Definições incorporadas do Azure Policy para servidores compatíveis com o Azure Arc
Esta página é um índice das definições de política internas da Política do Azure para servidores habilitados para Azure Arc. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Servidores compatíveis com o Azure Arc
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Uma identidade gerida deve ser ativada nas suas máquinas | Os recursos gerenciados pelo Automanage devem ter uma identidade gerenciada. | Auditoria, Desativado | 1.0.0-pré-visualização |
| [Preview]: Auditoria SSH Posture Control em máquinas Linux | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o SSH Server não estiver configurado com segurança nas máquinas Linux. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A atribuição de perfil de configuração de gestão automática deve ser conforme | Os recursos gerenciados pelo Automanage devem ter um status de Conformant ou ConformantCorrected. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O agente de Segurança do Azure deve ser instalado nas suas máquinas Linux Arc | Instale o agente de Segurança do Azure em suas máquinas Linux Arc para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O agente de Segurança do Azure deve ser instalado nas suas máquinas Windows Arc | Instale o agente de Segurança do Azure em suas máquinas Windows Arc para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: A extensão ChangeTracking deve ser instalada na sua máquina Linux Arc | Instale a Extensão ChangeTracking em máquinas Linux Arc para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A extensão ChangeTracking deve ser instalada na sua máquina Windows Arc | Instale a Extensão ChangeTracking em máquinas Windows Arc para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas Linux compatíveis com Azure Arc com agentes do Log Analytics ligados à área de trabalho predefinida do Log Analytics | Proteja suas máquinas Linux habilitadas para Azure Arc com os recursos do Microsoft Defender for Cloud, instalando agentes do Log Analytics que enviam dados para um espaço de trabalho padrão do Log Analytics criado pelo Microsoft Defender for Cloud. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas Windows habilitadas para Azure Arc com agentes do Log Analytics conectados ao espaço de trabalho padrão do Log Analytics | Proteja suas máquinas Windows habilitadas para Azure Arc com os recursos do Microsoft Defender for Cloud, instalando agentes do Log Analytics que enviam dados para um espaço de trabalho padrão do Log Analytics criado pelo Microsoft Defender for Cloud. | DeployIfNotExists, desativado | 1.1.0-Pré-visualização |
| [Preview]: Configurar a extensão ChangeTracking para máquinas Linux Arc | Configure máquinas Linux Arc para instalar automaticamente a Extensão ChangeTracking para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: Configurar a extensão ChangeTracking para máquinas Windows Arc | Configure máquinas Windows Arc para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (File Integrity Monitoring) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: Configure máquinas habilitadas para Linux Arc para serem associadas a uma regra de coleta de dados para ChangeTracking e inventário | Implante a Associação para vincular máquinas habilitadas para Linux Arc à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais é atualizada ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: Configurar máquinas habilitadas para Linux Arc para instalar o AMA para ChangeTracking e Inventory | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas habilitadas para Linux Arc para habilitar o ChangeTracking e o Inventory. Esta política instalará a extensão se a região for suportada. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.3.0-Pré-visualização |
| [Preview]: Configurar o controle de postura SSH em máquinas Linux | Esta política cria uma atribuição de Configuração de Convidado para definir o Controle de Postura SSH em máquinas Linux. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas Linux Arc suportadas para instalar automaticamente o agente de Segurança do Azure | Configure máquinas Linux Arc suportadas para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas Linux Arc de destino devem estar em um local suportado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas Windows Arc suportadas para instalar automaticamente o agente de Segurança do Azure | Configure máquinas Windows Arc suportadas para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas Windows Arc de destino devem estar em um local compatível. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Visualização]: Configurar máquinas habilitadas para Windows Arc para serem associadas a uma Regra de Coleta de Dados para ChangeTracking e Inventário | Implante a Associação para vincular máquinas habilitadas para Windows Arc à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais é atualizada ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: Configurar máquinas habilitadas para Windows Arc para instalar o AMA para ChangeTracking e Inventory | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas habilitadas para Windows Arc para habilitar o ChangeTracking e o Inventory. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configure o Windows Server para desativar utilizadores locais. | Cria uma atribuição de Configuração de Convidado para configurar a desativação de usuários locais no Windows Server. Isso garante que os Servidores Windows só possam ser acessados pela conta do AAD (Azure Ative Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. | DeployIfNotExists, desativado | 1.2.0-Pré-visualização |
| [Pré-visualização]: Negar a criação ou modificação de licenças de Extended Security Updates (ESUs). | Esta política permite restringir a criação ou modificação de licenças ESU para máquinas Windows Server 2012 Arc. Para mais detalhes sobre preços, por favor visite https://aka.ms/ArcWS2012ESUPricing | Negar, Desativado | 1.0.0-pré-visualização |
| [Visualização]: Implantar o agente do Microsoft Defender for Endpoint em máquinas híbridas Linux | Implanta o agente Microsoft Defender for Endpoint em máquinas híbridas Linux | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
| [Preview]: Implantar o agente do Microsoft Defender for Endpoint em máquinas Windows Azure Arc | Implanta o Microsoft Defender for Endpoint em máquinas Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
| [Pré-visualização]: Habilite a licença ESUs (Extended Security Updates) para manter as máquinas Windows 2012 protegidas após o fim do ciclo de vida de suporte. | Habilite a licença ESUs (Extended Security Updates) para manter as máquinas Windows 2012 protegidas mesmo após o fim do ciclo de vida de suporte. Saiba como se preparar para fornecer Atualizações de Segurança Estendidas para o Windows Server 2012 por meio do AzureArc, visite https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Para mais detalhes sobre preços, por favor visite https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: As Atualizações de Segurança Alargadas devem ser instaladas em máquinas Windows Server 2012 Arc. | As máquinas Windows Server 2012 Arc devem ter instalado todas as Atualizações de Segurança Estendidas lançadas pela Microsoft. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: As máquinas Linux devem atender aos requisitos da linha de base de segurança do Azure para hosts Docker | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. A máquina não está configurada corretamente para uma das recomendações na linha de base de segurança do Azure para hosts Docker. | AuditIfNotExists, desativado | 1.2.0-Pré-visualização |
| [Pré-visualização]: As máquinas Linux devem cumprir os requisitos de conformidade STIG para computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações no requisito de conformidade STIG para computação do Azure. A DISA (Defense Information Systems Agency) fornece guias técnicos STIG (Security Technical Implementation Guide) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para mais detalhes, https://public.cyber.mil/stigs/. | AuditIfNotExists, desativado | 1.2.0-Pré-visualização |
| [Preview]: Máquinas Linux com OMI instalado devem ter a versão 1.6.8-1 ou posterior | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. Devido a uma correção de segurança incluída na versão 1.6.8-1 do pacote OMI para Linux, todas as máquinas devem ser atualizadas para a versão mais recente. Atualize aplicativos/pacotes que usam o OMI para resolver o problema. Para obter mais informações, veja https://aka.ms/omiguidance. | AuditIfNotExists, desativado | 1.2.0-Pré-visualização |
| [Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc | Esta política audita máquinas Linux Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
| [Preview]: A extensão do Log Analytics deve ser instalada em suas máquinas Windows Azure Arc | Esta política audita máquinas Windows Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
| [Preview]: As máquinas de computação Nexus devem atender à linha de base de segurança | Utiliza o agente de Configuração de Convidado de Política do Azure para auditoria. Essa política garante que as máquinas adiram à linha de base de segurança de computação do Nexus, abrangendo várias recomendações projetadas para fortalecer as máquinas contra uma série de vulnerabilidades e configurações inseguras (somente Linux). | AuditIfNotExists, desativado | 1.1.0-Pré-visualização |
| [Pré-visualização]: As máquinas Windows devem cumprir os requisitos de conformidade STIG para computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações nos requisitos de conformidade STIG para computação do Azure. A DISA (Defense Information Systems Agency) fornece guias técnicos STIG (Security Technical Implementation Guide) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para mais detalhes, https://public.cyber.mil/stigs/. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desativado | 3.1.0 |
| Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | AuditIfNotExists, desativado | 3.1.0 |
| Auditar máquinas Linux que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro não estão instalados. | AuditIfNotExists, desativado | 4.2.0 |
| Auditar máquinas Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que têm contas sem senhas | AuditIfNotExists, desativado | 3.1.0 |
| Auditar máquinas Linux que tenham os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro estão instalados. | AuditIfNotExists, desativado | 4.2.0 |
| Auditar máquinas Windows sem qualquer um dos membros especificados no grupo Administradores | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local não contiver um ou mais membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar a conectividade de rede de máquinas Windows | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o status de uma conexão de rede com uma porta IP e TCP não corresponder ao parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows nas quais a configuração DSC não é compatível | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o comando Get-DSCConfigurationStatus do Windows PowerShell retornar que a configuração DSC da máquina não é compatível. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows nas quais o agente do Log Analytics não está conectado conforme o esperado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o agente não estiver instalado ou se estiver instalado, mas o objeto COM AgentConfigManager.MgmtSvcCfg retornará que ele está registrado em um espaço de trabalho diferente da ID especificada no parâmetro policy. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows nas quais os serviços especificados não estão instalados e 'Em execução' | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o resultado do comando Get-Service do Windows PowerShell não incluir o nome do serviço com status correspondente, conforme especificado pelo parâmetro policy. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows nas quais o Console Serial do Windows não está habilitado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não tiver o software Serial Console instalado ou se o número da porta EMS ou a taxa de transmissão não estiverem configurados com os mesmos valores que os parâmetros da política. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não estão associadas ao domínio especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o valor da propriedade Domain na classe WMI win32_computersystem não corresponder ao valor no parâmetro policy. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que não estão definidas para o fuso horário especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o valor da propriedade StandardName na classe WMI Win32_TimeZone não corresponder ao fuso horário selecionado para o parâmetro de política. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows que contêm certificados que expiram dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os certificados no armazenamento especificado tiverem uma data de expiração fora do intervalo para o número de dias fornecido como parâmetro. A política também fornece a opção de verificar apenas se há certificados específicos ou excluir certificados específicos e se deseja relatar certificados expirados. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que não contêm os certificados especificados na Raiz Confiável | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o armazenamento de certificados Raiz Confiável da máquina (Cert:\LocalMachine\Root) não contiver um ou mais dos certificados listados pelo parâmetro de política. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias. O valor padrão para a idade máxima da senha é 70 dias | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias. O valor padrão para a idade mínima da senha é de 1 dia | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a configuração de complexidade de senha habilitada | AuditIfNotExists, desativado | 2.0.0 |
| Auditar máquinas Windows que não têm a política de execução do Windows PowerShell especificada | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o comando Get-ExecutionPolicy do Windows PowerShell retornar um valor diferente do selecionado no parâmetro policy. | AuditIfNotExists, desativado | 3.0.0 |
| Auditar máquinas Windows que não têm os módulos especificados do Windows PowerShell instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se um módulo não estiver disponível em um local especificado pela variável de ambiente PSModulePath. | AuditIfNotExists, desativado | 3.0.0 |
| Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres. O valor padrão para o comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não armazenam senhas usando criptografia reversível | AuditIfNotExists, desativado | 2.0.0 |
| Auditar máquinas Windows que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o nome do aplicativo não for encontrado em nenhum dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows com contas extras no grupo Administradores | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local contiver membros que não estão listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que não foram reiniciadas dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a propriedade WMI LastBootUpTime na classe Win32_Operatingsystem estiver fora do intervalo de dias fornecido pelo parâmetro policy. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que tenham os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o nome do aplicativo for encontrado em qualquer um dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local contiver um ou mais dos membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar VMs do Windows com uma reinicialização pendente | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina estiver pendente de reinicialização por qualquer um dos seguintes motivos: manutenção baseada em componentes, Windows Update, renomeação de arquivo pendente, renomeação de computador pendente, gerente de configuração pendente de reinicialização. Cada deteção tem um caminho de registro exclusivo. | auditIfNotExists | 2.0.0 |
| A autenticação em máquinas Linux deve exigir chaves SSH | Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desativado | 3.2.0 |
| Os escopos de link privado do Azure Arc devem ser configurados com um ponto de extremidade privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Escopos de Link Privado do Azure Arc, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Auditoria, Desativado | 1.0.0 |
| Os escopos de link privado do Azure Arc devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que os recursos do Azure Arc não possam se conectar por meio da Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos recursos do Azure Arc. Saiba mais em: https://aka.ms/arc/privatelink. | Auditoria, Negar, Desativado | 1.0.0 |
| Os servidores habilitados para Azure Arc devem ser configurados com um Escopo de Link Privado do Azure Arc | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Auditoria, Negar, Desativado | 1.0.0 |
| Configure servidores habilitados para Arc com a extensão do SQL Server instalada para habilitar ou desabilitar a avaliação de práticas recomendadas do SQL. | Habilite ou desabilite a avaliação de práticas recomendadas do SQL nas instâncias do SQL Server em seus servidores habilitados para Arc para avaliar as práticas recomendadas. Saiba mais em https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar SQL Servers habilitados para Arc para instalar automaticamente o Azure Monitor Agent | Automatize a implantação da extensão do Azure Monitor Agent em seus SQL Servers habilitados para Windows Arc. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.3.0 |
| Configurar SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender for SQL | Configure os SQL Servers habilitados para Windows Arc para instalar automaticamente o agente do Microsoft Defender for SQL. O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). | DeployIfNotExists, desativado | 1.2.0 |
| Configurar SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender for SQL e DCR com um espaço de trabalho do Log Analytics | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos, uma Regra de Coleta de Dados e um espaço de trabalho do Log Analytics na mesma região da máquina. | DeployIfNotExists, desativado | 1.5.0 |
| Configurar SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender for SQL e DCR com um espaço de trabalho LA definido pelo usuário | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos e uma Regra de Coleta de Dados na mesma região do espaço de trabalho do Log Analytics definido pelo usuário. | DeployIfNotExists, desativado | 1.7.0 |
| Configurar SQL Servers habilitados para Arc com Associação de Regra de Coleta de Dados ao Microsoft Defender for SQL DCR | Configure a associação entre SQL Servers habilitados para Arc e o Microsoft Defender for SQL DCR. A exclusão dessa associação interromperá a deteção de vulnerabilidades de segurança para esses SQL Servers habilitados para Arc. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar SQL Servers habilitados para Arc com Associação de Regra de Coleta de Dados ao DCR definido pelo usuário do Microsoft Defender for SQL | Configure a associação entre SQL Servers habilitados para Arc e o DCR definido pelo usuário do Microsoft Defender for SQL. A exclusão dessa associação interromperá a deteção de vulnerabilidades de segurança para esses SQL Servers habilitados para Arc. | DeployIfNotExists, desativado | 1.3.0 |
| Configurar escopos de link privado do Azure Arc para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para seu Escopo de Link Privado do Azure Arc para que os recursos associados do Azure Arc não possam se conectar aos serviços do Azure Arc pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/arc/privatelink. | Modificar, Desativado | 1.0.0 |
| Configurar escopos de link privado do Azure Arc com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para os Escopos de Link Privado do Azure Arc, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | DeployIfNotExists, desativado | 2.0.0 |
| Configurar servidores habilitados para Azure Arc para usar um Escopo de Link Privado do Azure Arc | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Modificar, Desativado | 1.0.0 |
| Configurar o Azure Defender para que os Servidores sejam desabilitados para todos os recursos (nível de recurso) | O Azure Defender for Servers fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Esta política desativará o plano do Defender for Servers para todos os recursos (VMs, VMSSs e máquinas ARC) no escopo selecionado (assinatura ou grupo de recursos). | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Defender for Servers a ser desabilitado para recursos (nível de recurso) com a tag selecionada | O Azure Defender for Servers fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Esta política desativará o plano do Defender for Servers para todos os recursos (VMs, VMSSs e Máquinas ARC) que tenham o nome e o(s) valor(es) da tag selecionados. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Defender for Servers para ser habilitado (subplano 'P1') para todos os recursos (nível de recurso) com a tag selecionada | O Azure Defender for Servers fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Esta política habilitará o plano do Defender for Servers (com o subplano 'P1') para todos os recursos (VMs e Máquinas ARC) que tenham o nome e o(s) valor(es) da tag selecionado(s). | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Defender for Servers a ser habilitado (com o subplano 'P1') para todos os recursos (nível de recurso) | O Azure Defender for Servers fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Esta política habilitará o plano do Defender for Servers (com subplano 'P1') para todos os recursos (VMs e máquinas ARC) no escopo selecionado (assinatura ou grupo de recursos). | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o agente de dependência em servidores Linux habilitados para Azure Arc | Habilite insights de VM em servidores e máquinas conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do agente de dependência. O VM insights usa o agente de dependência para coletar métricas de rede e dados descobertos sobre processos em execução na máquina e dependências de processos externos. Ver mais - https://aka.ms/vminsightsdocs. | DeployIfNotExists, desativado | 2.1.0 |
| Configurar o agente de dependência em servidores Linux habilitados para Azure Arc com as configurações do Agente de Monitoramento do Azure | Habilite insights de VM em servidores e máquinas conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do agente de dependência com as configurações do Agente de Monitoramento do Azure. O VM insights usa o agente de dependência para coletar métricas de rede e dados descobertos sobre processos em execução na máquina e dependências de processos externos. Ver mais - https://aka.ms/vminsightsdocs. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar o agente de dependência em servidores Windows habilitados para Azure Arc | Habilite insights de VM em servidores e máquinas conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do agente de dependência. O VM insights usa o agente de dependência para coletar métricas de rede e dados descobertos sobre processos em execução na máquina e dependências de processos externos. Ver mais - https://aka.ms/vminsightsdocs. | DeployIfNotExists, desativado | 2.1.0 |
| Configurar o agente de dependência em servidores Windows habilitados para Azure Arc com as configurações do Agente de Monitoramento do Azure | Habilite insights de VM em servidores e máquinas conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do agente de dependência com as configurações do Agente de Monitoramento do Azure. O VM insights usa o agente de dependência para coletar métricas de rede e dados descobertos sobre processos em execução na máquina e dependências de processos externos. Ver mais - https://aka.ms/vminsightsdocs. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar máquinas Linux Arc para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas Linux Arc à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais é atualizada ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 2.2.1 |
| Configurar máquinas habilitadas para Linux Arc para executar o Azure Monitor Agent | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas habilitadas para Linux Arc para coletar dados de telemetria do SO convidado. Esta política instalará a extensão se a região for suportada. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 2.4.0 |
| Configurar máquinas Linux para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas virtuais Linux, conjuntos de dimensionamento de máquinas virtuais e máquinas Arc à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 6.5.1 |
| Configure o Linux Server para desativar usuários locais. | Cria uma atribuição de Configuração de Convidado para configurar a desativação de usuários locais no Linux Server. Isso garante que os Servidores Linux só possam ser acessados pela conta do AAD (Azure Ative Directory) ou por uma lista de usuários explicitamente permitidos por esta política, melhorando a postura geral de segurança. | DeployIfNotExists, desativado | 1.3.0-Pré-visualização |
| Configure a extensão do Log Analytics em servidores Linux habilitados para Azure Arc. Consulte o aviso de descontinuação abaixo | Habilite insights de VM em servidores e máquinas conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Log Analytics. O VM insights usa o agente do Log Analytics para coletar os dados de desempenho do SO convidado e fornece informações sobre seu desempenho. Ver mais - https://aka.ms/vminsightsdocs. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data | DeployIfNotExists, desativado | 2.1.1 |
| Configurar a extensão do Log Analytics em servidores Windows habilitados para Azure Arc | Habilite insights de VM em servidores e máquinas conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Log Analytics. O VM insights usa o agente do Log Analytics para coletar os dados de desempenho do SO convidado e fornece informações sobre seu desempenho. Ver mais - https://aka.ms/vminsightsdocs. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desativado | 2.1.1 |
| Configurar máquinas para receber um provedor de avaliação de vulnerabilidade | O Azure Defender inclui a verificação de vulnerabilidades para suas máquinas sem custo extra. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro da Central de Segurança. Quando você habilita essa política, o Azure Defender implanta automaticamente o provedor de avaliação de vulnerabilidades do Qualys em todas as máquinas com suporte que ainda não o têm instalado. | DeployIfNotExists, desativado | 4.0.0 |
| Configurar a verificação periódica de atualizações do sistema ausentes em servidores habilitados para azure Arc | Configure a avaliação automática (a cada 24 horas) para atualizações do sistema operacional em servidores habilitados para Azure Arc. Você pode controlar o escopo da atribuição de acordo com a assinatura da máquina, grupo de recursos, local ou tag. Saiba mais sobre isso para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modificar | 2.2.1 |
| Configurar protocolos de comunicação seguros (TLS 1.1 ou TLS 1.2) em máquinas Windows | Cria uma atribuição de Configuração de Convidado para configurar a versão de protocolo seguro especificada (TLS 1.1 ou TLS 1.2) na máquina Windows. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar o espaço de trabalho do Microsoft Defender for SQL Log Analytics | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos e um espaço de trabalho do Log Analytics na mesma região da máquina. | DeployIfNotExists, desativado | 1.4.0 |
| Configure o fuso horário em máquinas Windows. | Esta política cria uma atribuição de Configuração de Convidado para definir o fuso horário especificado em máquinas virtuais do Windows. | deployIfNotExists | 2.1.0 |
| Configurar máquinas virtuais a serem integradas ao Azure Automanage | O Azure Automanage registra, configura e monitora máquinas virtuais com práticas recomendadas, conforme definido no Microsoft Cloud Adoption Framework for Azure. Use esta política para aplicar o Gerenciamento Automático ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desativado | 2.4.0 |
| Configurar máquinas virtuais a serem integradas ao Azure Automanage com Perfil de Configuração Personalizado | O Azure Automanage registra, configura e monitora máquinas virtuais com práticas recomendadas, conforme definido no Microsoft Cloud Adoption Framework for Azure. Use esta política para aplicar o Automanage com seu próprio Perfil de Configuração personalizado ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desativado | 1.4.0 |
| Configurar máquinas Windows Arc para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas Windows Arc à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais é atualizada ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 2.2.1 |
| Configurar máquinas habilitadas para Windows Arc para executar o Azure Monitor Agent | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas habilitadas para Windows Arc para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 2.4.0 |
| Configurar máquinas Windows para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas virtuais do Windows, conjuntos de dimensionamento de máquinas virtuais e máquinas Arc à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 4.5.1 |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Resolva problemas de integridade da proteção de endpoint em suas máquinas virtuais para protegê-las contra as ameaças e vulnerabilidades mais recentes. As soluções de proteção de ponto de extremidade suportadas pela Central de Segurança do Azure estão documentadas aqui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação da proteção de pontos finais está documentada aqui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, desativado | 1.0.0 |
| O Endpoint Protection deve ser instalado nas suas máquinas | Para proteger as suas máquinas contra ameaças e vulnerabilidades, instale uma solução de proteção de terminais suportada. | AuditIfNotExists, desativado | 1.0.0 |
| As máquinas habilitadas para Linux Arc devem ter o Azure Monitor Agent instalado | As máquinas habilitadas para Linux Arc devem ser monitoradas e protegidas por meio do Azure Monitor Agent implantado. O Azure Monitor Agent coleta dados de telemetria do sistema operacional convidado. Esta política auditará máquinas habilitadas para Arc em regiões suportadas. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 1.2.0 |
| As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.2.0 |
| As máquinas Linux só devem ter contas locais permitidas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. Gerenciar contas de usuário usando o Azure Ative Directory é uma prática recomendada para gerenciamento de identidades. A redução de contas de máquinas locais ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. As máquinas não são compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro de política. | AuditIfNotExists, desativado | 2.2.0 |
| Os métodos de autenticação local devem ser desativados em máquinas Linux | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os servidores Linux não tiverem os métodos de autenticação local desativados. Isso é para validar que os Servidores Linux só podem ser acessados pela conta do AAD (Azure Ative Directory) ou por uma lista de usuários explicitamente permitidos por esta política, melhorando a postura geral de segurança. | AuditIfNotExists, desativado | 1.2.0-Pré-visualização |
| Os métodos de autenticação local devem ser desabilitados nos servidores Windows | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os servidores Windows não tiverem métodos de autenticação local desativados. Isso é para validar que os Servidores Windows só podem ser acessados pela conta do AAD (Azure Ative Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| As máquinas devem ser configuradas para verificar periodicamente se há atualizações do sistema ausentes | Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam acionadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Auditoria, Negar, Desativado | 3.7.0 |
| Agendar atualizações recorrentes usando o Azure Update Manager | Você pode usar o Azure Update Manager no Azure para salvar agendas de implantação recorrentes para instalar atualizações do sistema operacional para suas máquinas Windows Server e Linux no Azure, em ambientes locais e em outros ambientes de nuvem conectados usando servidores habilitados para Azure Arc. Esta política também alterará o modo de patch da Máquina Virtual do Azure para 'AutomaticByPlatform'. Ver mais: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, desativado | 3.12.0 |
| Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidade do SQL verifica seu banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança do seu banco de dados. | AuditIfNotExists, desativado | 1.0.0 |
| Inscreva instâncias qualificadas do SQL Servers habilitadas para Arc para Atualizações de Segurança Estendidas. | Assine instâncias qualificadas do SQL Servers habilitadas para Arc com Tipo de Licença definido como Pago ou PAYG para Atualizações de Segurança Estendidas. Saiba mais sobre atualizações https://go.microsoft.com/fwlink/?linkid=2239401de segurança estendidas . | DeployIfNotExists, desativado | 1.0.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas (alimentadas pela Central de Atualizações) | Suas máquinas estão faltando sistema, segurança e atualizações críticas. As atualizações de software geralmente incluem patches críticos para falhas de segurança. Essas falhas são frequentemente exploradas em ataques de malware, por isso é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger suas máquinas, siga as etapas de correção. | AuditIfNotExists, desativado | 1.0.1 |
| A extensão herdada do Log Analytics não deve ser instalada em servidores Linux habilitados para Azure Arc | Impeça automaticamente a instalação do Log Analytics Agent herdado como a etapa final da migração de agentes herdados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão de agente herdada nos servidores Linux habilitados para Azure Arc. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão herdada do Log Analytics não deve ser instalada em servidores Windows habilitados para Azure Arc | Impeça automaticamente a instalação do Log Analytics Agent herdado como a etapa final da migração de agentes herdados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão de agente herdada nos servidores Windows habilitados para Azure Arc. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| As máquinas habilitadas para Windows Arc devem ter o Azure Monitor Agent instalado | As máquinas habilitadas para Windows Arc devem ser monitoradas e protegidas por meio do Azure Monitor Agent implantado. O Azure Monitor Agent coleta dados de telemetria do sistema operacional convidado. As máquinas habilitadas para Windows Arc em regiões com suporte são monitoradas para implantação do Azure Monitor Agent. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 1.2.0 |
| O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 4.1.1 |
| As máquinas Windows devem configurar o Windows Defender para atualizar assinaturas de proteção dentro de um dia | Para fornecer proteção adequada contra malware recém-lançado, as assinaturas de proteção do Windows Defender precisam ser atualizadas regularmente para levar em conta o malware recém-lançado. Esta política não é aplicada a servidores conectados Arc e requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.1 |
| As máquinas Windows devem habilitar a proteção em tempo real do Windows Defender | As máquinas Windows devem habilitar a proteção em tempo real no Windows Defender para fornecer proteção adequada contra malware recém-lançado. Esta política não é aplicável a servidores conectados por arc e requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.1 |
| As máquinas Windows devem atender aos requisitos para 'Modelos Administrativos - Painel de Controle' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Modelos Administrativos - Painel de Controle' para personalização de entrada e prevenção de habilitação de telas de bloqueio. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Modelos Administrativos - MSS (Legado)' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Modelos Administrativos - MSS (Legado)' para logon automático, proteção de tela, comportamento de rede, DLL segura e log de eventos. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Modelos Administrativos - Rede' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Modelos Administrativos - Rede' para logons convidados, conexões simultâneas, ponte de rede, ICS e resolução de nomes multicast. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Modelos Administrativos - Sistema' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Modelos Administrativos - Sistema' para configurações que controlam a experiência administrativa e a Assistência Remota. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Opções de Segurança - Contas' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Contas' para limitar o uso de senhas em branco e o status da conta de convidado da conta local. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Auditoria' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Auditoria' para forçar a subcategoria de diretiva de auditoria e desligar se não for possível registrar auditorias de segurança. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Dispositivos' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Dispositivos' para desencaixar sem fazer logon, instalar drivers de impressão e formatar/ejetar mídia. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Logon Interativo' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Logon Interativo' para exibir o último nome de usuário e exigir ctrl-alt-del. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Cliente de Rede Microsoft' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Cliente de Rede Microsoft' para cliente/servidor de rede Microsoft e SMB v1. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Microsoft Network Server' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Microsoft Network Server' para desabilitar o servidor SMB v1. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Acesso à Rede' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Acesso à Rede' para incluir acesso para usuários anônimos, contas locais e acesso remoto ao Registro. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Segurança de Rede' para incluir o comportamento do Sistema Local, PKU2U, LAN Manager, cliente LDAP e SSP NTLM. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Console de recuperação' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Console de recuperação' para permitir cópia de disquete e acesso a todas as unidades e pastas. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Opções de Segurança - Desligamento' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Desligamento' para permitir o desligamento sem logon e limpar o arquivo de paginação da memória virtual. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Opções de Segurança - Objetos do sistema' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Objetos do sistema' para insensibilidade a maiúsculas e minúsculas para subsistemas que não sejam do Windows e permissões de objetos internos do sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Configurações do Sistema' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Configurações do sistema' para regras de certificado em executáveis para SRP e subsistemas opcionais. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Controle de Conta de Usuário' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Controle de Conta de Usuário' para o modo para administradores, comportamento do prompt de elevação e virtualização de falhas de gravação de arquivo e registro. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Configurações de Segurança - Políticas de Conta' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Configurações de Segurança - Diretivas de Conta' para histórico de senhas, idade, comprimento, complexidade e armazenamento de senhas usando criptografia reversível. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - logon de conta' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Logon de Conta' para auditar a validação de credenciais e outros eventos de logon de conta. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - Gerenciamento de contas' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Gerenciamento de Contas' para auditar aplicativos, segurança e gerenciamento de grupos de usuários e outros eventos de gerenciamento. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Rastreamento Detalhado' para auditar DPAPI, criação/encerramento de processos, eventos RPC e atividade PNP. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Políticas de auditoria do sistema - Logon-Logoff' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Logon-Logoff' para auditar IPSec, diretiva de rede, declarações, bloqueio de conta, associação a grupos e eventos de logon/logoff. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Políticas de auditoria do sistema - acesso a objetos' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Acesso a Objetos' para auditoria de arquivos, registros, SAM, armazenamento, filtragem, kernel e outros tipos de sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Políticas de auditoria do sistema - Alteração de política' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Alteração de Política' para auditar alterações nas diretivas de auditoria do sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - uso de privilégios' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Uso de Privilégios' para auditar usos não confidenciais e outros privilégios. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema - Sistema' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Sistema' para auditar o driver IPsec, a integridade do sistema, a extensão do sistema, a alteração de estado e outros eventos do sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Atribuição de Direitos de Usuário' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Atribuição de Direitos de Usuário' para permitir logon localmente, RDP, acesso da rede e muitas outras atividades do usuário. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Componentes do Windows' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Componentes do Windows' para autenticação básica, tráfego não criptografado, contas da Microsoft, telemetria, Cortana e outros comportamentos do Windows. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Propriedades do Firewall do Windows' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Propriedades do Firewall do Windows' para estado do firewall, conexões, gerenciamento de regras e notificações. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas Windows só devem ter contas locais permitidas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. Esta definição não é suportada no Windows Server 2012 ou 2012 R2. Gerenciar contas de usuário usando o Azure Ative Directory é uma prática recomendada para gerenciamento de identidades. A redução de contas de máquinas locais ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. As máquinas não são compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro de política. | AuditIfNotExists, desativado | 2.0.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.