Встроенные определения политик в Политике Azure для серверов с поддержкой Azure Arc
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для серверов с поддержкой Azure Arc. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Серверы с поддержкой Azure Arc
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: на компьютерах должно быть включено управляемое удостоверение. | Ресурсы, управляемые automanage, должны иметь управляемое удостоверение. | Audit, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: назначение профиля конфигурации автоуправляемого управления должно соответствовать требованиям | Ресурсы, управляемые automanage, должны иметь состояние "Соответствие" или "Соответствие". | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Агент безопасности Azure должен быть установлен на компьютерах Linux с поддержкой Arc | Установите агент безопасности Azure на компьютерах Linux с поддержкой Arc, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Агент безопасности Azure должен быть установлен на компьютерах Windows с поддержкой Arc | Установите агент безопасности Azure на компьютерах Windows с поддержкой Arc, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. На виртуальной машине Linux с поддержкой Arc должно быть установлено расширение ChangeTracking | Установите расширение ChangeTracking на компьютерах Linux с поддержкой Arc, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. На компьютере Windows с поддержкой Arc должно быть установлено расширение ChangeTracking | Установите расширение ChangeTracking на виртуальных машинах Windows с поддержкой Arc, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка компьютеров Linux с поддержкой Azure Arc с помощью агентов Log Analytics, подключенных к рабочей области Log Analytics по умолчанию | Защитите компьютеры Linux, подключенные к Azure Arc, с помощью Microsoft Defender для облака, установив агенты Log Analytics, которые отправляют данные в рабочую область Log Analytics, созданную Microsoft Defender для облака по умолчанию. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка компьютеров Windows с поддержкой Azure Arc с помощью агентов Log Analytics, подключенных к рабочей области Log Analytics по умолчанию | Защитите компьютеры Windows, подключенные к Azure Arc, с помощью Microsoft Defender для облака, установив агенты Log Analytics, которые отправляют данные в рабочую область Log Analytics, созданную Microsoft Defender для облака по умолчанию. | DeployIfNotExists, Disabled | 1.1.0 (предварительная версия) |
| [Предварительная версия]. Настройте расширение ChangeTracking для компьютеров Linux с поддержкой Arc | Настройте компьютеры Linux с поддержкой Arc для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. Настройте расширение ChangeTracking для виртуальных машин Windows с поддержкой Arc | Настройте виртуальные машины Windows с поддержкой Arc для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]: настройка компьютеров с поддержкой Linux Arc для связи с правилом сбора данных для ChangeTracking и инвентаризации | Развертывание ассоциации для связывания компьютеров с поддержкой Linux Arc с указанным правилом сбора данных для включения ChangeTracking и инвентаризации. Список расположений обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]: настройка компьютеров с поддержкой Linux Arc для установки AMA для ChangeTracking и инвентаризации | Автоматизация развертывания расширения агента Azure Monitor на компьютерах с поддержкой Linux Arc для включения ChangeTracking и инвентаризации. Эта политика установит расширение, если регион поддерживается. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-preview |
| [Предварительная версия]. Настройте соответствующие компьютеры Linux с поддержкой Arc для автоматической установки агента безопасности Azure | Настройте соответствующие компьютеры Linux с поддержкой Arc для автоматической установки агента безопасности Azure. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые компьютеры Linux с поддержкой Arc должны находиться в соответствующем расположении. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройте автоматическую установку агента безопасности Azure на соответствующих компьютерах Windows с поддержкой Arc | Настройте соответствующие компьютеры Windows с поддержкой Arc для автоматической установки агента безопасности Azure. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые компьютеры Windows с поддержкой Arc должны находиться в соответствующем расположении. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]: настройка компьютеров с поддержкой Windows Arc для связи с правилом сбора данных для ChangeTracking и инвентаризации | Развертывание ассоциации для связывания компьютеров с поддержкой Windows Arc с указанным правилом сбора данных для включения ChangeTracking и инвентаризации. Список расположений обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]: настройка компьютеров с поддержкой Windows Arc для установки AMA для ChangeTracking и инвентаризации | Автоматизация развертывания расширения агента Azure Monitor на компьютерах с поддержкой Windows Arc для включения ChangeTracking и инвентаризации. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]: настройте Windows Server для отключения локальных пользователей. | Создает назначение гостевой конфигурации для настройки отключения локальных пользователей в Windows Server. Это гарантирует доступ только к серверам Windows с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | DeployIfNotExists, Disabled | 1.2.0 (предварительная версия) |
| [Предварительная версия]: запретить создание или изменение лицензии расширенной безопасности Обновления (ESUS). | Эта политика позволяет ограничить создание или изменение лицензий ESU для компьютеров Windows Server 2012 Arc. Дополнительные сведения о ценах см. на сайте https://aka.ms/ArcWS2012ESUPricing | Deny, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Развертывание агента Microsoft Defender для конечной точки на гибридных компьютерах Linux | Развертывает агент Microsoft Defender для конечной точки на гибридных компьютерах Linux. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Предварительная версия]. Развертывание агента Microsoft Defender для конечной точки на компьютерах Windows с поддержкой Azure Arc | Развертывает агент Microsoft Defender для конечной точки на компьютерах Windows с поддержкой Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Предварительная версия]: включите лицензию на расширенную безопасность Обновления (ESUs), чтобы обеспечить защиту компьютеров Windows 2012 после завершения жизненного цикла поддержки. | Включите лицензию расширенной безопасности Обновления (ESUs), чтобы обеспечить защиту компьютеров Windows 2012 даже после завершения жизненного цикла поддержки. Узнайте, как подготовиться к доставке расширенных Обновления безопасности для Windows Server 2012 через AzureArc.https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates Дополнительные сведения о ценах см. на сайте https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]: на компьютерах с Windows Server 2012 Arc должна быть установлена расширенная Обновления безопасности. | Компьютеры Windows Server 2012 Arc должны установить все Обновления расширенной безопасности, выпущенные корпорацией Майкрософт. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]: компьютеры под управлением Linux должны соответствовать требованиям базовой конфигурации безопасности Azure для узлов Docker | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютер настроен неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Azure для узлов Docker. | AuditIfNotExists, Disabled | 1.2.0 (предварительная версия) |
| [предварительная версия]: компьютеры Linux должны соответствовать требованиям stIG для вычислений Azure. | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер не настроен правильно для одной из рекомендаций в требованиях к соответствию STIG для вычислений Azure. DISA (Агентство оборонных информационных систем) предоставляет технические руководства STIG (Руководство по технической реализации безопасности) для защиты вычислительной ОС в порядке, требуемом Министерством обороны (DoD). Дополнительные сведения: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0 (предварительная версия) |
| [Предварительная версия]: компьютеры Linux с установленной OMI должны иметь версию 1.6.8-1 или более позднюю версию. | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. В связи с исправлением безопасности, включенным в версию 1.6.8-1 пакета OMI для Linux, все компьютеры должны быть обновлены до последней версии. Обновите приложения и пакеты, использующие OMI, для устранения проблемы. Дополнительные сведения см. в разделе https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0 (предварительная версия) |
| [Предварительная версия]. На виртуальных машинах Azure Arc с Linux должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
| [Предварительная версия]. На виртуальных машинах Azure Arc с Windows должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
| [предварительная версия]: Вычислительные машины Nexus должны соответствовать базовым требованиям безопасности | Использует агент гостевой конфигурации Политика Azure для аудита. Эта политика гарантирует, что компьютеры соответствуют базовым параметрам безопасности вычислений Nexus, охватывая различные рекомендации, предназначенные для укрепления компьютеров в отношении ряда уязвимостей и небезопасных конфигураций (только Для Linux). | AuditIfNotExists, Disabled | 1.1.0 (предварительная версия) |
| [Предварительная версия]. На компьютерах (под управлением Центра обновления) должны быть установлены обновления системы | На ваших компьютерах не установлены критические обновления, а также обновления системы и безопасности. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: компьютеры Windows должны соответствовать требованиям соответствия STIG для вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в нормативных требованиях STIG для Вычислений Azure. DISA (Агентство оборонных информационных систем) предоставляет технические руководства STIG (Руководство по технической реализации безопасности) для защиты вычислительной ОС в порядке, требуемом Министерством обороны (DoD). Дополнительные сведения: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, Disabled | 3.1.0 |
| Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists, Disabled | 3.1.0 |
| Аудит компьютеров Linux без заданных установленных приложений | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если ресурс Chef InSpec указывает, что не установлен один или несколько указанных в параметре пакетов. | AuditIfNotExists, Disabled | 4.2.0 |
| Аудит компьютеров Linux с учетными записями без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. | AuditIfNotExists, Disabled | 3.1.0 |
| Аудит компьютеров Linux с заданными установленными приложениями | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если ресурс Chef InSpec указывает, что установлен один или несколько указанных в параметре пакетов. | AuditIfNotExists, Disabled | 4.2.0 |
| Аудит компьютеров с Windows без любого из указанных участников в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если в локальной группе администраторов отсутствует один или несколько участников, указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров с Windows с сетевыми подключениями | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если сетевое подключение по некоторому IP-адресу и порту TCP не соответствует параметру политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров с Windows с несоответствующей конфигурацией DSC | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если команда Windows PowerShell Get-DSCConfigurationStatus возвращает сведения о том, что конфигурация DSC для компьютера не соответствует требованиям. | auditIfNotExists | 3.0.0 |
| Аудит компьютеров с Windows без надлежащего подключения агента Log Analytics | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если на них не установлен агент либо агент установлен, но COM-объект AgentConfigManager.MgmtSvcCfg сообщает, что этот агент зарегистрирован в рабочей области с идентификатором, отличным от указанного в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров с Windows без заданных установленных и запущенных служб | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если выполнение команды Windows PowerShell Get-Service возвращает результат без имени службы с соответствующим состоянием, которое указано в параметре политики. | auditIfNotExists | 3.0.0 |
| Аудит компьютеров с Windows без включенной последовательной консоли Windows | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если на них не установлено программное обеспечение последовательной консоли или номер и скорость порта EMS имеют не те значения, которые указаны в параметрах политики. | auditIfNotExists | 3.0.0 |
| Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Аудит компьютеров с Windows без присоединения к указанному домену | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если значение свойства Domain в классе WMI win32_computersystem не совпадает с тем, которое указано в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows, на которых не задан указанный часовой пояс | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если значение свойства StandardName в классе WMI Win32_TimeZone не совпадает с выбранным часовым поясом в параметре политики. | auditIfNotExists | 3.0.0 |
| Аудит компьютеров Windows с сертификатами, срок действия которых истекает в течение указанного числа дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если срок действия сертификатов в указанном хранилище не входит в диапазон числа дней, заданных в качестве параметра. Также эта политика позволяет проверять только конкретные сертификаты или исключать из проверки конкретные сертификаты, а также сообщать о сертификатах с истекшим сроком действия. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows без указанных сертификатов в доверенном корневом центре сертификации | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если хранилище доверенных корневых сертификатов (CERT:\LocalMachine\Root) на них не содержит один или несколько сертификатов, указанных в параметре политики. | auditIfNotExists | 3.0.0 |
| Аудит компьютеров Windows, не имеющих максимального срока действия пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет максимального возраста пароля, установленного для указанного количества дней. Значение по умолчанию для максимального срока действия пароля — 70 дней | AuditIfNotExists, Disabled | 2.1.0 |
| Аудит компьютеров Windows, не имеющих минимального возраста пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет минимального возраста пароля, установленного на указанное количество дней. Значение по умолчанию для минимального возраста пароля — 1 день | AuditIfNotExists, Disabled | 2.1.0 |
| Аудит компьютеров Windows без включенного параметра сложности пароля | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры Windows считаются несоответствующими, если на них не установлен параметр сложности пароля. | AuditIfNotExists, Disabled | 2.0.0 |
| Аудит компьютеров Windows, на которых отсутствует указанная политика выполнения Windows PowerShell | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если команда PowerShell Get-ExecutionPolicy Windows возвращает значение, отличное от выбранного в параметре политики. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит компьютеров Windows, на которых не установлены указанные модули Windows PowerShell | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если модуль недоступен в расположении, указанном в переменной среды PSModulePath. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые не ограничивают минимальную длину пароля указанным количеством символов. Значение по умолчанию для минимальной длины пароля — 14 символов | AuditIfNotExists, Disabled | 2.1.0 |
| Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. | AuditIfNotExists, Disabled | 2.0.0 |
| Аудит компьютеров Windows без установленных указанных приложений | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если имя приложения не найдено ни по одному из следующих путей реестра: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows с дополнительными учетными записями в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит участников, не указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows, которые не были перезапущены в течение указанного числа дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если свойство WMI LastBootUpTime в классе Win32_Operatingsystem выходит за пределы диапазона дней, указанного в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows с установленными указанными приложениями | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если имя приложения найдено по одному из следующих путей реестра: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows с указанными участниками в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит одного или нескольких участников, указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит виртуальных машин Windows с отложенной перезагрузкой | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если находятся в состоянии ожидания перезагрузки по любой из следующих причин: обслуживание на основе компонентов, обновление Windows, ожидание переименования файлов, ожидание переименования компьютера, ожидание перезагрузки диспетчера конфигураций. Каждое обнаружение имеет уникальный путь реестра. | auditIfNotExists | 2.0.0 |
| При аутентификации на компьютерах Linux должны использоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Области приватного канала Azure Arc должны быть настроены с частной конечной точкой | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с областями приватного канала Azure Arc, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. | Audit, Disabled | 1.0.0 |
| Области приватного канала Azure Arc должны отключить доступ к публичной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурсы Arc Azure не смогут установить подключение через общедоступный Интернет. Создание частных конечных точек позволяет ограничить уязвимость ресурсов Azure Arc. См. дополнительные сведения: https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Серверы с поддержкой Azure Arc должны быть настроены с областью приватного канала Azure Arc | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив серверы с поддержкой Azure Arc с областью приватного канала Azure Arc, настроенной с использованием частной конечной точки, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Настройте серверы с поддержкой Arc с установленным расширением SQL Server, чтобы включить или отключить оценку рекомендаций SQL. | Включите или отключите оценку рекомендаций SQL на экземплярах SQL Server на серверах с поддержкой Arc, чтобы оценить рекомендации. Узнайте больше по адресу https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка SQL Server с поддержкой Arc для автоматической установки агента Azure Monitor | Автоматизация развертывания расширения агента Azure Monitor на серверах SQL с поддержкой Windows Arc. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Настройка SQL Server с поддержкой Arc для автоматической установки Microsoft Defender для SQL | Настройте SQL Server с поддержкой Windows Arc для автоматической установки агента Microsoft Defender для SQL. Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). | DeployIfNotExists, Disabled | 1.2.0 |
| Настройка SQL Server с поддержкой Arc для автоматической установки Microsoft Defender для SQL и DCR с рабочей областью Log Analytics | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов, правило сбора данных и рабочую область Log Analytics в том же регионе, что и компьютер. | DeployIfNotExists, Disabled | 1.4.0 |
| Настройка SQL Server с поддержкой Arc для автоматической установки Microsoft Defender для SQL и DCR с определяемой пользователем рабочей областью LA | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. | DeployIfNotExists, Disabled | 1.5.0 |
| Настройка SQL Server с поддержкой Arc с сопоставлением правил сбора данных в Microsoft Defender для DCR | Настройте связь между серверами SQL с поддержкой Arc и Microsoft Defender для DCR SQL. Удаление этой связи приведет к разрыву обнаружения уязвимостей системы безопасности для этих серверов SQL с поддержкой Arc. | DeployIfNotExists, Disabled | 1.1.0 |
| Настройка SQL Server с поддержкой Arc с сопоставлением правил сбора данных в Microsoft Defender для SQL, определяемой пользователем DCR | Настройте связь между серверами SQL с поддержкой Arc и определяемым пользователем DCR в Microsoft Defender для SQL. Удаление этой связи приведет к разрыву обнаружения уязвимостей системы безопасности для этих серверов SQL с поддержкой Arc. | DeployIfNotExists, Disabled | 1.2.0 |
| Настройте области приватного канала Azure Arc для отключения доступа к публичной сети | Отключите доступ к общедоступной сети для области приватного канала Azure Arc, чтобы связанные ресурсы Arc Azure не могли подключаться к службам Azure Arc через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/arc/privatelink. | Modify, Disabled | 1.0.0 |
| Настройка областей приватного канала Azure Arc с частными конечными точками | Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставив частные конечные точки с областями приватного канала Azure Arc, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 2.0.0 |
| Настройка серверов с поддержкой Azure Arc для использования области приватного канала Azure Arc | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив серверы с поддержкой Azure Arc с областью приватного канала Azure Arc, настроенной с использованием частной конечной точки, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. | Modify, Disabled | 1.0.0 |
| Настройка Azure Defender для серверов для отключения всех ресурсов (уровня ресурсов) | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по обеспечению защиты, а также оповещения о подозрительных действиях. Эта политика отключит план Defender для серверов для всех ресурсов (виртуальных машин, виртуальных машин и компьютеров ARC) в выбранной область (подписке или группе ресурсов). | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка Azure Defender для серверов для отключения ресурсов (уровня ресурсов) с выбранным тегом | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по обеспечению защиты, а также оповещения о подозрительных действиях. Эта политика отключит план Defender для серверов для всех ресурсов (виртуальных машин, vmSSs и ARC Компьютеров), имеющих выбранное имя тега и значения тега. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка в Azure Defender для серверов для включения (подплана P1) для всех ресурсов (уровня ресурсов) с выбранным тегом | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по обеспечению защиты, а также оповещения о подозрительных действиях. Эта политика включает план Defender для серверов (с подпланом P1) для всех ресурсов (виртуальных машин и компьютеров ARC), имеющих выбранное имя тега и значения тега. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка Azure Defender для серверов для включения (с подпланом P1) для всех ресурсов (уровня ресурсов) | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по обеспечению защиты, а также оповещения о подозрительных действиях. Эта политика включает план Defender для серверов (с подпланом P1) для всех ресурсов (виртуальных машин и компьютеров ARC) в выбранной область (подписке или группе ресурсов). | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка Dependency Agent на серверах Linux, подключенных к Azure Arc | Включите аналитику ВМ на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины Dependency Agent. Аналитика ВМ использует Dependency Agent для сбора метрик сети и обнаруженных данных о процессах, выполняемых на компьютере, а также о зависимостях внешних процессов. Подробнее: https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Настройка Dependency Agent на серверах Linux с поддержкой Azure Arc с параметрами агента мониторинга Azure | Включите аналитику ВМ на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины Dependency Agent с параметрами агента мониторинга Azure. Аналитика ВМ использует Dependency Agent для сбора метрик сети и обнаруженных данных о процессах, выполняемых на компьютере, а также о зависимостях внешних процессов. Подробнее: https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Настройка Dependency Agent на серверах Windows Server, подключенных к Azure Arc | Включите аналитику ВМ на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины Dependency Agent. Аналитика ВМ использует Dependency Agent для сбора метрик сети и обнаруженных данных о процессах, выполняемых на компьютере, а также о зависимостях внешних процессов. Подробнее: https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Настройка Dependency Agent на серверах Windows с поддержкой Azure Arc с параметрами агента мониторинга Azure | Включите аналитику ВМ на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины Dependency Agent с параметрами агента мониторинга Azure. Аналитика ВМ использует Dependency Agent для сбора метрик сети и обнаруженных данных о процессах, выполняемых на компьютере, а также о зависимостях внешних процессов. Подробнее: https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Настройка компьютеров Linux Arc для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать компьютеры Linux Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 2.2.0 |
| Настройка компьютеров с поддержкой Linux Arc для запуска агента Azure Monitor | Для сбора данных телеметрии из гостевой ОС автоматизируйте развертывание расширения агента Azure Monitor на компьютерах с поддержкой Linux Arc. Эта политика установит расширение, если регион поддерживается. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Настройка компьютеров Linux для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать виртуальные машины Linux, масштабируемые наборы виртуальных машин и компьютеры Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 6.3.0 |
| Настройте Linux Server для отключения локальных пользователей. | Создает назначение гостевой конфигурации для настройки отключения локальных пользователей на сервере Linux Server. Это обеспечивает доступ только к серверам Linux с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | DeployIfNotExists, Disabled | 1.3.0-preview |
| Настройте расширение Log Analytics на серверах Linux с поддержкой Azure Arc. См. уведомление об устаревании ниже. | Включите аналитику виртуальных машин на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины Log Analytics. Аналитика ВМ использует агент Log Analytics для получения данных о производительности гостевых ОС и предоставляет полезные сведения об их производительности. Подробнее: https://aka.ms/vminsightsdocs. Уведомление о прекращении поддержки: агент Log Analytics скоро станет нерекомендуемым, и его поддержка прекратится после 31 августа 2024 года. До этой даты необходимо перейти на заменяющее решение — агент Azure Monitor. | DeployIfNotExists, Disabled | 2.1.1 |
| Настройка расширения Log Analytics на серверах Windows с поддержкой Azure Arc | Включите аналитику виртуальных машин на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины Log Analytics. Аналитика ВМ использует агент Log Analytics для получения данных о производительности гостевых ОС и предоставляет полезные сведения об их производительности. Подробнее: https://aka.ms/vminsightsdocs. Уведомление о прекращении поддержки: агент Log Analytics скоро станет нерекомендуемым, и его поддержка прекратится после 31 августа 2024 года. До этой даты необходимо перейти на заменяющее его решение — агент Azure Monitor. | DeployIfNotExists, Disabled | 2.1.1 |
| Настройка компьютеров для получения поставщика оценки уязвимостей | Azure Defender предоставляет возможность выполнять проверку уязвимостей компьютеров без дополнительных затрат. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Центре безопасности. После включения этой политики Azure Defender автоматически развернет поставщик оценки уязвимостей Qualys на всех поддерживаемых компьютерах, на которых он еще не установлен. | DeployIfNotExists, Disabled | 4.0.0 |
| Настройка периодических проверка для отсутствующих обновлений системы на серверах с поддержкой Azure Arc | Настройте автоматическую оценку (каждые 24 часа) для обновлений ОС на серверах с поддержкой Azure Arc. Вы можете управлять областью назначения в соответствии с подпиской, группой ресурсов, расположением или тегом виртуальной машины. Дополнительные сведения см. в следующих разделах: для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.2.1 |
| Настройка протоколов безопасной связи (TLS 1.1 или TLS 1.2) на компьютерах Windows | Создает назначение гостевой конфигурации для настройки указанной защищенной версии протокола (TLS 1.1 или TLS 1.2) на компьютере Windows. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка рабочей области Microsoft Defender для Log Analytics для SQL | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и рабочую область Log Analytics в том же регионе, что и компьютер. | DeployIfNotExists, Disabled | 1.3.0 |
| Настройка часового пояса на компьютерах с Windows | Эта политика создает назначение гостевой конфигурации для установки указанного часового пояса на виртуальных машинах с Windows. | deployIfNotExists | 2.1.0 |
| Настройка виртуальных машин для подключения к Автоматическому управлению Azure | Служба "Автоматическое управление Azure" регистрирует, настраивает и отслеживает виртуальные машины с использованием рекомендации, как определено в Microsoft Cloud Adoption Framework для Azure. Используйте эту политику для применения автоматического управления в выбранной области. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Настройка виртуальных машин для подключения к Автоматическому управлению Azure с настраиваемым профилем конфигурации | Служба "Автоматическое управление Azure" регистрирует, настраивает и отслеживает виртуальные машины с использованием рекомендации, как определено в Microsoft Cloud Adoption Framework для Azure. Используйте эту политику для применения Автоматического управления с собственным настраиваемым профилем конфигурации к выбранной области. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Настройка компьютеров Windows Arc для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать компьютеры Windows Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 2.2.0 |
| Настройка компьютеров с поддержкой Windows Arc для запуска агента Azure Monitor | Для сбора данных телеметрии из гостевой ОС автоматизируйте развертывание расширения агента Azure Monitor на компьютерах с поддержкой Windows Arc. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Настройка компьютеров Windows для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать виртуальные машины Windows, масштабируемые наборы виртуальных машин и компьютеры Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 4.5.0 |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны на следующей странице: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Документация по оценка защиты конечных точек представлена на следующей странице: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо установить Endpoint Protection на ваших компьютерах | Чтобы защитить компьютеры от угроз и уязвимостей, установите поддерживаемое решение для защиты конечных точек. | AuditIfNotExists, Disabled | 1.0.0 |
| На компьютерах с поддержкой Linux Arc должен быть установлен агент Azure Monitor | Компьютеры с поддержкой Linux Arc следует отслеживать и защищать с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Эта политика будет выполнять аудит компьютеров с поддержкой Arc в поддерживаемых регионах. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| На компьютерах с Linux должен быть установлен агент Log Analytics в службе Azure Arc | Компьютеры не соответствуют требованиям, если на сервере Linux с поддержкой Azure Arc не установлен клиент Log Analytics. | AuditIfNotExists, Disabled | 1.1.0 |
| Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| На компьютерах Linux должны быть разрешены только локальные учетные записи | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. При управлении удостоверениями рекомендуется использовать управление учетными записями пользователей с помощью Azure Active Directory. Сокращение числа учетных записей на локальном компьютере помогает предотвратить рост числа удостоверений, управляемых за пределами центральной системы. Компьютеры не соответствуют требованиям, если существуют локальные учетные записи пользователей, которые включены и не указаны в параметре политики. | AuditIfNotExists, Disabled | 2.2.0 |
| Локальные методы проверки подлинности должны быть отключены на компьютерах Linux | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если на серверах Linux нет локальных методов проверки подлинности. Это необходимо для проверки того, что серверы Linux могут получать доступ только с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | AuditIfNotExists, Disabled | 1.2.0 (предварительная версия) |
| Локальные методы проверки подлинности должны быть отключены на серверах Windows | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если на серверах Windows нет локальных методов проверки подлинности. Это необходимо для проверки того, что серверы Windows могут получать доступ только с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| Компьютеры должны быть настроены для периодического проверка для отсутствующих обновлений системы | Чтобы периодические оценки отсутствующих системных обновлений запускались автоматически каждые 24 часа, для свойства AssessmentMode должно быть задано значение "AutomaticByPlatform". Дополнительные сведения о свойстве AssessmentMode см. в следующих разделах: для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
| Планирование повторяющихся обновлений с помощью Диспетчера обновлений Azure | Диспетчер обновлений Azure можно использовать в Azure для сохранения расписания повторяющегося развертывания для установки обновлений операционной системы для компьютеров Windows Server и Linux в Azure, в локальных средах и в других облачных средах, подключенных с помощью серверов с поддержкой Azure Arc. Эта политика также изменит режим исправления для виртуальной машины Azure на AutomaticByPlatform. Дополнительные сведения приведены здесь: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
| Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. | AuditIfNotExists, Disabled | 1.0.0 |
| Подпишите подходящие экземпляры SQL Server с поддержкой Arc на Обновления расширенной безопасности. | Подписывайтесь на допустимые экземпляры SQL Server с поддержкой Arc с типом лицензии, заданным как PayG или PAYG, на расширенные Обновления безопасности. Дополнительные сведения о расширенных обновлениях https://go.microsoft.com/fwlink/?linkid=2239401системы безопасности. | DeployIfNotExists, Disabled | 1.0.0 |
| Устаревшее расширение Log Analytics не должно быть установлено на серверах Linux с поддержкой Azure Arc. | Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего шага миграции из устаревших агентов в агент Azure Monitor. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на серверах Linux с поддержкой Azure Arc. Подробнее: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Устаревшее расширение Log Analytics не должно быть установлено на серверах Windows с поддержкой Azure Arc. | Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего шага миграции из устаревших агентов в агент Azure Monitor. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на серверах Windows с поддержкой Azure Arc. Подробнее: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| На компьютерах с поддержкой Windows Arc должен быть установлен агент Azure Monitor | Компьютеры с поддержкой Windows Arc следует отслеживать и защищать с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Компьютеры с поддержкой Windows Arc в поддерживаемых регионах отслеживаются для развертывания агента Azure Monitor. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 2.0.0 |
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Disabled | 4.1.1 |
| На компьютерах Windows должен быть настроен Microsoft Defender для обновления сигнатур защиты в течение одного дня | Чтобы обеспечить адекватную защиту от недавно выпущенных вредоносных программ, сигнатуры защиты Microsoft Defender необходимо регулярно обновлять, чтобы учитывать недавно выпущенные вредоносные программы. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| На компьютерах Windows должна быть включена защита в реальном времени в Microsoft Defender | На компьютерах Windows должна быть включена защита в реальном времени в Microsoft Defender, чтобы обеспечить адекватную защиту от недавно выпущенных вредоносных программ. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| На компьютерах с Windows должен быть установлен агент Log Analytics в службе Azure Arc | Компьютеры не соответствуют требованиям, если на сервере Windows с поддержкой Azure Arc не установлен клиент Log Analytics. | AuditIfNotExists, Disabled | 2.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — Панель управления" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Административные шаблоны — Панель управления" для персонализации ввода и предотвращения включения экранов блокировки. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — MSS (устаревшие)" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Административные шаблоны — MSS (устаревшие)" для автоматического входа, заставки, поведения сети, безопасной библиотеки DLL и журнала событий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — Сеть" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Административные шаблоны — Сеть" для гостевых входов, одновременных подключений, сетевого моста, общего доступа к подключению Интернета и многоадресного разрешения имен. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — Система" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Административные шаблоны — Система" для параметров, управляющих административными функциями и удаленным помощником. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — Учетные записи" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — учетные записи" для ограничения использования пустых паролей и состояния гостевой учетной записи в локальных учетных записях. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — аудит" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — аудит" для принудительного применения подкатегории политики аудита и завершения работы в случае, если не удается зарегистрировать аудиты безопасности. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Устройства" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Устройства" для выполнения отстыковки без входа в систему, установки драйверов печати, форматирования и извлечения носителей. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Интерактивный вход" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Интерактивный вход" для отображения последнего имени пользователя и требования нажать клавиши CTRL+ALT+DEL. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Клиент для сетей Майкрософт" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Клиент для сетей Майкрософт" для клиента или сервера сети Майкрософт и протокола SMB версии 1. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — сервер для сетей Майкрософт" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — сервер для сетей Майкрософт" для отключения сервера SMB версии 1. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — доступ к сети", в том числе для доступа анонимных пользователей, локальных учетных записей и удаленного доступа к реестру. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — консоль восстановления" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — консоль восстановления" для разрешения копирования дискет и доступа ко всем дискам и папкам. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Завершение работы" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Завершение работы", чтобы разрешить завершение работы без входа в систему и очистку файла подкачки виртуальной памяти. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Системные объекты" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Системные объекты", чтобы не учитывать регистр для подсистем, отличных от Windows, и разрешений внутренних системных объектов. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Системные параметры" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Системные параметры" для правил сертификатов в исполняемых файлах для политики ограниченного использования программ и необязательных подсистем. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — контроль учетных записей" для режима администраторов, процедуры запроса на повышение прав, а также виртуализации сбоев при записи в файлы и реестр. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Политики учетных записей" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Политики учетных записей" для журнала паролей (срока действия, длины, сложности паролей), а также хранения паролей с использованием обратимого шифрования. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Вход учетной записи" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Вход учетной записи" для аудита проверки учетных данных и других событий входа с использованием учетной записи. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — управление учетными записями" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Политики аудита системы — управление учетными записями" для аудита приложений, безопасности, управления группами пользователей, а также других событий управления. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Политики аудита системы — подробное отслеживание" для аудита API защиты данных, создания и завершения процессов, событий RPC и PNP-действий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Вход-выход" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Вход-выход" для аудита IPsec, политики сети, утверждений, блокировки учетных записей, членства в группах и событий входа и выхода. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Доступ к объектам" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Доступ к объектам" для аудита файлов, реестра, SAM, хранилища, фильтрации, ядра и других системных типов. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Изменение политики" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Изменение политики" для аудита изменений в политиках аудита системы. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Использование привилегий" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Использование привилегий" для аудита неконфиденциальных данных и другого использования привилегий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Система" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Система" для аудита драйвера IPsec, целостности системы, расширения системы, изменения состояния и других системных событий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Назначение прав пользователя" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Назначение прав пользователя", разрешающие локальный вход в систему, RDP, доступ из сети и многие другие действия пользователей. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Компоненты Windows" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Компоненты Windows" для обычной проверки подлинности, незашифрованного трафика, учетных записей Майкрософт, телеметрии, Кортана и других вариантов поведения Windows. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Свойства брандмауэра Windows" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Свойства брандмауэра Windows" для состояния брандмауэра, подключений, управления правилами и уведомлений. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.0.0 |
| На компьютерах Windows должны быть разрешены только локальные учетные записи | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Это определение не поддерживается в Windows Server 2012 или 2012 R2. При управлении удостоверениями рекомендуется использовать управление учетными записями пользователей с помощью Azure Active Directory. Сокращение числа учетных записей на локальном компьютере помогает предотвратить рост числа удостоверений, управляемых за пределами центральной системы. Компьютеры не соответствуют требованиям, если существуют локальные учетные записи пользователей, которые включены и не указаны в параметре политики. | AuditIfNotExists, Disabled | 2.0.0 |
| На компьютерах Windows должен быть настроен Microsoft Defender для ежедневной плановой проверки компьютеров | Чтобы обеспечить обнаружение вредоносных программ и свести к минимуму влияние на систему, рекомендуется, чтобы компьютеры Windows с Защитником Windows планировали ежедневное сканирование. Убедитесь, что Защитник Windows поддерживается, предварительно установлен на устройстве и развертываются предварительные требования гостевой конфигурации. Неспособность соответствовать этим требованиям может привести к неточным результатам оценки. Дополнительные сведения о гостевой конфигурации см. в https://aka.ms/gcpolразделе . | AuditIfNotExists, Disabled | 1.2.0 |
| Компьютеры Windows должны использовать NTP-сервер по умолчанию | Настройте time.windows.com в качестве NTP-сервера по умолчанию для всех компьютеров с Windows, чтобы обеспечить полную синхронизацию часов всех систем. Для этой политики требуется развернуть предварительные требования гостевой конфигурации в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.