Расширение гостевой конфигурации Политики Azure
Для аудита параметров конфигурации на виртуальной машине можно использовать расширение гостевой конфигурации Политики Azure. Гостевая конфигурация поддерживает виртуальные машины Azure как физические, так и виртуальные серверы, не относящиеся к Azure, через серверы с поддержкой Azure Arc.
Чтобы получить список политик гостевой конфигурации, выполните поиск по запросу гостевая конфигурация на портале Политики Azure или выполните следующий командлет в окне PowerShell:
Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Guest Configuration"}
Примечание
Функциональность гостевой конфигурации регулярно обновляется для поддержки дополнительных наборов политик. Периодически проверяйте наличие новых поддерживаемых политик и оценивайте их полезность.
Развертывание
Используйте следующий пример скрипта PowerShell для развертывания этих политик и выполнения следующих задач:
- проверка того, правильно ли настроены параметры защиты паролем на компьютерах Windows и Linux;
- проверка срока действия сертификатов на виртуальных машинах Windows.
Перед выполнением этого скрипта используйте командлет Connect-AzAccount
, чтобы войти в систему. При запуске скрипта необходимо указать имя подписки, к которой будут применяться политики.
# Assign guest configuration policy.
param (
[Parameter(Mandatory=$true)]
[string] $SubscriptionName
)
$Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
$scope = "/subscriptions/" + $Subscription.Id
$PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
$CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"
New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus
New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus
Дальнейшие действия
Узнайте, как включить отслеживание и оповещение для критически важных изменений в файлах, службах, ПО и реестре.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по