Расширение гостевой конфигурации Политики Azure

  • Статья

Для аудита параметров конфигурации на виртуальной машине можно использовать расширение гостевой конфигурации Политики Azure. Гостевая конфигурация поддерживает виртуальные машины Azure как физические, так и виртуальные серверы, не относящиеся к Azure, через серверы с поддержкой Azure Arc.

Чтобы получить список политик гостевой конфигурации, выполните поиск по запросу гостевая конфигурация на портале Политики Azure или выполните следующий командлет в окне PowerShell:

Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Guest Configuration"}

Примечание

Функциональность гостевой конфигурации регулярно обновляется для поддержки дополнительных наборов политик. Периодически проверяйте наличие новых поддерживаемых политик и оценивайте их полезность.

Развертывание

Используйте следующий пример скрипта PowerShell для развертывания этих политик и выполнения следующих задач:

  • проверка того, правильно ли настроены параметры защиты паролем на компьютерах Windows и Linux;
  • проверка срока действия сертификатов на виртуальных машинах Windows.

Перед выполнением этого скрипта используйте командлет Connect-AzAccount, чтобы войти в систему. При запуске скрипта необходимо указать имя подписки, к которой будут применяться политики.


    # Assign guest configuration policy.

    param (
        [Parameter(Mandatory=$true)]
        [string] $SubscriptionName
    )

    $Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
    $scope = "/subscriptions/" + $Subscription.Id

    $PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
    $CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"

    New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus

    New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus

Дальнейшие действия

Узнайте, как включить отслеживание и оповещение для критически важных изменений в файлах, службах, ПО и реестре.

Включение отслеживания и оповещения о критических изменениях