Definições internas da Política do Azure para Máquinas Virtuais do Azure
Aplica-se a: ✔️ VMs ✔️ Linux VMs ✔️ do Windows Conjuntos ✔️ de escala flexíveis Conjuntos de balanças uniformes
Esta página é um índice das definições de política internas da Política do Azure para Máquinas Virtuais do Azure. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Microsoft.Compute
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Uma identidade gerida deve ser ativada nas suas máquinas | Os recursos gerenciados pelo Automanage devem ter uma identidade gerenciada. | Auditoria, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Adicionar identidade gerida atribuída pelo utilizador para ativar atribuições de Configuração de Convidado em máquinas virtuais | Esta política adiciona uma identidade gerenciada atribuída pelo usuário a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado. Uma identidade gerenciada atribuída pelo usuário é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, desativado | 2.1.0-Pré-visualização |
| [Pré-visualização]: Atribuir Identidade Gerida Incorporada Atribuída pelo Utilizador a Conjuntos de Dimensionamento de Máquinas Virtuais | Crie e atribua uma identidade gerenciada atribuída pelo usuário interna ou atribua uma identidade gerenciada pré-criada atribuída pelo usuário em escala para conjuntos de escala de máquina virtual. Para obter documentação mais detalhada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, desativado | 1.1.0-Pré-visualização |
| [Pré-visualização]: Atribuir identidade gerida incorporada atribuída pelo utilizador a máquinas virtuais | Crie e atribua uma identidade gerenciada atribuída pelo usuário interna ou atribua uma identidade gerenciada pré-criada atribuída pelo usuário em escala para máquinas virtuais. Para obter documentação mais detalhada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, desativado | 1.1.0-Pré-visualização |
| [Preview]: Auditoria SSH Posture Control em máquinas Linux | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o SSH Server não estiver configurado com segurança nas máquinas Linux. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A atribuição de perfil de configuração de gestão automática deve ser conforme | Os recursos gerenciados pelo Automanage devem ter um status de Conformant ou ConformantCorrected. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A Cópia de Segurança do Azure deve estar ativada para Managed Disks | Garanta a proteção de seus Discos Gerenciados habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O agente de Segurança do Azure deve ser instalado nos seus conjuntos de dimensionamento de máquinas virtuais Linux | Instale o agente de Segurança do Azure em seus conjuntos de escala de máquina virtual Linux para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: O agente de Segurança do Azure deve ser instalado nas suas máquinas virtuais Linux | Instale o agente de Segurança do Azure em suas máquinas virtuais Linux para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: o agente de Segurança do Azure deve ser instalado nos conjuntos de dimensionamento da máquina virtual do Windows | Instale o agente de Segurança do Azure em seus conjuntos de dimensionamento de máquina virtual do Windows para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 2.1.0-Pré-visualização |
| [Pré-visualização]: o agente de Segurança do Azure deve ser instalado nas suas máquinas virtuais do Windows | Instale o agente de Segurança do Azure em suas máquinas virtuais do Windows para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 2.1.0-Pré-visualização |
| [Pré-visualização]: O Diagnóstico de Arranque deve ser ativado em máquinas virtuais | As máquinas virtuais do Azure devem ter os diagnósticos de inicialização habilitados. | Auditoria, Desativado | 1.0.0-pré-visualização |
| [Preview]: A extensão ChangeTracking deve ser instalada na sua máquina virtual Linux | Instale a Extensão ChangeTracking em máquinas virtuais Linux para habilitar o FIM (Monitoramento de Integridade de Arquivos) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: A extensão ChangeTracking deve ser instalada em seus conjuntos de dimensionamento de máquina virtual Linux | Instale a Extensão ChangeTracking em conjuntos de dimensionamento de máquina virtual Linux para habilitar o FIM (Monitoramento de Integridade de Arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: A extensão ChangeTracking deve ser instalada na sua máquina virtual Windows | Instale a Extensão ChangeTracking em máquinas virtuais do Windows para habilitar o FIM (Monitoramento de Integridade de Arquivos) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: A extensão ChangeTracking deve ser instalada nos conjuntos de dimensionamento da máquina virtual do Windows | Instale a Extensão ChangeTracking em conjuntos de dimensionamento de máquina virtual do Windows para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar o agente do Azure Defender para SQL na máquina virtual | Configure máquinas Windows para instalar automaticamente o agente do Azure Defender for SQL onde o Azure Monitor Agent está instalado. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e um espaço de trabalho do Log Analytics na mesma região da máquina. As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar a cópia de segurança para Discos do Azure (Managed Disks) com uma determinada etiqueta para um cofre de cópia de segurança existente na mesma região | Imponha o backup para todos os Discos do Azure (Managed Disks) que contenham uma determinada tag para um cofre de backup central. Saiba mais em https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar o backup para Discos do Azure (Managed Disks) sem uma determinada etiqueta para um cofre de backup existente na mesma região | Imponha o backup para todos os Discos do Azure (Managed Disks) que não contenham uma determinada tag para um cofre de backup central. Saiba mais em https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: Configurar a extensão ChangeTracking para conjuntos de dimensionamento de máquina virtual Linux | Configure conjuntos de dimensionamento de máquina virtual Linux para instalar automaticamente a Extensão ChangeTracking para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: Configurar a extensão ChangeTracking para máquinas virtuais Linux | Configure máquinas virtuais Linux para instalar automaticamente a Extensão ChangeTracking para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar a extensão ChangeTracking para conjuntos de dimensionamento de máquinas virtuais do Windows | Configure conjuntos de dimensionamento de máquina virtual do Windows para instalar automaticamente a Extensão ChangeTracking para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar a extensão ChangeTracking para máquinas virtuais Windows | Configure máquinas virtuais do Windows para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (File Integrity Monitoring) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: Configurar máquinas virtuais Linux para serem associadas a uma regra de coleta de dados para ChangeTracking e inventário | Implante a Associação para vincular máquinas virtuais Linux à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: Configurar VMs Linux para instalar o AMA para ChangeTracking e Inventory com identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas virtuais Linux para habilitar o ChangeTracking e o Inventory. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.5.0-Pré-visualização |
| [Preview]: Configure o VMSS do Linux para ser associado a uma regra de coleta de dados para ChangeTracking e inventário | Implante a Associação para vincular conjuntos de dimensionamento de máquina virtual Linux à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: Configure o Linux VMSS para instalar o AMA para ChangeTracking e Inventory com identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Azure Monitor Agent em seus conjuntos de dimensionamento de máquina virtual Linux para habilitar o ChangeTracking e o Inventory. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.4.0-Pré-visualização |
| [Preview]: Configurar o controle de postura SSH em máquinas Linux | Esta política cria uma atribuição de Configuração de Convidado para definir o Controle de Postura SSH em máquinas Linux. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar conjuntos de dimensionamento de máquinas virtuais Linux suportados para instalar automaticamente o agente de Segurança do Azure | Configure conjuntos de dimensionamento de máquina virtual Linux suportados para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Preview]: Configure conjuntos de dimensionamento de máquinas virtuais Linux suportados para instalar automaticamente a extensão Guest Attestation | Configure conjuntos de dimensionamento de máquinas virtuais Linux suportadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 6.1.0-Pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais Linux suportadas para ativar automaticamente o Arranque Seguro | Configure máquinas virtuais Linux suportadas para habilitar automaticamente a Inicialização Segura para mitigar alterações maliciosas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. | DeployIfNotExists, desativado | 5.0.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais Linux suportadas para instalar automaticamente o agente de Segurança do Azure | Configure máquinas virtuais Linux suportadas para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 7.0.0-pré-visualização |
| [Preview]: Configure máquinas virtuais Linux suportadas para instalar automaticamente a extensão Guest Attestation | Configure máquinas virtuais Linux suportadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 7.1.0-Pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais suportadas para ativar automaticamente o vTPM | Configure máquinas virtuais suportadas para habilitar automaticamente o vTPM para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas Windows suportadas para instalar automaticamente o agente de Segurança do Azure | Configure máquinas Windows com suporte para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 5.1.0-Pré-visualização |
| [Pré-visualização]: Configurar conjuntos de dimensionamento de máquinas virtuais do Windows suportados para instalar automaticamente o agente de Segurança do Azure | Configure conjuntos de dimensionamento de máquina virtual do Windows com suporte para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Os conjuntos de dimensionamento de máquinas virtuais do Windows de destino devem estar em um local compatível. | DeployIfNotExists, desativado | 2.1.0-Pré-visualização |
| [Pré-visualização]: Configurar conjuntos de dimensionamento de máquinas virtuais Windows suportados para instalar automaticamente a extensão Atestado de Convidado | Configure os conjuntos de dimensionamento de máquinas virtuais do Windows com suporte para instalar automaticamente a extensão de Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 4.1.0-Pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais Windows suportadas para ativar automaticamente o Arranque Seguro | Configure as máquinas virtuais do Windows suportadas para habilitar automaticamente a Inicialização Segura para mitigar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. | DeployIfNotExists, desativado | 3.0.0-Pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais Windows suportadas para instalar automaticamente a extensão Atestado de Convidado | Configure máquinas virtuais do Windows com suporte para instalar automaticamente a extensão de Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 5.1.0-Pré-visualização |
| [Pré-visualização]: Configurar a identidade gerida atribuída pelo sistema para ativar as atribuições do Azure Monitor em VMs | Configure a identidade gerenciada atribuída ao sistema para máquinas virtuais hospedadas no Azure que são suportadas pelo Azure Monitor e não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições do Azure Monitor e deve ser adicionada às máquinas antes de usar qualquer extensão do Azure Monitor. As máquinas virtuais de destino devem estar em um local com suporte. | Modificar, Desativado | 6.0.0-pré-visualização |
| [Pré-visualização]: Configure VMs criadas com imagens da Galeria de Imagens Partilhadas para instalar a extensão Atestado de Convidado | Configure máquinas virtuais criadas com imagens da Galeria de Imagens Compartilhadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configure o VMSS criado com imagens da Galeria de Imagens Partilhadas para instalar a extensão Atestado de Convidado | Configure o VMSS criado com imagens da Galeria de Imagens Compartilhadas para instalar automaticamente a extensão de Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 2.1.0-Pré-visualização |
| [Pré-visualização]: Configure o Windows Server para desativar utilizadores locais. | Cria uma atribuição de Configuração de Convidado para configurar a desativação de usuários locais no Windows Server. Isso garante que os Servidores Windows só possam ser acessados pela conta do AAD (Azure Ative Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. | DeployIfNotExists, desativado | 1.2.0-Pré-visualização |
| [Pré-visualização]: Configurar Máquinas Virtuais do Windows para serem associadas a uma Regra de Recolha de Dados para Controlo de Alterações e Inventário | Implante a Associação para vincular máquinas virtuais do Windows à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar VMs do Windows para instalar o AMA para ChangeTracking e Inventory com identidade gerida atribuída pelo utilizador | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas virtuais do Windows para habilitar o ChangeTracking e o Inventory. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.1.0-Pré-visualização |
| [Pré-visualização]: Configurar o VMSS do Windows para ser associado a uma Regra de Recolha de Dados para o ChangeTracking e o Inventário | Implante a Associação para vincular conjuntos de dimensionamento de máquina virtual do Windows à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar o VMSS do Windows para instalar o AMA para ChangeTracking e Inventory com identidade gerida atribuída pelo utilizador | Automatize a implantação da extensão do Azure Monitor Agent em seus conjuntos de dimensionamento de máquina virtual do Windows para habilitar o ChangeTracking e o Inventory. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.1.0-Pré-visualização |
| [Pré-visualização]: Implementar o agente do Microsoft Defender for Endpoint em máquinas virtuais Linux | Implanta o agente do Microsoft Defender for Endpoint em imagens de VM Linux aplicáveis. | DeployIfNotExists, AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
| [Pré-visualização]: Implementar o Microsoft Defender for Endpoint agent em máquinas virtuais Windows | Implanta o Microsoft Defender for Endpoint em imagens de VM do Windows aplicáveis. | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
| [Pré-visualização]: Ativar a identidade atribuída pelo sistema à SQL VM | Habilite a identidade atribuída ao sistema em escala para máquinas virtuais SQL. Você precisa atribuir essa política no nível da assinatura. Atribuir no nível do grupo de recursos não funcionará conforme o esperado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| [Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas | Instale a extensão Atestado de Convidado em máquinas virtuais Linux suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Linux Trusted Launch e Confidential. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
| [Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados | Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais Linux suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Linux Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 5.1.0-Pré-visualização |
| [Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas | Instale a extensão Atestado de Convidado em máquinas virtuais suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Windows Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 4.0.0-Pré-visualização |
| [Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows suportados | Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais com suporte para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Windows Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 3.1.0-Pré-visualização |
| [Preview]: As máquinas Linux devem atender aos requisitos da linha de base de segurança do Azure para hosts Docker | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. A máquina não está configurada corretamente para uma das recomendações na linha de base de segurança do Azure para hosts Docker. | AuditIfNotExists, desativado | 1.2.0-Pré-visualização |
| [Pré-visualização]: As máquinas Linux devem cumprir os requisitos de conformidade STIG para computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações no requisito de conformidade STIG para computação do Azure. A DISA (Defense Information Systems Agency) fornece guias técnicos STIG (Security Technical Implementation Guide) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para mais detalhes, https://public.cyber.mil/stigs/. | AuditIfNotExists, desativado | 1.2.0-Pré-visualização |
| [Preview]: Máquinas Linux com OMI instalado devem ter a versão 1.6.8-1 ou posterior | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. Devido a uma correção de segurança incluída na versão 1.6.8-1 do pacote OMI para Linux, todas as máquinas devem ser atualizadas para a versão mais recente. Atualize aplicativos/pacotes que usam o OMI para resolver o problema. Para obter mais informações, veja https://aka.ms/omiguidance. | AuditIfNotExists, desativado | 1.2.0-Pré-visualização |
| [Pré-visualização]: As máquinas virtuais Linux devem utilizar apenas componentes de arranque assinados e fidedignos | Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por editores confiáveis. O Defender for Cloud identificou componentes de inicialização do sistema operacional não confiáveis em uma ou mais de suas máquinas Linux. Para proteger as suas máquinas de componentes potencialmente maliciosos, adicione-os à sua lista de permissões ou remova os componentes identificados. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: As máquinas virtuais Linux devem utilizar o Arranque Seguro | Para proteger contra a instalação de rootkits baseados em malware e kits de inicialização, habilite a Inicialização Segura em máquinas virtuais Linux suportadas. A Inicialização Segura garante que apenas os sistemas operacionais e drivers assinados terão permissão para serem executados. Esta avaliação só se aplica a máquinas virtuais Linux que tenham o Azure Monitor Agent instalado. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas | Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. | AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
| [Pré-visualização]: As máquinas devem ter portas fechadas que possam expor vetores de ataque | Os Termos de Utilização do Azure proíbem a utilização dos serviços do Azure de formas que possam danificar, desativar, sobrecarregar ou prejudicar qualquer servidor da Microsoft ou a rede. As portas expostas identificadas por esta recomendação precisam ser fechadas para sua segurança contínua. Para cada porto identificado, a recomendação também fornece uma explicação da ameaça potencial. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os discos geridos devem ser resilientes à zona | Os Discos Gerenciados podem ser configurados para Alinhamento por Zona, Zona Redundante ou nenhum. Os Discos Gerenciados com exatamente uma atribuição de zona são Zona Alinhada. Os discos gerenciados com um nome de sku que termina em ZRS são redundantes de zona. Essa política ajuda a identificar e aplicar essas configurações de resiliência para Managed Disks. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| [Pré-visualização]: O Arranque Seguro deve ser ativado em máquinas virtuais Windows suportadas | Habilite a Inicialização Segura em máquinas virtuais Windows suportadas para mitigar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. Esta avaliação aplica-se a máquinas virtuais Windows Confiáveis e Confidenciais. | Auditoria, Desativado | 4.0.0-Pré-visualização |
| [Pré-visualização]: defina o pré-requisito para agendar atualizações recorrentes em máquinas virtuais do Azure. | Esta política definirá o pré-requisito necessário para agendar atualizações recorrentes no Azure Update Manager configurando a orquestração de patches para 'Agendas Gerenciadas pelo Cliente'. Essa alteração definirá automaticamente o modo de patch como 'AutomaticByPlatform' e habilitará 'BypassPlatformSafetyChecksOnUserSchedule' para 'True' em VMs do Azure. O pré-requisito não é aplicável para servidores habilitados para Arc. Saiba mais- https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, desativado | 1.1.0-Pré-visualização |
| [Pré-visualização]: Os conjuntos de escala de máquina virtual devem ser resilientes à zona | Os Conjuntos de Dimensionamento de Máquina Virtual podem ser configurados para estarem alinhados por zona, redundantes de zona ou nenhum. Os Conjuntos de Escala de Máquina Virtual que têm exatamente uma entrada em sua matriz de zonas são considerados Alinhamento de Zona. Por outro lado, os Conjuntos de Dimensionamento de Máquina Virtual com 3 ou mais entradas em sua matriz de zonas e uma capacidade de pelo menos 3 são reconhecidos como Zona Redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: O estado do atestado de convidado de máquinas virtuais deve estar saudável | O atestado de convidado é realizado enviando um log confiável (TCGLog) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Esta avaliação destina-se a detetar comprometimentos da cadeia de inicialização que podem ser o resultado de uma infeção por bootkit ou rootkit. Essa avaliação só se aplica a máquinas virtuais habilitadas para Inicialização Confiável que tenham a extensão Atestado de Convidado instalada. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: As máquinas virtuais devem estar alinhadas por zona | As máquinas virtuais podem ser configuradas para estarem alinhadas por zona ou não. Eles são considerados alinhados por zona se tiverem apenas uma entrada em sua matriz de zonas. Essa política garante que eles estejam configurados para operar em uma única zona de disponibilidade. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas | Habilite o dispositivo TPM virtual em máquinas virtuais suportadas para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável. | Auditoria, Desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: As máquinas Windows devem cumprir os requisitos de conformidade STIG para computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações nos requisitos de conformidade STIG para computação do Azure. A DISA (Defense Information Systems Agency) fornece guias técnicos STIG (Security Technical Implementation Guide) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para mais detalhes, https://public.cyber.mil/stigs/. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas | Habilite os controles de aplicativo para definir a lista de aplicativos seguros conhecidos em execução em suas máquinas e alertá-lo quando outros aplicativos forem executados. Isso ajuda a proteger suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das regras, a Central de Segurança usa o aprendizado de máquina para analisar os aplicativos em execução em cada máquina e sugerir a lista de aplicativos seguros conhecidos. | AuditIfNotExists, desativado | 3.0.0 |
| As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet | A Central de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais voltadas para a Internet e fornece recomendações de regras do Grupo de Segurança de Rede que reduzem a superfície de ataque potencial | AuditIfNotExists, desativado | 3.0.0 |
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| SKUs de tamanho de máquina virtual permitido | Esta política permite especificar um conjunto de SKUs de tamanho de máquina virtual que sua organização pode implantar. | Negar | 1.0.1 |
| As regras de lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas | Monitore alterações no comportamento em grupos de máquinas configuradas para auditoria pelos controles de aplicativo adaptáveis da Central de Segurança do Azure. A Central de Segurança usa aprendizado de máquina para analisar os processos em execução em suas máquinas e sugerir uma lista de aplicativos seguros conhecidos. Eles são apresentados como aplicativos recomendados para permitir políticas de controle de aplicativos adaptáveis. | AuditIfNotExists, desativado | 3.0.0 |
| Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desativado | 3.1.0 |
| Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | AuditIfNotExists, desativado | 3.1.0 |
| Auditar máquinas Linux que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro não estão instalados. | AuditIfNotExists, desativado | 4.2.0 |
| Auditar máquinas Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que têm contas sem senhas | AuditIfNotExists, desativado | 3.1.0 |
| Auditar máquinas Linux que tenham os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro estão instalados. | AuditIfNotExists, desativado | 4.2.0 |
| Auditar máquinas virtuais sem recuperação de desastres configurada | Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Auditar VMs que não usam discos gerenciados | Esta política audita VMs que não utilizam discos geridos | auditoria | 1.0.0 |
| Auditar máquinas Windows sem qualquer um dos membros especificados no grupo Administradores | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local não contiver um ou mais membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar a conectividade de rede de máquinas Windows | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o status de uma conexão de rede com uma porta IP e TCP não corresponder ao parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows nas quais a configuração DSC não é compatível | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o comando Get-DSCConfigurationStatus do Windows PowerShell retornar que a configuração DSC da máquina não é compatível. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows nas quais o agente do Log Analytics não está conectado conforme o esperado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o agente não estiver instalado ou se estiver instalado, mas o objeto COM AgentConfigManager.MgmtSvcCfg retornará que ele está registrado em um espaço de trabalho diferente da ID especificada no parâmetro policy. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows nas quais os serviços especificados não estão instalados e 'Em execução' | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o resultado do comando Get-Service do Windows PowerShell não incluir o nome do serviço com status correspondente, conforme especificado pelo parâmetro policy. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows nas quais o Console Serial do Windows não está habilitado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não tiver o software Serial Console instalado ou se o número da porta EMS ou a taxa de transmissão não estiverem configurados com os mesmos valores que os parâmetros da política. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não estão associadas ao domínio especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o valor da propriedade Domain na classe WMI win32_computersystem não corresponder ao valor no parâmetro policy. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que não estão definidas para o fuso horário especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o valor da propriedade StandardName na classe WMI Win32_TimeZone não corresponder ao fuso horário selecionado para o parâmetro de política. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows que contêm certificados que expiram dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os certificados no armazenamento especificado tiverem uma data de expiração fora do intervalo para o número de dias fornecido como parâmetro. A política também fornece a opção de verificar apenas se há certificados específicos ou excluir certificados específicos e se deseja relatar certificados expirados. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que não contêm os certificados especificados na Raiz Confiável | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o armazenamento de certificados Raiz Confiável da máquina (Cert:\LocalMachine\Root) não contiver um ou mais dos certificados listados pelo parâmetro de política. | auditIfNotExists | 3.0.0 |
| Auditar máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias. O valor padrão para a idade máxima da senha é 70 dias | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias. O valor padrão para a idade mínima da senha é de 1 dia | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a configuração de complexidade de senha habilitada | AuditIfNotExists, desativado | 2.0.0 |
| Auditar máquinas Windows que não têm a política de execução do Windows PowerShell especificada | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o comando Get-ExecutionPolicy do Windows PowerShell retornar um valor diferente do selecionado no parâmetro policy. | AuditIfNotExists, desativado | 3.0.0 |
| Auditar máquinas Windows que não têm os módulos especificados do Windows PowerShell instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se um módulo não estiver disponível em um local especificado pela variável de ambiente PSModulePath. | AuditIfNotExists, desativado | 3.0.0 |
| Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres. O valor padrão para o comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desativado | 2.1.0 |
| Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não armazenam senhas usando criptografia reversível | AuditIfNotExists, desativado | 2.0.0 |
| Auditar máquinas Windows que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o nome do aplicativo não for encontrado em nenhum dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows com contas extras no grupo Administradores | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local contiver membros que não estão listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que não foram reiniciadas dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a propriedade WMI LastBootUpTime na classe Win32_Operatingsystem estiver fora do intervalo de dias fornecido pelo parâmetro policy. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que tenham os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o nome do aplicativo for encontrado em qualquer um dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditar máquinas Windows que tenham os membros especificados no grupo Administradores | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local contiver um ou mais dos membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar VMs do Windows com uma reinicialização pendente | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina estiver pendente de reinicialização por qualquer um dos seguintes motivos: manutenção baseada em componentes, Windows Update, renomeação de arquivo pendente, renomeação de computador pendente, gerente de configuração pendente de reinicialização. Cada deteção tem um caminho de registro exclusivo. | auditIfNotExists | 2.0.0 |
| A autenticação em máquinas Linux deve exigir chaves SSH | Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desativado | 3.2.0 |
| O Backup do Azure deve ser habilitado para Máquinas Virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 3.0.0 |
| As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ser configuradas com segurança | Proteja suas instâncias de função do Serviço de Nuvem (suporte estendido) contra ataques, garantindo que elas não sejam expostas a nenhuma vulnerabilidade do sistema operacional. | AuditIfNotExists, desativado | 1.0.0 |
| As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ter uma solução de proteção de ponto de extremidade instalada | Proteja suas instâncias de função de Serviços de Nuvem (suporte estendido) contra ameaças e vulnerabilidades, garantindo que uma solução de proteção de endpoint esteja instalada nelas. | AuditIfNotExists, desativado | 1.0.0 |
| As instâncias de função Serviços de Nuvem (suporte estendido) devem ter atualizações do sistema instaladas | Proteja suas instâncias de função de Serviços de Nuvem (suporte estendido) garantindo que as atualizações críticas e de segurança mais recentes sejam instaladas nelas. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Defender para que os Servidores sejam desabilitados para todos os recursos (nível de recurso) | O Azure Defender for Servers fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Esta política desativará o plano do Defender for Servers para todos os recursos (VMs, VMSSs e máquinas ARC) no escopo selecionado (assinatura ou grupo de recursos). | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Defender for Servers a ser desabilitado para recursos (nível de recurso) com a tag selecionada | O Azure Defender for Servers fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Esta política desativará o plano do Defender for Servers para todos os recursos (VMs, VMSSs e Máquinas ARC) que tenham o nome e o(s) valor(es) da tag selecionados. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Defender for Servers para ser habilitado (subplano 'P1') para todos os recursos (nível de recurso) com a tag selecionada | O Azure Defender for Servers fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Esta política habilitará o plano do Defender for Servers (com o subplano 'P1') para todos os recursos (VMs e Máquinas ARC) que tenham o nome e o(s) valor(es) da tag selecionado(s). | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Defender for Servers a ser habilitado (com o subplano 'P1') para todos os recursos (nível de recurso) | O Azure Defender for Servers fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Esta política habilitará o plano do Defender for Servers (com subplano 'P1') para todos os recursos (VMs e máquinas ARC) no escopo selecionado (assinatura ou grupo de recursos). | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o backup em máquinas virtuais com uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão | Imponha o backup para todas as máquinas virtuais implantando um cofre de serviços de recuperação no mesmo local e grupo de recursos que a máquina virtual. Fazer isso é útil quando diferentes equipes de aplicativos em sua organização são alocadas em grupos de recursos separados e precisam gerenciar seus próprios backups e restaurações. Opcionalmente, você pode incluir máquinas virtuais contendo uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.3.0 |
| Configurar o backup em máquinas virtuais com uma determinada tag para um cofre de serviços de recuperação existente no mesmo local | Imponha o backup para todas as máquinas virtuais fazendo backup delas em um cofre de serviços de recuperação central existente no mesmo local e assinatura da máquina virtual. Fazer isso é útil quando há uma equipe central em sua organização gerenciando backups para todos os recursos em uma assinatura. Opcionalmente, você pode incluir máquinas virtuais contendo uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.3.0 |
| Configurar o backup em máquinas virtuais sem uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão | Imponha o backup para todas as máquinas virtuais implantando um cofre de serviços de recuperação no mesmo local e grupo de recursos que a máquina virtual. Fazer isso é útil quando diferentes equipes de aplicativos em sua organização são alocadas em grupos de recursos separados e precisam gerenciar seus próprios backups e restaurações. Opcionalmente, você pode excluir máquinas virtuais que contenham uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.3.0 |
| Configure o backup em máquinas virtuais sem uma determinada tag para um cofre de serviços de recuperação existente no mesmo local | Imponha o backup para todas as máquinas virtuais fazendo backup delas em um cofre de serviços de recuperação central existente no mesmo local e assinatura da máquina virtual. Fazer isso é útil quando há uma equipe central em sua organização gerenciando backups para todos os recursos em uma assinatura. Opcionalmente, você pode excluir máquinas virtuais que contenham uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.3.0 |
| Configurar a recuperação de desastres em máquinas virtuais habilitando a replicação por meio do Azure Site Recovery | As máquinas virtuais sem configurações de recuperação de desastres são vulneráveis a interrupções e outras interrupções. Se a máquina virtual ainda não tiver a recuperação de desastres configurada, isso iniciará o mesmo habilitando a replicação usando configurações predefinidas para facilitar a continuidade dos negócios. Opcionalmente, você pode incluir/excluir máquinas virtuais que contenham uma tag especificada para controlar o escopo da atribuição. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | DeployIfNotExists, desativado | 2.1.0 |
| Configurar recursos de acesso ao disco com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para recursos de acesso ao disco, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar máquinas Linux para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas virtuais Linux, conjuntos de dimensionamento de máquinas virtuais e máquinas Arc à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 6.5.1 |
| Configure o Linux Server para desativar usuários locais. | Cria uma atribuição de Configuração de Convidado para configurar a desativação de usuários locais no Linux Server. Isso garante que os Servidores Linux só possam ser acessados pela conta do AAD (Azure Ative Directory) ou por uma lista de usuários explicitamente permitidos por esta política, melhorando a postura geral de segurança. | DeployIfNotExists, desativado | 1.3.0-Pré-visualização |
| Configurar Conjuntos de Escala de Máquina Virtual Linux para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a Associação para vincular conjuntos de dimensionamento de máquina virtual Linux à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 4.4.1 |
| Configurar conjuntos de dimensionamento de máquina virtual Linux para executar o Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão do Azure Monitor Agent em seus conjuntos de escala de máquina virtual Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.6.0 |
| Configurar conjuntos de dimensionamento de máquina virtual Linux para executar o Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Azure Monitor Agent em seus conjuntos de escala de máquina virtual Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.8.0 |
| Configurar máquinas virtuais Linux para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas virtuais Linux à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 4.4.1 |
| Configurar máquinas virtuais Linux para executar o Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.6.0 |
| Configurar máquinas virtuais Linux para executar o Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.8.0 |
| Configurar máquinas para receber um provedor de avaliação de vulnerabilidade | O Azure Defender inclui a verificação de vulnerabilidades para suas máquinas sem custo extra. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro da Central de Segurança. Quando você habilita essa política, o Azure Defender implanta automaticamente o provedor de avaliação de vulnerabilidades do Qualys em todas as máquinas com suporte que ainda não o têm instalado. | DeployIfNotExists, desativado | 4.0.0 |
| Configurar discos gerenciados para desabilitar o acesso à rede pública | Desative o acesso à rede pública para o recurso de disco gerenciado para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Modificar, Desativado | 2.0.0 |
| Configurar a verificação periódica de atualizações do sistema ausentes em máquinas virtuais do Azure | Configure a avaliação automática (a cada 24 horas) para atualizações do sistema operacional em máquinas virtuais nativas do Azure. Você pode controlar o escopo da atribuição de acordo com a assinatura da máquina, grupo de recursos, local ou tag. Saiba mais sobre isso para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modificar | 4.8.0 |
| Configurar protocolos de comunicação seguros (TLS 1.1 ou TLS 1.2) em máquinas Windows | Cria uma atribuição de Configuração de Convidado para configurar a versão de protocolo seguro especificada (TLS 1.1 ou TLS 1.2) na máquina Windows. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar Máquinas Virtuais SQL para instalar automaticamente o Azure Monitor Agent | Automatize a implantação da extensão do Azure Monitor Agent em suas Máquinas Virtuais SQL do Windows. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.5.0 |
| Configurar máquinas virtuais SQL para instalar automaticamente o Microsoft Defender for SQL | Configure as Máquinas Virtuais do Windows SQL para instalar automaticamente a extensão Microsoft Defender for SQL. O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). | DeployIfNotExists, desativado | 1.5.0 |
| Configure o fuso horário em máquinas Windows. | Esta política cria uma atribuição de Configuração de Convidado para definir o fuso horário especificado em máquinas virtuais do Windows. | deployIfNotExists | 2.1.0 |
| Configurar máquinas virtuais a serem integradas ao Azure Automanage | O Azure Automanage registra, configura e monitora máquinas virtuais com práticas recomendadas, conforme definido no Microsoft Cloud Adoption Framework for Azure. Use esta política para aplicar o Gerenciamento Automático ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desativado | 2.4.0 |
| Configurar máquinas virtuais a serem integradas ao Azure Automanage com Perfil de Configuração Personalizado | O Azure Automanage registra, configura e monitora máquinas virtuais com práticas recomendadas, conforme definido no Microsoft Cloud Adoption Framework for Azure. Use esta política para aplicar o Automanage com seu próprio Perfil de Configuração personalizado ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desativado | 1.4.0 |
| Configurar máquinas Windows para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas virtuais do Windows, conjuntos de dimensionamento de máquinas virtuais e máquinas Arc à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 4.5.1 |
| Configurar Conjuntos de Dimensionamento de Máquina Virtual do Windows para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implantar Associação para vincular conjuntos de dimensionamento de máquina virtual do Windows à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 3.3.1 |
| Configurar conjuntos de dimensionamento de máquina virtual do Windows para executar o Azure Monitor Agent usando a identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão do Azure Monitor Agent em seus conjuntos de dimensionamento de máquina virtual do Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.4.0 |
| Configurar conjuntos de dimensionamento de máquina virtual do Windows para executar o Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Azure Monitor Agent em seus conjuntos de dimensionamento de máquina virtual do Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.6.0 |
| Configurar Máquinas Virtuais do Windows para serem associadas a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a Associação para vincular máquinas virtuais do Windows à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 3.3.1 |
| Configurar máquinas virtuais do Windows para executar o Azure Monitor Agent usando a identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas virtuais do Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 4.4.0 |
| Configurar máquinas virtuais do Windows para executar o Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Azure Monitor Agent em suas máquinas virtuais do Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.6.0 |
| Criar e atribuir uma identidade gerenciada atribuída pelo usuário interna | Crie e atribua uma identidade gerenciada interna atribuída pelo usuário em escala para máquinas virtuais SQL. | AuditIfNotExists, DeployIfNotExists, desativado | 1.7.0 |
| O agente de dependência deve ser habilitado para imagens de máquina virtual listadas | Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e o agente não estiver instalado. A lista de imagens do SO é atualizada ao longo do tempo à medida que o suporte é atualizado. | AuditIfNotExists, desativado | 2.0.0 |
| O agente de dependência deve ser habilitado em conjuntos de dimensionamento de máquina virtual para imagens de máquina virtual listadas | Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e o agente não estiver instalado. A lista de imagens do SO é atualizada ao longo do tempo à medida que o suporte é atualizado. | AuditIfNotExists, desativado | 2.0.0 |
| Implantar - Configurar o agente de dependência para ser habilitado em conjuntos de dimensionamento de máquina virtual do Windows | Implante conjuntos de dimensionamento do agente de dependência para máquinas virtuais do Windows se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. Se o conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais do conjunto atualizando-as. | DeployIfNotExists, desativado | 3.2.0 |
| Implantar - Configurar o agente de dependência para ser habilitado em máquinas virtuais do Windows | Implante o agente de dependência para máquinas virtuais do Windows se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desativado | 3.2.0 |
| Implantar - Configurar a extensão do Log Analytics para ser habilitada em conjuntos de dimensionamento de máquinas virtuais do Windows | Implante a extensão do Log Analytics para conjuntos de dimensionamento de máquina virtual do Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Se o conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais do conjunto atualizando-as. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desativado | 3.1.0 |
| Implantar - Configurar a extensão do Log Analytics para ser habilitada em máquinas virtuais do Windows | Implante a extensão do Log Analytics para máquinas virtuais do Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desativado | 3.1.0 |
| Implantar a extensão padrão Microsoft IaaSAntimalware para Windows Server | Esta política implanta uma extensão Microsoft IaaSAntimalware com uma configuração padrão quando uma VM não está configurada com a extensão antimalware. | deployIfNotExists | 1.1.0 |
| Implantar o agente de dependência para conjuntos de dimensionamento de máquinas virtuais Linux | Implante conjuntos de dimensionamento de agente de dependência para máquinas virtuais Linux se a imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. Nota: se o seu conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais no conjunto chamando upgrade nelas. Na CLI, isso seria az vmss update-instances. | deployIfNotExists | 5.1.0 |
| Implantar o agente de dependência para conjuntos de dimensionamento de máquina virtual Linux com as configurações do Agente de Monitoramento do Azure | Implante conjuntos de dimensionamento do agente de dependência para máquinas virtuais Linux com as configurações do Agente de Monitoramento do Azure se a Imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. Nota: se o seu conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais no conjunto chamando upgrade nelas. Na CLI, isso seria az vmss update-instances. | DeployIfNotExists, desativado | 3.2.0 |
| Implantar o agente de dependência para máquinas virtuais Linux | Implante o agente de dependência para máquinas virtuais Linux se a imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. | deployIfNotExists | 5.1.0 |
| Implantar o agente de dependência para máquinas virtuais Linux com as configurações do Agente de Monitoramento do Azure | Implante o agente de dependência para máquinas virtuais Linux com as configurações do Agente de Monitoramento do Azure se a Imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desativado | 3.2.0 |
| Implantar o agente de dependência a ser habilitado em conjuntos de dimensionamento de máquina virtual do Windows com as configurações do Agente de Monitoramento do Azure | Implante conjuntos de dimensionamento do Agente de Dependência para Máquina Virtual do Windows com as configurações do Agente de Monitoramento do Azure se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. Se o conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais do conjunto atualizando-as. | DeployIfNotExists, desativado | 1.3.0 |
| Implantar o agente de dependência a ser habilitado em máquinas virtuais do Windows com as configurações do Agente de Monitoramento do Azure | Implante o agente de dependência para máquinas virtuais do Windows com as configurações do Agente de Monitoramento do Azure se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desativado | 1.3.0 |
| Implante a extensão do Log Analytics para conjuntos de dimensionamento de máquinas virtuais Linux. Consulte o aviso de descontinuação abaixo | Implante a extensão do Log Analytics para conjuntos de dimensionamento de máquinas virtuais Linux se a Imagem da VM (SO) estiver na lista definida e a extensão não estiver instalada. Nota: se o seu conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as VMs do conjunto chamando upgrade nelas. Na CLI, isso seria az vmss update-instances. Aviso de descontinuação: o agente do Log Analytics não será suportado após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data | deployIfNotExists | 3.0.0 |
| Implante a extensão do Log Analytics para VMs Linux. Consulte o aviso de descontinuação abaixo | Implante a extensão do Log Analytics para VMs Linux se a Imagem de VM (SO) estiver na lista definida e a extensão não estiver instalada. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data | deployIfNotExists | 3.0.0 |
| Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
| Os discos e a imagem do SO devem suportar TrustedLaunch | TrustedLaunch melhora a segurança de uma máquina virtual que requer o disco do sistema operacional & imagem do sistema operacional para suportá-lo (Gen 2). Para saber mais sobre o TrustedLaunch, visite https://aka.ms/trustedlaunch | Auditoria, Desativado | 1.0.0 |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Resolva problemas de integridade da proteção de endpoint em suas máquinas virtuais para protegê-las contra as ameaças e vulnerabilidades mais recentes. As soluções de proteção de ponto de extremidade suportadas pela Central de Segurança do Azure estão documentadas aqui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação da proteção de pontos finais está documentada aqui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, desativado | 1.0.0 |
| O Endpoint Protection deve ser instalado nas suas máquinas | Para proteger as suas máquinas contra ameaças e vulnerabilidades, instale uma solução de proteção de terminais suportada. | AuditIfNotExists, desativado | 1.0.0 |
| A solução de proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquina virtual | Audite a existência e a integridade de uma solução de proteção de ponto final em seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades. | AuditIfNotExists, desativado | 3.0.0 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
| O Hotpatch deve ser habilitado para VMs do Windows Server Azure Edition | Minimize as reinicializações e instale atualizações rapidamente com o hotpatch. Saiba mais em https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Auditoria, Negar, Desativado | 1.0.0 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.2.0 |
| As máquinas Linux só devem ter contas locais permitidas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. Gerenciar contas de usuário usando o Azure Ative Directory é uma prática recomendada para gerenciamento de identidades. A redução de contas de máquinas locais ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. As máquinas não são compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro de política. | AuditIfNotExists, desativado | 2.2.0 |
| Os conjuntos de dimensionamento de máquinas virtuais Linux devem ter o Azure Monitor Agent instalado | Os conjuntos de dimensionamento de máquinas virtuais Linux devem ser monitorados e protegidos por meio do Azure Monitor Agent implantado. O Azure Monitor Agent coleta dados de telemetria do sistema operacional convidado. Esta política auditará conjuntos de dimensionamento de máquinas virtuais com imagens de SO suportadas em regiões suportadas. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 3.3.0 |
| As máquinas virtuais Linux devem habilitar o Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma; discos de recursos (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use o Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.2.1 |
| As máquinas virtuais Linux devem ter o Azure Monitor Agent instalado | As máquinas virtuais Linux devem ser monitoradas e protegidas por meio do Azure Monitor Agent implantado. O Azure Monitor Agent coleta dados de telemetria do sistema operacional convidado. Esta política irá auditar máquinas virtuais com imagens de SO suportadas em regiões suportadas. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 3.3.0 |
| Os métodos de autenticação local devem ser desativados em máquinas Linux | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os servidores Linux não tiverem os métodos de autenticação local desativados. Isso é para validar que os Servidores Linux só podem ser acessados pela conta do AAD (Azure Ative Directory) ou por uma lista de usuários explicitamente permitidos por esta política, melhorando a postura geral de segurança. | AuditIfNotExists, desativado | 1.2.0-Pré-visualização |
| Os métodos de autenticação local devem ser desabilitados nos servidores Windows | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os servidores Windows não tiverem métodos de autenticação local desativados. Isso é para validar que os Servidores Windows só podem ser acessados pela conta do AAD (Azure Ative Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
| O agente do Log Analytics deve ser instalado em suas instâncias de função de Serviços de Nuvem (suporte estendido) | A Central de Segurança coleta dados de suas instâncias de função de Serviços de Nuvem (suporte estendido) para monitorar vulnerabilidades e ameaças de segurança. | AuditIfNotExists, desativado | 2.0.0 |
| A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. | AuditIfNotExists, desativado | 2.0.1 |
| As máquinas devem ser configuradas para verificar periodicamente se há atualizações do sistema ausentes | Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam acionadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Auditoria, Negar, Desativado | 3.7.0 |
| Máquinas devem ter descobertas secretas resolvidas | Audita máquinas virtuais para detetar se elas contêm descobertas secretas das soluções de verificação secretas em suas máquinas virtuais. | AuditIfNotExists, desativado | 1.0.2 |
| Os discos gerenciados devem ser duplamente criptografados com chaves gerenciadas pela plataforma e gerenciadas pelo cliente | Os clientes sensíveis à alta segurança que estão preocupados com o risco associado a qualquer algoritmo de criptografia específico, implementação ou chave comprometida podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. | Auditoria, Negar, Desativado | 1.0.0 |
| Os discos gerenciados devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que um disco gerenciado não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de discos gerenciados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Auditoria, Desativado | 2.0.0 |
| Os discos gerenciados devem usar um conjunto específico de conjuntos de criptografia de disco para a criptografia de chave gerenciada pelo cliente | Exigir que um conjunto específico de conjuntos de criptografia de disco seja usado com discos gerenciados lhe dá controle sobre as chaves usadas para criptografia em repouso. Você pode selecionar os conjuntos criptografados permitidos e todos os outros são rejeitados quando anexados a um disco. Saiba mais em https://aka.ms/disks-cmk. | Auditoria, Negar, Desativado | 2.0.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | Esta política audita qualquer máquina virtual do Windows não configurada com a atualização automática das assinaturas de proteção antimalware da Microsoft. | AuditIfNotExists, desativado | 1.0.0 |
| A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows | Esta política audita qualquer VM de servidor Windows sem a extensão Microsoft IaaSAntimalware implantada. | AuditIfNotExists, desativado | 1.1.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| Somente extensões de VM aprovadas devem ser instaladas | Esta política rege as extensões de máquina virtual que não são aprovadas. | Auditoria, Negar, Desativado | 1.0.0 |
| OS e discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. | Auditoria, Negar, Desativado | 3.0.0 |
| Pontos de extremidade privados para atribuições de Configuração de Convidado devem ser habilitados | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com a Configuração de Convidado para máquinas virtuais. As máquinas virtuais não serão compatíveis, a menos que tenham a tag 'EnablePrivateNetworkGC'. Essa tag impõe comunicação segura por meio de conectividade privada com a Configuração de Convidado para Máquinas Virtuais. A conectividade privada limita o acesso ao tráfego proveniente apenas de redes conhecidas e impede o acesso de todos os outros endereços IP, incluindo no Azure. | Auditoria, Negar, Desativado | 1.1.0 |
| Proteja seus dados com requisitos de autenticação ao exportar ou carregar para um disco ou instantâneo. | Quando a URL de exportação/carregamento é usada, o sistema verifica se o usuário tem uma identidade no Ative Directory do Azure e tem as permissões necessárias para exportar/carregar os dados. Consulte aka.ms/DisksAzureADAuth. | Modificar, Desativado | 1.0.0 |
| Exigir aplicação automática de patches de imagem do SO em conjuntos de dimensionamento de máquinas virtuais | Esta política impõe a ativação de patches automáticos de imagens do SO em Conjuntos de Dimensionamento de Máquinas Virtuais para manter sempre as Máquinas Virtuais seguras, aplicando com segurança os patches de segurança mais recentes todos os meses. | negar | 1.0.0 |
| Agendar atualizações recorrentes usando o Azure Update Manager | Você pode usar o Azure Update Manager no Azure para salvar agendas de implantação recorrentes para instalar atualizações do sistema operacional para suas máquinas Windows Server e Linux no Azure, em ambientes locais e em outros ambientes de nuvem conectados usando servidores habilitados para Azure Arc. Esta política também alterará o modo de patch da Máquina Virtual do Azure para 'AutomaticByPlatform'. Ver mais: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, desativado | 3.12.0 |
| Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidade do SQL verifica seu banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança do seu banco de dados. | AuditIfNotExists, desativado | 1.0.0 |
| As atualizações do sistema em conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | Auditar se existem atualizações de segurança do sistema e atualizações críticas em falta que devem ser instaladas, para garantir que os conjuntos de dimensionamento de máquinas virtuais do Windows e Linux são seguros. | AuditIfNotExists, desativado | 3.0.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | As atualizações de sistema de segurança ausentes em seus servidores serão monitoradas pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 4.0.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas (alimentadas pela Central de Atualizações) | Suas máquinas estão faltando sistema, segurança e atualizações críticas. As atualizações de software geralmente incluem patches críticos para falhas de segurança. Essas falhas são frequentemente exploradas em ataques de malware, por isso é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger suas máquinas, siga as etapas de correção. | AuditIfNotExists, desativado | 1.0.1 |
| A extensão herdada do Log Analytics não deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux | Impeça automaticamente a instalação do Log Analytics Agent herdado como a etapa final da migração de agentes herdados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão do agente herdado em conjuntos de dimensionamento de máquinas virtuais Linux. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão herdada do Log Analytics não deve ser instalada em máquinas virtuais Linux | Impeça automaticamente a instalação do Log Analytics Agent herdado como a etapa final da migração de agentes herdados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão de agente herdada em máquinas virtuais Linux. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão herdada do Log Analytics não deve ser instalada em conjuntos de dimensionamento de máquinas virtuais | Impeça automaticamente a instalação do Log Analytics Agent herdado como a etapa final da migração de agentes herdados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão de agente herdada em conjuntos de dimensionamento de máquinas virtuais do Windows. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão herdada do Log Analytics não deve ser instalada em máquinas virtuais | Impeça automaticamente a instalação do Log Analytics Agent herdado como a etapa final da migração de agentes herdados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão de agente herdada em máquinas virtuais do Windows. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual | Esta política audita qualquer Conjunto de Dimensionamento de Máquina Virtual Windows/Linux se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1 |
| A máquina virtual deve ter TrustedLaunch ativado | Habilite TrustedLaunch na máquina virtual para maior segurança, use VM SKU (Gen 2) que suporta TrustedLaunch. Para saber mais sobre o TrustedLaunch, visite https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Auditoria, Desativado | 1.0.0 |
| Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Auditoria, Negar, Desativado | 1.0.0 |
| As máquinas virtuais devem ser conectadas a um espaço de trabalho especificado | Relata máquinas virtuais como não compatíveis se elas não estiverem registrando no espaço de trabalho do Log Analytics especificado na atribuição de política/iniciativa. | AuditIfNotExists, desativado | 1.1.0 |
| As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
| As máquinas virtuais devem ter a extensão do Log Analytics instalada | Esta política audita quaisquer máquinas virtuais Windows/Linux se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
| As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | Audite vulnerabilidades na configuração de segurança em máquinas com o Docker instalado e exiba como recomendações na Central de Segurança do Azure. | AuditIfNotExists, desativado | 3.0.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
| As vulnerabilidades na configuração de segurança em seus conjuntos de dimensionamento de máquina virtual devem ser corrigidas | Audite as vulnerabilidades do sistema operacional em seus conjuntos de dimensionamento de máquina virtual para protegê-los de ataques. | AuditIfNotExists, desativado | 3.0.0 |
| O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 4.1.1 |
| As máquinas Windows devem configurar o Windows Defender para atualizar assinaturas de proteção dentro de um dia | Para fornecer proteção adequada contra malware recém-lançado, as assinaturas de proteção do Windows Defender precisam ser atualizadas regularmente para levar em conta o malware recém-lançado. Esta política não é aplicada a servidores conectados Arc e requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.1 |
| As máquinas Windows devem habilitar a proteção em tempo real do Windows Defender | As máquinas Windows devem habilitar a proteção em tempo real no Windows Defender para fornecer proteção adequada contra malware recém-lançado. Esta política não é aplicável a servidores conectados por arc e requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.1 |
| As máquinas Windows devem atender aos requisitos para 'Modelos Administrativos - Painel de Controle' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Modelos Administrativos - Painel de Controle' para personalização de entrada e prevenção de habilitação de telas de bloqueio. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Modelos Administrativos - MSS (Legado)' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Modelos Administrativos - MSS (Legado)' para logon automático, proteção de tela, comportamento de rede, DLL segura e log de eventos. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Modelos Administrativos - Rede' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Modelos Administrativos - Rede' para logons convidados, conexões simultâneas, ponte de rede, ICS e resolução de nomes multicast. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Modelos Administrativos - Sistema' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Modelos Administrativos - Sistema' para configurações que controlam a experiência administrativa e a Assistência Remota. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Opções de Segurança - Contas' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Contas' para limitar o uso de senhas em branco e o status da conta de convidado da conta local. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Auditoria' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Auditoria' para forçar a subcategoria de diretiva de auditoria e desligar se não for possível registrar auditorias de segurança. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Dispositivos' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Dispositivos' para desencaixar sem fazer logon, instalar drivers de impressão e formatar/ejetar mídia. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Logon Interativo' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Logon Interativo' para exibir o último nome de usuário e exigir ctrl-alt-del. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Cliente de Rede Microsoft' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Cliente de Rede Microsoft' para cliente/servidor de rede Microsoft e SMB v1. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Microsoft Network Server' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Microsoft Network Server' para desabilitar o servidor SMB v1. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Acesso à Rede' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Acesso à Rede' para incluir acesso para usuários anônimos, contas locais e acesso remoto ao Registro. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Segurança de Rede' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Segurança de Rede' para incluir o comportamento do Sistema Local, PKU2U, LAN Manager, cliente LDAP e SSP NTLM. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Console de recuperação' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Console de recuperação' para permitir cópia de disquete e acesso a todas as unidades e pastas. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Opções de Segurança - Desligamento' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Desligamento' para permitir o desligamento sem logon e limpar o arquivo de paginação da memória virtual. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Opções de Segurança - Objetos do sistema' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Objetos do sistema' para insensibilidade a maiúsculas e minúsculas para subsistemas que não sejam do Windows e permissões de objetos internos do sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Configurações do Sistema' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Configurações do sistema' para regras de certificado em executáveis para SRP e subsistemas opcionais. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Controle de Conta de Usuário' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Controle de Conta de Usuário' para o modo para administradores, comportamento do prompt de elevação e virtualização de falhas de gravação de arquivo e registro. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Configurações de Segurança - Políticas de Conta' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Configurações de Segurança - Diretivas de Conta' para histórico de senhas, idade, comprimento, complexidade e armazenamento de senhas usando criptografia reversível. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - logon de conta' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Logon de Conta' para auditar a validação de credenciais e outros eventos de logon de conta. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - Gerenciamento de contas' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Gerenciamento de Contas' para auditar aplicativos, segurança e gerenciamento de grupos de usuários e outros eventos de gerenciamento. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - rastreamento detalhado' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Rastreamento Detalhado' para auditar DPAPI, criação/encerramento de processos, eventos RPC e atividade PNP. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Políticas de auditoria do sistema - Logon-Logoff' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Logon-Logoff' para auditar IPSec, diretiva de rede, declarações, bloqueio de conta, associação a grupos e eventos de logon/logoff. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Políticas de auditoria do sistema - acesso a objetos' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Acesso a Objetos' para auditoria de arquivos, registros, SAM, armazenamento, filtragem, kernel e outros tipos de sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Políticas de auditoria do sistema - Alteração de política' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Alteração de Política' para auditar alterações nas diretivas de auditoria do sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Políticas de auditoria do sistema - uso de privilégios' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Uso de Privilégios' para auditar usos não confidenciais e outros privilégios. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema - Sistema' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Sistema' para auditar o driver IPsec, a integridade do sistema, a extensão do sistema, a alteração de estado e outros eventos do sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Atribuição de Direitos de Usuário' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Atribuição de Direitos de Usuário' para permitir logon localmente, RDP, acesso da rede e muitas outras atividades do usuário. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Componentes do Windows' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Componentes do Windows' para autenticação básica, tráfego não criptografado, contas da Microsoft, telemetria, Cortana e outros comportamentos do Windows. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos para 'Propriedades do Firewall do Windows' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Propriedades do Firewall do Windows' para estado do firewall, conexões, gerenciamento de regras e notificações. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas Windows só devem ter contas locais permitidas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. Esta definição não é suportada no Windows Server 2012 ou 2012 R2. Gerenciar contas de usuário usando o Azure Ative Directory é uma prática recomendada para gerenciamento de identidades. A redução de contas de máquinas locais ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. As máquinas não são compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro de política. | AuditIfNotExists, desativado | 2.0.0 |
| Os conjuntos de dimensionamento de máquinas virtuais do Windows devem ter o Azure Monitor Agent instalado | Os conjuntos de dimensionamento de máquinas virtuais do Windows devem ser monitorados e protegidos por meio do Azure Monitor Agent implantado. O Azure Monitor Agent coleta dados de telemetria do sistema operacional convidado. Os conjuntos de dimensionamento de máquinas virtuais com SO suportado e em regiões suportadas são monitorizados para implementação do Azure Monitor Agent. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 3.2.0 |
| As máquinas virtuais do Windows devem habilitar a Criptografia de Disco do Azure ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma; discos de recursos (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use o Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.1.1 |
| As máquinas virtuais do Windows devem ter o Azure Monitor Agent instalado | As máquinas virtuais do Windows devem ser monitoradas e protegidas por meio do Azure Monitor Agent implantado. O Azure Monitor Agent coleta dados de telemetria do sistema operacional convidado. As máquinas virtuais do Windows com SO suportado e em regiões suportadas são monitorizadas para implementação do Azure Monitor Agent. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 3.2.0 |
Microsoft.VirtualMachineImages
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desabilitar, Negar | 1.1.0 |
Microsoft.ClassicCompute
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas | Habilite os controles de aplicativo para definir a lista de aplicativos seguros conhecidos em execução em suas máquinas e alertá-lo quando outros aplicativos forem executados. Isso ajuda a proteger suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das regras, a Central de Segurança usa o aprendizado de máquina para analisar os aplicativos em execução em cada máquina e sugerir a lista de aplicativos seguros conhecidos. | AuditIfNotExists, desativado | 3.0.0 |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| As regras de lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas | Monitore alterações no comportamento em grupos de máquinas configuradas para auditoria pelos controles de aplicativo adaptáveis da Central de Segurança do Azure. A Central de Segurança usa aprendizado de máquina para analisar os processos em execução em suas máquinas e sugerir uma lista de aplicativos seguros conhecidos. Eles são apresentados como aplicativos recomendados para permitir políticas de controle de aplicativos adaptáveis. | AuditIfNotExists, desativado | 3.0.0 |
| Auditar máquinas virtuais sem recuperação de desastres configurada | Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Resolva problemas de integridade da proteção de endpoint em suas máquinas virtuais para protegê-las contra as ameaças e vulnerabilidades mais recentes. As soluções de proteção de ponto de extremidade suportadas pela Central de Segurança do Azure estão documentadas aqui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação da proteção de pontos finais está documentada aqui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, desativado | 1.0.0 |
| O Endpoint Protection deve ser instalado nas suas máquinas | Para proteger as suas máquinas contra ameaças e vulnerabilidades, instale uma solução de proteção de terminais suportada. | AuditIfNotExists, desativado | 1.0.0 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| Máquinas devem ter descobertas secretas resolvidas | Audita máquinas virtuais para detetar se elas contêm descobertas secretas das soluções de verificação secretas em suas máquinas virtuais. | AuditIfNotExists, desativado | 1.0.2 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas | As atualizações de sistema de segurança ausentes em seus servidores serão monitoradas pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 4.0.0 |
| As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
| As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | Audite vulnerabilidades na configuração de segurança em máquinas com o Docker instalado e exiba como recomendações na Central de Segurança do Azure. | AuditIfNotExists, desativado | 3.0.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.