez włączenie replikacji za pośrednictwem usługi Azure Site Recovery Maszyny wirtualne bez konfiguracji odzyskiwania po awarii są narażone na awarie i inne zakłócenia. Jeśli maszyna wirtualna nie ma jeszcze skonfigurowanego odzyskiwania po awarii, spowoduje to zainicjowanie tego samego przez włączenie replikacji przy użyciu wstępnie ustawionych konfiguracji w celu ułatwienia ciągłości działania. Opcjonalnie można dołączać/wykluczać maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. DeployIfNotExists, Disabled 2.1.0
Konfigurowanie zasobów dostępu do dysku przy użyciu prywatnych punktów końcowych Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zasoby dostępu do dysku, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie maszyn z systemem Linux do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych Wdróż skojarzenie w celu połączenia maszyn wirtualnych z systemem Linux, zestawów skalowania maszyn wirtualnych i maszyn arc do określonej reguły zbierania danych lub określonego punktu końcowego zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. DeployIfNotExists, Disabled 6.5.1
Skonfiguruj serwer z systemem Linux, aby wyłączyć użytkowników lokalnych. Tworzy przypisanie konfiguracji gościa w celu skonfigurowania wyłączania użytkowników lokalnych na serwerze z systemem Linux. Gwarantuje to, że dostęp do serwerów z systemem Linux może uzyskać tylko konto usługi AAD (Azure Active Directory) lub lista jawnie dozwolonych użytkowników przez te zasady, co poprawia ogólny poziom zabezpieczeń. DeployIfNotExists, Disabled 1.3.0—wersja zapoznawcza
Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Linux do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych Wdróż skojarzenie, aby połączyć zestawy skalowania maszyn wirtualnych z systemem Linux z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. DeployIfNotExists, Disabled 4.4.1
Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Linux w celu uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez system Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Linux w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.6.0
Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Linux w celu uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Linux w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.8.0
Konfigurowanie maszyn wirtualnych z systemem Linux do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Linux z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. DeployIfNotExists, Disabled 4.4.1
Konfigurowanie maszyn wirtualnych z systemem Linux do uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez system Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Linux w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.6.0
Konfigurowanie maszyn wirtualnych z systemem Linux do uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Linux w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.8.0
Konfigurowanie maszyn do odbierania dostawcy oceny luk w zabezpieczeniach Usługa Azure Defender obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn bez dodatkowych kosztów. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane w usłudze Security Center. Po włączeniu tych zasad usługa Azure Defender automatycznie wdraża dostawcę oceny luk w zabezpieczeniach Qualys na wszystkich obsługiwanych maszynach, które nie zostały jeszcze zainstalowane. DeployIfNotExists, Disabled 4.0.0
Konfigurowanie dysków zarządzanych w celu wyłączenia dostępu do sieci publicznej Wyłącz dostęp do sieci publicznej dla zasobu dysku zarządzanego, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/disksprivatelinksdoc. Modyfikowanie, wyłączone 2.0.0
Konfigurowanie okresowego sprawdzania brakujących aktualizacji systemu na maszynach wirtualnych platformy Azure Skonfiguruj automatyczną ocenę (co 24 godziny) pod kątem aktualizacji systemu operacyjnego na natywnych maszynach wirtualnych platformy Azure. Zakres przypisywania można kontrolować zgodnie z subskrypcją maszyny, grupą zasobów, lokalizacją lub tagiem. Dowiedz się więcej o tym dla systemu Windows: https://aka.ms/computevm-windowspatchassessmentmode, dla systemu Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Modyfikowanie 4.8.0
Konfigurowanie protokołów bezpiecznej komunikacji (TLS 1.1 lub TLS 1.2) na maszynach z systemem Windows Tworzy przypisanie konfiguracji gościa w celu skonfigurowania określonej wersji protokołu bezpiecznego (TLS 1.1 lub TLS 1.2) na maszynie z systemem Windows. DeployIfNotExists, Disabled 1.0.1
Konfigurowanie maszyn wirtualnych SQL do automatycznego instalowania agenta usługi Azure Monitor Automatyzowanie wdrażania rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows SQL. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.5.0
Konfigurowanie maszyn wirtualnych SQL w celu automatycznego instalowania usługi Microsoft Defender for SQL Skonfiguruj maszyny wirtualne SQL systemu Windows, aby automatycznie instalować rozszerzenie Microsoft Defender for SQL. Usługa Microsoft Defender for SQL zbiera zdarzenia od agenta i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zaleceń). DeployIfNotExists, Disabled 1.5.0
Konfigurowanie stanu zabezpieczeń protokołu SSH dla systemu Linux (obsługiwanego przez program OSConfig) Te zasady przeprowadzają inspekcję i konfigurowanie konfiguracji zabezpieczeń serwera SSH na maszynach z systemem Linux (maszyny wirtualne platformy Azure i maszyny z obsługą usługi Arc). Aby uzyskać więcej informacji, w tym wymagania wstępne, ustawienia w zakresie, wartościach domyślnych i dostosowywaniu, zobacz https://aka.ms/SshPostureControlOverview DeployIfNotExists, Disabled 1.0.1
Konfigurowanie strefy czasowej na maszynach z systemem Windows. Te zasady umożliwiają utworzenie przypisania konfiguracji gościa w celu ustawienia określonej strefy czasowej na maszynach wirtualnych z systemem Windows. deployIfNotExists 2.1.0
Konfigurowanie maszyn wirtualnych do dołączenia do usługi Azure Automanage Usługa Azure Automanage rejestruje, konfiguruje i monitoruje maszyny wirtualne przy użyciu najlepszych rozwiązań zdefiniowanych w przewodniku Microsoft Cloud Adoption Framework dla platformy Azure. Użyj tych zasad, aby zastosować automanage do wybranego zakresu. AuditIfNotExists, DeployIfNotExists, Disabled 2.4.0
Konfigurowanie maszyn wirtualnych do dołączania do usługi Azure Automanage przy użyciu niestandardowego profilu konfiguracji Usługa Azure Automanage rejestruje, konfiguruje i monitoruje maszyny wirtualne przy użyciu najlepszych rozwiązań zdefiniowanych w przewodniku Microsoft Cloud Adoption Framework dla platformy Azure. Użyj tych zasad, aby zastosować automanage z własnym dostosowanym profilem konfiguracji do wybranego zakresu. AuditIfNotExists, DeployIfNotExists, Disabled 1.4.0
Konfigurowanie maszyn z systemem Windows do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Windows, zestawy skalowania maszyn wirtualnych i maszyny arc do określonej reguły zbierania danych lub określonego punktu końcowego zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. DeployIfNotExists, Disabled 4.5.1
Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Windows do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych Wdróż skojarzenie, aby połączyć zestawy skalowania maszyn wirtualnych z systemem Windows z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. DeployIfNotExists, Disabled 3.3.1
Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Windows do uruchamiania agenta usługi Azure Monitor przy użyciu tożsamości zarządzanej przypisanej przez system Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Windows w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 3.4.0
Konfigurowanie zestawów skalowania maszyn wirtualnych z systemem Windows w celu uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor w zestawach skalowania maszyn wirtualnych z systemem Windows w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.6.0
Konfigurowanie maszyn wirtualnych z systemem Windows do skojarzenia z regułą zbierania danych lub punktem końcowym zbierania danych Wdróż skojarzenie, aby połączyć maszyny wirtualne z systemem Windows z określoną regułą zbierania danych lub określonym punktem końcowym zbierania danych. Lista lokalizacji i obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę zwiększania obsługi. DeployIfNotExists, Disabled 3.3.1
Konfigurowanie maszyn wirtualnych z systemem Windows do uruchamiania agenta usługi Azure Monitor przy użyciu przypisanej przez system tożsamości zarządzanej Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie, jeśli system operacyjny i region są obsługiwane, a tożsamość zarządzana przypisana przez system jest włączona, a w przeciwnym razie pomiń instalację. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 4.4.0
Konfigurowanie maszyn wirtualnych z systemem Windows do uruchamiania agenta usługi Azure Monitor przy użyciu uwierzytelniania opartego na tożsamości zarządzanej przypisanej przez użytkownika Zautomatyzuj wdrażanie rozszerzenia agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows w celu zbierania danych telemetrycznych z systemu operacyjnego gościa. Te zasady zainstalują rozszerzenie i skonfigurują je tak, aby korzystały z określonej tożsamości zarządzanej przypisanej przez użytkownika, jeśli system operacyjny i region są obsługiwane, i pominąć instalację w przeciwnym razie. Dowiedz się więcej: https://aka.ms/AMAOverview. DeployIfNotExists, Disabled 1.6.0
Tworzenie i przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika Tworzenie i przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika na dużą skalę do maszyn wirtualnych SQL. AuditIfNotExists, DeployIfNotExists, Disabled 1.7.0
Agent zależności powinien być włączony dla wyświetlanych obrazów maszyn wirtualnych Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i agent nie jest zainstalowany. Lista obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę aktualizowania obsługi. AuditIfNotExists, Disabled 2.0.0
Agent zależności powinien być włączony w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych Zgłasza zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Lista obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę aktualizowania obsługi. AuditIfNotExists, Disabled 2.0.0
Wdrażanie — konfigurowanie agenta zależności do włączenia w zestawach skalowania maszyn wirtualnych z systemem Windows Wdróż agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Jeśli zestaw skalowania upgradePolicy jest ustawiony na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie, aktualizując je. DeployIfNotExists, Disabled 3.2.0
Wdrażanie — konfigurowanie agenta zależności do włączenia na maszynach wirtualnych z systemem Windows Wdróż agenta zależności dla maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. DeployIfNotExists, Disabled 3.2.0
Wdrażanie — konfigurowanie rozszerzenia usługi Log Analytics do włączenia w zestawach skalowania maszyn wirtualnych z systemem Windows Wdróż rozszerzenie usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a rozszerzenie nie jest zainstalowane. Jeśli zestaw skalowania upgradePolicy jest ustawiony na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie, aktualizując je. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor. DeployIfNotExists, Disabled 3.1.0
Wdrażanie — konfigurowanie rozszerzenia usługi Log Analytics do włączenia na maszynach wirtualnych z systemem Windows Wdróż rozszerzenie usługi Log Analytics dla maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor. DeployIfNotExists, Disabled 3.1.0
Wdrażanie domyślnego rozszerzenia Microsoft IaaSAntimalware dla systemu Windows Server Te zasady wdraża rozszerzenie IaaSAntimalware firmy Microsoft z konfiguracją domyślną, gdy maszyna wirtualna nie jest skonfigurowana z rozszerzeniem ochrony przed złośliwym kodem. deployIfNotExists 1.1.0
Wdrażanie agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Linux Wdróż agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Linux, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Uwaga: jeśli uaktualnienie zestawu skalowaniaZasady jest ustawione na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie przez wywołanie uaktualnienia na nich. W interfejsie wiersza polecenia będzie to az vmss update-instances. deployIfNotExists 5.1.0
Wdrażanie agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Linux przy użyciu ustawień agenta monitorowania platformy Azure Wdróż agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Linux przy użyciu ustawień agenta monitorowania platformy Azure, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście, a agent nie jest zainstalowany. Uwaga: jeśli uaktualnienie zestawu skalowaniaZasady jest ustawione na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie przez wywołanie uaktualnienia na nich. W interfejsie wiersza polecenia będzie to az vmss update-instances. DeployIfNotExists, Disabled 3.2.0
Wdrażanie agenta zależności dla maszyn wirtualnych z systemem Linux Wdróż agenta zależności dla maszyn wirtualnych z systemem Linux, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. deployIfNotExists 5.1.0
Wdrażanie agenta zależności dla maszyn wirtualnych z systemem Linux przy użyciu ustawień agenta monitorowania platformy Azure Wdróż agenta zależności dla maszyn wirtualnych z systemem Linux przy użyciu ustawień agenta monitorowania platformy Azure, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. DeployIfNotExists, Disabled 3.2.0
Wdrażanie agenta zależności do włączenia w zestawach skalowania maszyn wirtualnych z systemem Windows przy użyciu ustawień agenta monitorowania platformy Azure Wdróż agenta zależności dla zestawów skalowania maszyn wirtualnych z systemem Windows przy użyciu ustawień agenta monitorowania platformy Azure, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Jeśli zestaw skalowania upgradePolicy jest ustawiony na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie, aktualizując je. DeployIfNotExists, Disabled 1.3.0
Wdrażanie agenta zależności do włączenia na maszynach wirtualnych z systemem Windows przy użyciu ustawień agenta monitorowania platformy Azure Wdróż agenta zależności dla maszyn wirtualnych z systemem Windows przy użyciu ustawień agenta monitorowania platformy Azure, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. DeployIfNotExists, Disabled 1.3.0
Wdróż rozszerzenie usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Linux. Zobacz powiadomienie o wycofaniu poniżej Wdróż rozszerzenie usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Linux, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. Uwaga: jeśli uaktualnienie zestawu skalowaniaZasady jest ustawione na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie przez wywołanie uaktualnienia na nich. W interfejsie wiersza polecenia będzie to az vmss update-instances. Powiadomienie o wycofaniu: Agent usługi Log Analytics nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor deployIfNotExists 3.0.0
Wdrażanie rozszerzenia usługi Log Analytics dla maszyn wirtualnych z systemem Linux. Zobacz powiadomienie o wycofaniu poniżej Wdróż rozszerzenie usługi Log Analytics dla maszyn wirtualnych z systemem Linux, jeśli obraz maszyny wirtualnej (OS) znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor deployIfNotExists 3.0.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. deployIfNotExists 3.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. deployIfNotExists 1.2.0
Zasoby dostępu do dysku powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Dyski i obraz systemu operacyjnego powinny obsługiwać usługę TrustedLaunch TrustedLaunch zwiększa bezpieczeństwo maszyny wirtualnej, co wymaga obsługi obrazu systemu operacyjnego i dysku systemu operacyjnego (Gen 2). Aby dowiedzieć się więcej o trustedLaunch, odwiedź stronę https://aka.ms/trustedlaunch Inspekcja, wyłączone 1.0.0
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Obsługiwane rozwiązania ochrony punktu końcowego w usłudze Azure Security Center zostały opisane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0
Program Endpoint Protection powinien być zainstalowany na maszynach Aby chronić maszyny przed zagrożeniami i lukami w zabezpieczeniach, zainstaluj obsługiwane rozwiązanie ochrony punktu końcowego. AuditIfNotExists, Disabled 1.0.0
Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. AuditIfNotExists, Disabled 3.0.0
Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Na gorąco należy włączyć maszyny wirtualne z systemem Windows Server Azure Edition Zminimalizuj ponowne uruchomienie i szybko zainstaluj aktualizacje przy użyciu funkcji hotpatch. Dowiedz się więcej na stronie https://docs.microsoft.com/azure/automanage/automanage-hotpatch Inspekcja, Odmowa, Wyłączone 1.0.0
Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. AuditIfNotExists, Disabled 2.2.0
Maszyny z systemem Linux powinny mieć dozwolone tylko konta lokalne Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Zarządzanie kontami użytkowników przy użyciu usługi Azure Active Directory to najlepsze rozwiązanie do zarządzania tożsamościami. Zmniejszenie liczby kont maszyn lokalnych pomaga zapobiec rozprzestrzenianiu się tożsamości zarządzanych poza systemem centralnym. Maszyny są niezgodne, jeśli istnieją konta użytkowników lokalnych, które są włączone, a nie wymienione w parametrze zasad. AuditIfNotExists, Disabled 2.2.0
Zestawy skalowania maszyn wirtualnych z systemem Linux powinny mieć zainstalowanego agenta usługi Azure Monitor Zestawy skalowania maszyn wirtualnych z systemem Linux powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Te zasady będą przeprowadzać inspekcję zestawów skalowania maszyn wirtualnych przy użyciu obsługiwanych obrazów systemu operacyjnego w obsługiwanych regionach. Dowiedz się więcej: https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 3.3.0
Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost. Mimo że dyski systemu operacyjnego i danych maszyny wirtualnej są domyślnie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski zasobów (dyski tymczasowe), pamięci podręczne danych i dane przepływające między zasobami obliczeniowymi i magazynowymi nie są szyfrowane. Korygowanie przy użyciu usługi Azure Disk Encryption lub EncryptionAtHost. Odwiedź stronę https://aka.ms/diskencryptioncomparison , aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.1
Maszyny wirtualne z systemem Linux powinny mieć zainstalowanego agenta usługi Azure Monitor Maszyny wirtualne z systemem Linux powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Te zasady będą przeprowadzać inspekcję maszyn wirtualnych z obsługiwanymi obrazami systemu operacyjnego w obsługiwanych regionach. Dowiedz się więcej: https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 3.3.0
Lokalne metody uwierzytelniania powinny być wyłączone na maszynach z systemem Linux Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli serwery z systemem Linux nie mają wyłączonych lokalnych metod uwierzytelniania. Ma to na celu sprawdzenie, czy serwery z systemem Linux mogą być dostępne tylko przez konto usługi AAD (Azure Active Directory) lub listę jawnie dozwolonych użytkowników przez te zasady, zwiększając ogólny stan zabezpieczeń. AuditIfNotExists, Disabled 1.2.0-preview
Metody uwierzytelniania lokalnego powinny być wyłączone na serwerach z systemem Windows Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli serwery z systemem Windows nie mają wyłączonych lokalnych metod uwierzytelniania. Ma to na celu sprawdzenie, czy dostęp do serwerów z systemem Windows można uzyskać tylko za pomocą konta usługi AAD (Azure Active Directory) lub listy jawnie dozwolonych użytkowników przez te zasady, co poprawia ogólny stan zabezpieczeń. AuditIfNotExists, Disabled 1.0.0-preview
Agent usługi Log Analytics powinien być zainstalowany w wystąpieniach ról usług Cloud Services (wsparcie dodatkowe) Usługa Security Center zbiera dane z wystąpień ról usług Cloud Services (rozszerzonej pomocy technicznej) w celu monitorowania pod kątem luk w zabezpieczeniach i zagrożeń. AuditIfNotExists, Disabled 2.0.0
Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych Raportuje zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. AuditIfNotExists, Disabled 2.0.1
Maszyny należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemu Aby zapewnić automatyczne wyzwalanie okresowych ocen brakujących aktualizacji systemu co 24 godziny, właściwość AssessmentMode powinna być ustawiona na wartość "AutomaticByPlatform". Dowiedz się więcej o właściwości AssessmentMode dla systemu Windows: https://aka.ms/computevm-windowspatchassessmentmode, dla systemu Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Inspekcja, Odmowa, Wyłączone 3.7.0
Maszyny powinny mieć rozpoznane wyniki wpisów tajnych Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy zawierają tajne wyniki rozwiązań do skanowania wpisów tajnych na maszynach wirtualnych. AuditIfNotExists, Disabled 1.0.2
Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta Klienci z wysokim poziomem zabezpieczeń, którzy są zaniepokojeni ryzykiem związanym z konkretnym algorytmem szyfrowania, implementacją lub kluczem, mogą zdecydować się na dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanych przez platformę. Zestawy szyfrowania dysków są wymagane do używania podwójnego szyfrowania. Dowiedz się więcej na https://aka.ms/disks-doubleEncryption. Inspekcja, Odmowa, Wyłączone 1.0.0
Dyski zarządzane powinny wyłączać dostęp do sieci publicznej Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że dysk zarządzany nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie dysków zarządzanych. Dowiedz się więcej na stronie: https://aka.ms/disksprivatelinksdoc. Inspekcja, wyłączone 2.0.0
Dyski zarządzane powinny używać określonego zestawu zestawów szyfrowania dysków na potrzeby szyfrowania kluczy zarządzanych przez klienta Wymaganie użycia określonego zestawu zestawów szyfrowania dysków z dyskami zarządzanymi zapewnia kontrolę nad kluczami używanymi do szyfrowania magazynowanych. Możesz wybrać dozwolone zestawy zaszyfrowane, a wszystkie inne zostaną odrzucone po dołączeniu do dysku. Dowiedz się więcej na https://aka.ms/disks-cmk. Inspekcja, Odmowa, Wyłączone 2.0.0
Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami AuditIfNotExists, Disabled 3.0.0
Porty zarządzania powinny być zamknięte na maszynach wirtualnych Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. AuditIfNotExists, Disabled 3.0.0
Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows, które nie zostały skonfigurowane przy użyciu automatycznej aktualizacji sygnatur ochrony przed złośliwym kodem firmy Microsoft. AuditIfNotExists, Disabled 1.0.0
Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows Te zasady przeprowadzają inspekcję dowolnej maszyny wirtualnej z systemem Windows server bez wdrożonego rozszerzenia IaaSAntimalware firmy Microsoft. AuditIfNotExists, Disabled 1.1.0
Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia AuditIfNotExists, Disabled 3.0.0
Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone. Inspekcja, Odmowa, Wyłączone 1.0.0
Dyski systemu operacyjnego i danych powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości dysków zarządzanych. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/disks-cmk. Inspekcja, Odmowa, Wyłączone 3.0.0
Należy włączyć prywatne punkty końcowe dla przypisań konfiguracji gościa Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z konfiguracją gościa dla maszyn wirtualnych. Maszyny wirtualne będą niezgodne, chyba że mają tag "EnablePrivateNetworkGC". Ten tag wymusza bezpieczną komunikację za pośrednictwem prywatnej łączności z konfiguracją gościa dla maszyn wirtualnych. Łączność prywatna ogranicza dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwia dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. Inspekcja, Odmowa, Wyłączone 1.1.0
Ochrona danych przy użyciu wymagań dotyczących uwierzytelniania podczas eksportowania lub przekazywania do dysku lub migawki. Gdy jest używany adres URL eksportowania/przekazywania, system sprawdza, czy użytkownik ma tożsamość w usłudze Azure Active Directory i ma niezbędne uprawnienia do eksportowania/przekazywania danych. Zapoznaj się z aka.ms/DisksAzureADAuth. Modyfikowanie, wyłączone 1.0.0
Wymagaj automatycznego stosowania poprawek obrazów systemu operacyjnego w zestawach skalowania maszyn wirtualnych Te zasady wymuszają włączenie automatycznego stosowania poprawek obrazów systemu operacyjnego w zestawach skalowania maszyn wirtualnych w celu zapewnienia bezpieczeństwa maszyn wirtualnych przez bezpieczne stosowanie najnowszych poprawek zabezpieczeń co miesiąc. odmowa 1.0.0
Planowanie cyklicznych aktualizacji przy użyciu usługi Azure Update Manager Program Azure Update Manager na platformie Azure umożliwia zapisywanie cyklicznych harmonogramów wdrażania w celu zainstalowania aktualizacji systemu operacyjnego dla maszyn z systemem Windows Server i Linux na platformie Azure, w środowiskach lokalnych i w innych środowiskach w chmurze połączonych przy użyciu serwerów z obsługą usługi Azure Arc. Te zasady zmienią również tryb stosowania poprawek dla maszyny wirtualnej platformy Azure na "AutomaticByPlatform". Zobacz więcej: https://aka.ms/umc-scheduled-patching DeployIfNotExists, Disabled 3.12.0
Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach Ocena luk w zabezpieczeniach SQL skanuje bazę danych pod kątem luk w zabezpieczeniach i ujawnia wszelkie odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione poufne dane. Rozwiązanie znalezionych luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń bazy danych. AuditIfNotExists, Disabled 1.0.0
Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji) Na maszynach brakuje systemu, zabezpieczeń i aktualizacji krytycznych. Aktualizacje oprogramowania często obejmują krytyczne poprawki do luk w zabezpieczeniach. Takie są często wykorzystywane w atakach złośliwego oprogramowania, dlatego ważne jest, aby oprogramowanie było aktualizowane. Aby zainstalować wszystkie zaległe poprawki i zabezpieczyć maszyny, wykonaj kroki korygowania. AuditIfNotExists, Disabled 1.0.1
Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane w zestawach skalowania maszyn wirtualnych z systemem Linux Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą odrzucać wszystkie przyszłe instalacje starszego rozszerzenia agenta w zestawach skalowania maszyn wirtualnych z systemem Linux. Dowiedz się więcej: https://aka.ms/migratetoAMA Odmowa, inspekcja, wyłączone 1.0.0
Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane na maszynach wirtualnych z systemem Linux Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą odrzucać wszystkie przyszłe instalacje starszego rozszerzenia agenta na maszynach wirtualnych z systemem Linux. Dowiedz się więcej: https://aka.ms/migratetoAMA Odmowa, inspekcja, wyłączone 1.0.0
Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane w zestawach skalowania maszyn wirtualnych Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą blokować wszystkie przyszłe instalacje starszego rozszerzenia agenta w zestawach skalowania maszyn wirtualnych z systemem Windows. Dowiedz się więcej: https://aka.ms/migratetoAMA Odmowa, inspekcja, wyłączone 1.0.0
Starsze rozszerzenie usługi Log Analytics nie powinno być zainstalowane na maszynach wirtualnych Automatyczne zapobieganie instalacji starszego agenta usługi Log Analytics jako ostatniego kroku migracji ze starszych agentów do agenta usługi Azure Monitor. Po odinstalowaniu istniejących starszych rozszerzeń te zasady będą blokować wszystkie przyszłe instalacje starszego rozszerzenia agenta na maszynach wirtualnych z systemem Windows. Dowiedz się więcej: https://aka.ms/migratetoAMA Odmowa, inspekcja, wyłączone 1.0.0
Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych Te zasady przeprowadzają inspekcję wszystkich zestawów skalowania maszyn wirtualnych z systemem Windows/Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. AuditIfNotExists, Disabled 1.0.1
Maszyna wirtualna powinna mieć włączoną opcję TrustedLaunch Włącz pozycję TrustedLaunch na maszynie wirtualnej w celu zapewnienia zwiększonych zabezpieczeń, użyj jednostki SKU maszyny wirtualnej (Gen 2), która obsługuje usługę TrustedLaunch. Aby dowiedzieć się więcej o trustedLaunch, odwiedź stronę https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch Inspekcja, wyłączone 1.0.0
Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na https://aka.ms/vm-hbe. Inspekcja, Odmowa, Wyłączone 1.0.0
Maszyny wirtualne powinny być połączone z określonym obszarem roboczym Zgłasza maszyny wirtualne jako niezgodne, jeśli nie są rejestrowane w obszarze roboczym usługi Log Analytics określonym w przypisaniu zasad/inicjatywy. AuditIfNotExists, Disabled 1.1.0
Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager Użyj nowego usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami Inspekcja, Odmowa, Wyłączone 1.0.0
Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. AuditIfNotExists, Disabled 1.0.1
Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1
Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia AuditIfNotExists, Disabled 3.1.0
Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). AuditIfNotExists, Disabled 2.0.0
Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. AuditIfNotExists, Disabled 4.1.1
Maszyny z systemem Windows powinny skonfigurować usługę Windows Defender do aktualizowania sygnatur ochrony w ciągu jednego dnia Aby zapewnić odpowiednią ochronę przed nowo wydanym złośliwym oprogramowaniem, należy regularnie aktualizować podpisy ochrony usługi Windows Defender, aby uwzględnić nowo wydane złośliwe oprogramowanie. Te zasady nie są stosowane do serwerów połączonych z usługą Arc i wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Maszyny z systemem Windows powinny włączyć ochronę w czasie rzeczywistym w usłudze Windows Defender Maszyny z systemem Windows powinny włączyć ochronę w czasie rzeczywistym w usłudze Windows Defender, aby zapewnić odpowiednią ochronę przed nowo wydanym złośliwym oprogramowaniem. Te zasady nie mają zastosowania do serwerów połączonych z łukiem i wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów administracyjnych — Panel sterowania Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Szablony administracyjne — Panel sterowania" na potrzeby personalizacji danych wejściowych i zapobiegania włączaniu ekranów blokady. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów administracyjnych — MSS (starsza wersja)" Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Szablony administracyjne — MSS (starsza wersja)" na potrzeby automatycznego logowania, wygaszacza ekranu, zachowania sieci, bezpiecznej biblioteki DLL i dziennika zdarzeń. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów administracyjnych — sieć Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Szablony administracyjne — sieć" dla logowania gościa, równoczesne połączenia, mostek sieciowy, ICS i rozpoznawanie nazw multiemisji. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące szablonów administracyjnych — system Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Szablony administracyjne — system" dla ustawień kontrolujących środowisko administracyjne i Pomoc zdalna. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — konta Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — konta" w celu ograniczenia używania konta lokalnego pustych haseł i stanu konta gościa. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — inspekcja Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — inspekcja" w celu wymuszania podkategorii zasad inspekcji i zamykania, jeśli nie można rejestrować inspekcji zabezpieczeń. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — urządzenia Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — urządzenia" do oddokowywania bez logowania, instalowania sterowników wydruku i formatowania/wysuwania nośnika. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — logowanie interakcyjne Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — logowanie interakcyjne" do wyświetlania nazwiska użytkownika i wymagania ctrl-alt-del. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — klient sieci firmy Microsoft Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — klient sieci Firmy Microsoft" dla klienta/serwera sieciowego firmy Microsoft i protokołu SMB v1. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — Microsoft Network Server Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — Microsoft Network Server" do wyłączania serwera SMB v1. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — dostęp sieciowy" w celu włączenia dostępu dla użytkowników anonimowych, kont lokalnych i dostępu zdalnego do rejestru. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — zabezpieczenia sieci" w celu włączenia zachowania systemu lokalnego, PKU2U, programu LAN Manager, klienta LDAP i dostawcy SSP NTLM. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — konsola odzyskiwania Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — konsola odzyskiwania" umożliwiające kopiowanie dyskietek i dostęp do wszystkich dysków i folderów. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zamykanie Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — zamknięcie", aby umożliwić zamknięcie bez logowania i wyczyszczenie pliku stronicowania pamięci wirtualnej. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — obiektów systemowych Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — obiekty systemowe" w przypadku braku poufności dla podsystemów innych niż Windows i uprawnień wewnętrznych obiektów systemu. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — ustawienia systemowe Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — ustawienia systemowe" dla reguł certyfikatów w plikach wykonywalnych dla SRP i opcjonalnych podsystemów. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — kontrola konta użytkownika Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — Kontrola konta użytkownika" dla administratorów, zachowanie monitu o podniesienie uprawnień oraz wirtualizacja błędów zapisu pliku i rejestru. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące ustawień zabezpieczeń — zasady konta Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Ustawienia zabezpieczeń — zasady konta" dla historii haseł, wieku, długości, złożoności i przechowywania haseł przy użyciu szyfrowania odwracalnego. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — logowanie do konta Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — logowanie konta" na potrzeby inspekcji weryfikacji poświadczeń i innych zdarzeń logowania do konta. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — zarządzanie kontami Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — zarządzanie kontami" na potrzeby inspekcji aplikacji, zabezpieczeń i zarządzania grupami użytkowników oraz innych zdarzeń zarządzania. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — szczegółowe śledzenie" na potrzeby inspekcji DPAPI, tworzenia/kończenia procesu, zdarzeń RPC i działania PNP. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — logowanie i wylogowanie Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — Logon-Logoff" na potrzeby inspekcji protokołu IPSec, zasad sieciowych, oświadczeń, blokady konta, członkostwa w grupach i zdarzeń logowania/wylogowania. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — dostęp do obiektów Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — dostęp do obiektów" na potrzeby inspekcji plików, rejestru, SAM, magazynu, filtrowania, jądra i innych typów systemu. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — zmiana zasad Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — zmiana zasad" na potrzeby inspekcji zmian w zasadach inspekcji systemu. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — użycie uprawnień Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — użycie uprawnień" do inspekcji niewrażliwe i inne użycie uprawnień. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — system Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Zasady inspekcji systemu — system" na potrzeby inspekcji sterownika IPsec, integralności systemu, rozszerzenia systemu, zmiany stanu i innych zdarzeń systemowych. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące przypisywania praw użytkownika Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Przypisywanie praw użytkownika" do zezwalania na logowanie lokalne, RDP, dostęp z sieci i wiele innych działań użytkownika. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące składników systemu Windows Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Składniki systemu Windows" na potrzeby uwierzytelniania podstawowego, niezaszyfrowanego ruchu, kont Microsoft, telemetrii, Cortany i innych zachowań systemu Windows. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania dotyczące właściwości zapory systemu Windows Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Właściwości zapory systemu Windows" dla stanu zapory, połączeń, zarządzania regułami i powiadomień. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. AuditIfNotExists, Disabled 2.0.0
Maszyny z systemem Windows powinny mieć dozwolone tylko konta lokalne Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Ta definicja nie jest obsługiwana w systemie Windows Server 2012 lub 2012 R2. Zarządzanie kontami użytkowników przy użyciu usługi Azure Active Directory to najlepsze rozwiązanie do zarządzania tożsamościami. Zmniejszenie liczby kont maszyn lokalnych pomaga zapobiec rozprzestrzenianiu się tożsamości zarządzanych poza systemem centralnym. Maszyny są niezgodne, jeśli istnieją konta użytkowników lokalnych, które są włączone, a nie wymienione w parametrze zasad. AuditIfNotExists, Disabled 2.0.0
Zestawy skalowania maszyn wirtualnych z systemem Windows powinny mieć zainstalowanego agenta usługi Azure Monitor Zestawy skalowania maszyn wirtualnych z systemem Windows powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Zestawy skalowania maszyn wirtualnych z obsługiwanym systemem operacyjnym i w obsługiwanych regionach są monitorowane pod kątem wdrażania agenta usługi Azure Monitor. Dowiedz się więcej: https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 3.2.0
Maszyny wirtualne z systemem Windows powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost. Mimo że dyski systemu operacyjnego i danych maszyny wirtualnej są domyślnie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski zasobów (dyski tymczasowe), pamięci podręczne danych i dane przepływające między zasobami obliczeniowymi i magazynowymi nie są szyfrowane. Korygowanie przy użyciu usługi Azure Disk Encryption lub EncryptionAtHost. Odwiedź stronę https://aka.ms/diskencryptioncomparison , aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.1.1
Na maszynach wirtualnych z systemem Windows powinien być zainstalowany agent usługi Azure Monitor Maszyny wirtualne z systemem Windows powinny być monitorowane i zabezpieczone za pośrednictwem wdrożonego agenta usługi Azure Monitor. Agent usługi Azure Monitor zbiera dane telemetryczne z systemu operacyjnego gościa. Maszyny wirtualne z systemem Windows z obsługiwanym systemem operacyjnym i w obsługiwanych regionach są monitorowane pod kątem wdrażania agenta usługi Azure Monitor. Dowiedz się więcej: https://aka.ms/AMAOverview. AuditIfNotExists, Disabled 3.2.0

Microsoft.VirtualMachineImages

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Inspekcja, Wyłączone, Odmowa 1.1.0

Microsoft.ClassicCompute

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. AuditIfNotExists, Disabled 3.0.0
Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. AuditIfNotExists, Disabled 3.0.0
Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Obsługiwane rozwiązania ochrony punktu końcowego w usłudze Azure Security Center zostały opisane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0
Program Endpoint Protection powinien być zainstalowany na maszynach Aby chronić maszyny przed zagrożeniami i lukami w zabezpieczeniach, zainstaluj obsługiwane rozwiązanie ochrony punktu końcowego. AuditIfNotExists, Disabled 1.0.0
Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. AuditIfNotExists, Disabled 3.0.0
Maszyny powinny mieć rozpoznane wyniki wpisów tajnych Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy zawierają tajne wyniki rozwiązań do skanowania wpisów tajnych na maszynach wirtualnych. AuditIfNotExists, Disabled 1.0.2
Porty zarządzania powinny być zamknięte na maszynach wirtualnych Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. AuditIfNotExists, Disabled 3.0.0
Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia AuditIfNotExists, Disabled 3.0.0
Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager Użyj nowego usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami Inspekcja, Odmowa, Wyłączone 1.0.0
Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia AuditIfNotExists, Disabled 3.1.0

Następne kroki