встроенные определения Политика Azure для Azure Масштабируемые наборы виртуальных машин
Эта страница представляет собой индекс встроенных определений политик Политика Azure для Azure Масштабируемые наборы виртуальных машин. Дополнительные Политика Azure встроенные для других служб см. в Политика Azure встроенных определениях.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Microsoft.Compute;
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: на компьютерах должно быть включено управляемое удостоверение. | Ресурсы, управляемые automanage, должны иметь управляемое удостоверение. | Audit, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]: добавьте управляемое удостоверение, назначаемое пользователем, чтобы включить назначения гостевой конфигурации на виртуальных машинах | Эта политика добавляет управляемое удостоверение, назначаемое системой, на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией. Наличие управляемого удостоверения, назначаемого пользователем, является необходимым условием для всех назначений гостевой конфигурации. Удостоверение должно быть добавлено на компьютеры перед использованием каких-либо определений политики гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-preview |
| [предварительная версия]: назначение встроенного управляемого удостоверения, назначаемого пользователем, Масштабируемые наборы виртуальных машин | Создайте и назначьте Масштабируемым наборам виртуальных машин встроенное управляемое удостоверение, назначаемое пользователем, или назначьте предварительно созданное управляемое удостоверение, назначаемое пользователем, в большом масштабе. Более подробную документацию см. по адресу aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0 (предварительная версия) |
| [Предварительная версия]: назначение встроенного управляемого удостоверения, назначаемого пользователем, Виртуальные машины | Создайте и назначьте виртуальным машинам встроенное управляемое удостоверение, назначаемое пользователем, или назначьте предварительно созданное управляемое удостоверение, назначаемое пользователем, в большом масштабе. Более подробную документацию см. по адресу aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0 (предварительная версия) |
| [предварительная версия]: назначение профиля конфигурации автоуправляемого управления должно соответствовать требованиям | Ресурсы, управляемые automanage, должны иметь состояние "Соответствие" или "Соответствие". | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]. Для Управляемые диски необходимо включить azure Backup | Обеспечьте защиту Управляемые диски, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Агент безопасности Azure должен быть установлен в масштабируемых наборах виртуальных машин Linux | Установите агент безопасности Azure в масштабируемых наборах виртуальных машин Linux, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. Агент безопасности Azure должен быть установлен на виртуальных машинах Linux | Установите агент безопасности Azure на виртуальных машинах Linux, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. Агент безопасности Azure должен быть установлен в масштабируемых наборах виртуальных машин Windows | Установите агент безопасности Azure в масштабируемых наборах виртуальных машин Windows, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Предварительная версия]. Агент безопасности Azure должен быть установлен на виртуальных машинах Windows | Установите агент безопасности Azure на виртуальных машинах Windows, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [предварительная версия]: на виртуальных машинах должна быть включена диагностика загрузки | Для виртуальных машин Azure должна быть включена загрузка diagniostics. | Audit, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. На виртуальной машине Linux должно быть установлено расширение "Отслеживание изменений" | Установите расширение "Отслеживание изменений" на виртуальных машинах Linux, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. В масштабируемых наборах виртуальных машин Linux должно быть установлено расширение "Отслеживание изменений" | Установите расширение "Отслеживание изменений" в масштабируемых наборах виртуальных машин Linux, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. На виртуальной машине Windows должно быть установлено расширение "Отслеживание изменений" | Установите расширение "Отслеживание изменений" на виртуальных машинах Windows, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. В масштабируемых наборах виртуальных машин Windows должно быть установлено расширение "Отслеживание изменений" | Установите расширение "Отслеживание изменений" в масштабируемых наборах виртуальных машин Windows, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. Настройка агента Azure Defender для SQL на виртуальной машине | Настройка компьютеров Windows для автоматической установки агента Azure Defender для SQL, в котором установлен агент Azure Monitor. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Создайте группу ресурсов и рабочую область Log Analytics в том же регионе, где находится компьютер. Целевые виртуальные машины должны находиться в поддерживаемом расположении. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка расширения "Отслеживание изменений" для масштабируемых наборов виртуальных машин Linux | Настройте масштабируемые наборы виртуальных машин Linux для автоматической установки расширения "Отслеживание изменений", чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. Настройка расширения "Отслеживание изменений" для виртуальных машин Linux | Настройте виртуальные машины Linux для автоматической установки расширения "Отслеживание изменений", чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. Настройка расширения "Отслеживание изменений" для масштабируемых наборов виртуальных машин Windows | Настройте масштабируемые наборы виртуальных машин Windows для автоматической установки расширения "Отслеживание изменений", чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. Настройка расширения "Отслеживание изменений" для виртуальных машин Windows | Настройте виртуальные машины Windows для автоматической установки расширения "Отслеживание изменений", чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]: настройка Виртуальные машины Linux для связи с правилом сбора данных для ChangeTracking и инвентаризации | Разверните связь, чтобы связать виртуальные машины Linux с указанным правилом сбора данных, чтобы включить ChangeTracking и инвентаризацию. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка виртуальных машин Linux для установки AMA для ChangeTracking и инвентаризации с управляемым удостоверением, назначенным пользователем | Автоматизация развертывания расширения агента Azure Monitor на виртуальных машинах Linux для включения ChangeTracking и инвентаризации. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0-preview |
| [Предварительная версия]: настройка VMSS Linux для связи с правилом сбора данных для ChangeTracking и инвентаризации | Разверните связь, чтобы связать масштабируемые наборы виртуальных машин Linux с указанным правилом сбора данных, чтобы включить ChangeTracking и инвентаризацию. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка VMSS Linux для установки AMA для ChangeTracking и инвентаризации с управляемым удостоверением, назначаемого пользователем | Автоматизация развертывания расширения агента Azure Monitor в масштабируемых наборах виртуальных машин Linux для включения ChangeTracking и инвентаризации. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-preview |
| [Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Linux для автоматической установки агента безопасности Azure | Настройте соответствующие масштабируемые наборы виртуальных машин Linux для автоматической установки агента безопасности Azure. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые виртуальные машины должны находиться в поддерживаемом расположении. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Linux для автоматической установки расширения аттестации гостей | Настройка автоматической установки расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | DeployIfNotExists, Disabled | 6.1.0-preview |
| [Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматического включения безопасной загрузки | Настройка поддерживаемых виртуальных машинах Linux позволяет автоматически включать безопасную загрузку и предотвращать вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. | DeployIfNotExists, Disabled | 5.0.0-preview |
| [Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматической установки агента безопасности Azure | Настройка автоматической установки агента безопасности Azure на поддерживаемых виртуальных машинах Linux. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые виртуальные машины должны находиться в поддерживаемом расположении. | DeployIfNotExists, Disabled | 7.0.0-preview |
| [Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматической установки расширения аттестации гостей | Настройка автоматической установки расширения аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | DeployIfNotExists, Disabled | 7.1.0-preview |
| [Предварительная версия]. Настройка поддерживаемых виртуальных машин для автоматического включения vTPM | Настройка поддерживаемых виртуальных машин для автоматического включения vTPM. Он будет использоваться для измеряемой загрузки и других функций безопасности ОС, которым необходим модуль TPM. После включения vTPM можно использовать для проверки целостности загрузки. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. Настройка поддерживаемых компьютеров Windows для автоматической установки агента безопасности Azure | Настройка автоматической установки агента безопасности Azure на поддерживаемых компьютерах с Windows. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые виртуальные машины должны находиться в поддерживаемом расположении. | DeployIfNotExists, Disabled | 5.1.0-preview |
| [Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Windows для автоматической установки агента безопасности Azure | Настройте соответствующие масштабируемые наборы виртуальных машин Windows для автоматической установки агента безопасности Azure. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые масштабируемые наборы виртуальных машин Windows должны находиться в соответствующем расположении. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Windows для автоматической установки расширения аттестации гостей | Настройка автоматической установки расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Windows, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | DeployIfNotExists, Disabled | 4.1.0-preview |
| [Предварительная версия]. Настройка поддерживаемых виртуальных машин Windows для автоматического включения безопасной загрузки | Настройка поддерживаемых виртуальных машинах Windows позволяет автоматически включать безопасную загрузку и предотвращать вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. | DeployIfNotExists, Disabled | 3.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка поддерживаемых виртуальных машин Windows для автоматической установки расширения аттестации гостей | Настройка автоматической установки расширения аттестации гостей на поддерживаемых виртуальных машинах Windows, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | DeployIfNotExists, Disabled | 5.1.0-preview |
| [Предварительная версия]. Настройка назначаемого системой управляемого удостоверения для использования назначений Azure Monitor на виртуальных машинах | Настройте управляемое удостоверение, назначаемое системой, на виртуальных машинах, размещенных в Azure, которые поддерживаются Azure Monitor и не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение — необходимое условие для всех назначений Azure Monitor, и его следует добавить на компьютеры перед тем, как использовать любое расширение Azure Monitor. Целевые виртуальные машины должны находиться в поддерживаемом расположении. | Modify, Disabled | 6.0.0-preview |
| [Предварительная версия]. Настройка виртуальных машин, созданных с помощью образов из общей коллекции образов, для установки расширения аттестации гостей | Настройте виртуальные машины, созданные с помощью образов из общей коллекции образов, для автоматической установки расширения аттестации гостей, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Предварительная версия]. Настройка масштабируемых наборов виртуальных машин, созданных с помощью образов из общей коллекции образов, для установки расширения аттестации гостей | Настройте масштабируемые наборы виртуальных машин, созданные с помощью образов из общей коллекции образов, для автоматической установки расширения аттестации гостей, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Предварительная версия]: настройте Windows Server для отключения локальных пользователей. | Создает назначение гостевой конфигурации для настройки отключения локальных пользователей в Windows Server. Это гарантирует доступ только к серверам Windows с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | DeployIfNotExists, Disabled | 1.2.0 (предварительная версия) |
| [Предварительная версия]: настройка Windows Виртуальные машины для связи с правилом сбора данных для ChangeTracking и инвентаризации | Разверните связь, чтобы связать виртуальные машины Windows с указанным правилом сбора данных, чтобы включить ChangeTracking и инвентаризацию. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Настройка виртуальных машин Windows для установки AMA для ChangeTracking и инвентаризации с управляемым удостоверением, назначаемого пользователем | Автоматизация развертывания расширения агента Azure Monitor на виртуальных машинах Windows для включения ChangeTracking и инвентаризации. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: настройка Windows VMSS для связи с правилом сбора данных для ChangeTracking и инвентаризации | Развертывание ассоциации для связывания масштабируемых наборов виртуальных машин Windows с указанным правилом сбора данных для включения ChangeTracking и инвентаризации. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]: настройка Windows VMSS для установки AMA для ChangeTracking и инвентаризации с управляемым удостоверением, назначаемого пользователем | Автоматизация развертывания расширения агента Azure Monitor в масштабируемых наборах виртуальных машин Windows для включения ChangeTracking и инвентаризации. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Развертывание агента Microsoft Defender для конечной точки на виртуальных машинах Linux | Развертывает агент Microsoft Defender для конечной точки в соответствующих образах виртуальных машин Linux. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
| [Предварительная версия]. Развертывание агента Microsoft Defender для конечной точки на виртуальных машинах Windows | Развертывает Microsoft Defender для конечной точки в соответствующих образах виртуальных машин Windows. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [предварительная версия]: включение назначаемого системой удостоверения виртуальной машины SQL | Включите назначаемое системой удостоверение в масштабе виртуальных машин SQL. Эту политику необходимо назначить на уровне подписки. Назначение на уровне группы ресурсов не будет работать должным образом. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Linux. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Linux. | AuditIfNotExists, Disabled | 5.1.0-preview |
| [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых виртуальных машинах, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. | AuditIfNotExists, Disabled | 4.0.0 (предварительная версия) |
| [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Windows. | AuditIfNotExists, Disabled | 3.1.0-preview |
| [Предварительная версия]: компьютеры под управлением Linux должны соответствовать требованиям базовой конфигурации безопасности Azure для узлов Docker | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютер настроен неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Azure для узлов Docker. | AuditIfNotExists, Disabled | 1.2.0 (предварительная версия) |
| [предварительная версия]: компьютеры Linux должны соответствовать требованиям stIG для вычислений Azure. | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер не настроен правильно для одной из рекомендаций в требованиях к соответствию STIG для вычислений Azure. DISA (Агентство оборонных информационных систем) предоставляет технические руководства STIG (Руководство по технической реализации безопасности) для защиты вычислительной ОС в порядке, требуемом Министерством обороны (DoD). Дополнительные сведения: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0 (предварительная версия) |
| [Предварительная версия]: компьютеры Linux с установленной OMI должны иметь версию 1.6.8-1 или более позднюю версию. | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. В связи с исправлением безопасности, включенным в версию 1.6.8-1 пакета OMI для Linux, все компьютеры должны быть обновлены до последней версии. Обновите приложения и пакеты, использующие OMI, для устранения проблемы. Дополнительные сведения см. в разделе https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0 (предварительная версия) |
| [предварительная версия]: виртуальные машины Linux должны использовать только подписанные и доверенные компоненты загрузки | Все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) должны быть подписаны доверенными издателями. Defender для облака обнаружил ненадежные компоненты загрузки ОС на одном или нескольких компьютерах Linux. Чтобы защитить компьютеры от потенциально вредоносных компонентов, добавьте их в список разрешений или удалите обнаруженные компоненты. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Виртуальные машины Linux должны использовать безопасную загрузку | Для защиты от установки rootkit-программ и комплектов загрузки на основе вредоносного ПО и буткитов, включите безопасную загрузку на поддерживаемых виртуальных машинах Linux. Безопасная загрузка гарантирует, что будет разрешаться запуск только подписанных операционных систем и драйверов. Эта оценка применяется только к виртуальным машинам Linux, на которых установлен агент Azure Monitor. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1-preview |
| [Предварительная версия]. На компьютерах должны быть закрыты порты, которые могут раскрывать векторы атаки | Условия использования Azure запрещают использование служб Azure способом, который может привести к повреждению, отключению, перегрузке или затруднению использования любого сервера Майкрософт или сети. Для обеспечения безопасности открытые порты, выявленные этой рекомендацией, необходимо закрыть. Для каждого обнаруженного порта в рекомендации также содержится пояснение потенциальной угрозы. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: Управляемые диски должна быть устойчивой в зоне | Управляемые диски можно настроить как выравнивание между зонами, избыточное по зонам, так и ни одно из этих компонентов. Управляемые диски с точно одной назначением зоны выровнены по зонам. Управляемые диски с именем SKU, который заканчивается в ZRS, — это избыточность зоны. Эта политика помогает выявлять и применять эти конфигурации устойчивости для Управляемые диски. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка | Включение безопасной загрузки на поддерживаемых виртуальных машинах Windows помогает предотвратить вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. | Audit, Disabled | 4.0.0 (предварительная версия) |
| [Предварительная версия]. На компьютерах (под управлением Центра обновления) должны быть установлены обновления системы | На ваших компьютерах не установлены критические обновления, а также обновления системы и безопасности. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: Масштабируемые наборы виртуальных машин должна быть устойчивой в зоне | Масштабируемые наборы виртуальных машин можно настроить как выравнивание между зонами, избыточность между зонами, так и ни одно из этих компонентов. Масштабируемые наборы виртуальных машин, которые имеют ровно одну запись в массиве зон, считаются выровненными по зонам. В отличие от этого, Масштабируемые наборы виртуальных машин с 3 или более записями в массиве зон и емкостью не менее 3 распознаются как избыточное по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Аттестация гостя виртуальных машин должна находиться в работоспособном состоянии | Аттестация гостя выполняется путем отправки доверенного журнала (TCGLog) на сервер аттестации. Сервер использует эти журналы для определения надежности компонентов загрузки. Эта оценка предназначена для выявления компромиссов в цепочке загрузки, которая может быть результатом заражения буткитом или руткитом. Эта оценка применяется только к надежным виртуальным машинам с включенным запуском, на которых установлено расширение аттестации гостя. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]: Виртуальные машины должны быть выровнены по зонам | Виртуальные машины можно настроить для выравнивания зоны или нет. Они считаются выровненными зонами, если у них есть только одна запись в массиве зон. Эта политика гарантирует, что они настроены для работы в пределах одной зоны доступности. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM | Включение виртуального устройства TPM на поддерживаемых виртуальных машинах, чтобы упростить измеряемую загрузку и реализацию других функций безопасности ОС, для которых требуется доверенный платформенный модуль. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском. | Audit, Disabled | 2.0.0-preview |
| [предварительная версия]: компьютеры Windows должны соответствовать требованиям соответствия STIG для вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в нормативных требованиях STIG для Вычислений Azure. DISA (Агентство оборонных информационных систем) предоставляет технические руководства STIG (Руководство по технической реализации безопасности) для защиты вычислительной ОС в порядке, требуемом Министерством обороны (DoD). Дополнительные сведения: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети | Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. | AuditIfNotExists, Disabled | 3.0.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Разрешенные номера SKU размеров виртуальных машин | Эта политика позволяет задать набор номеров SKU размеров виртуальных машин, которые может развертывать ваша организация. | Запрет | 1.0.1 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, Disabled | 3.1.0 |
| Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists, Disabled | 3.1.0 |
| Аудит компьютеров Linux без заданных установленных приложений | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если ресурс Chef InSpec указывает, что не установлен один или несколько указанных в параметре пакетов. | AuditIfNotExists, Disabled | 4.2.0 |
| Аудит компьютеров Linux с учетными записями без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. | AuditIfNotExists, Disabled | 3.1.0 |
| Аудит компьютеров Linux с заданными установленными приложениями | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если ресурс Chef InSpec указывает, что установлен один или несколько указанных в параметре пакетов. | AuditIfNotExists, Disabled | 4.2.0 |
| Аудит виртуальных машин без аварийного восстановления | Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Аудит виртуальных машин, которые не используют управляемые диски | Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. | audit | 1.0.0 |
| Аудит компьютеров с Windows без любого из указанных участников в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если в локальной группе администраторов отсутствует один или несколько участников, указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров с Windows с сетевыми подключениями | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если сетевое подключение по некоторому IP-адресу и порту TCP не соответствует параметру политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров с Windows с несоответствующей конфигурацией DSC | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если команда Windows PowerShell Get-DSCConfigurationStatus возвращает сведения о том, что конфигурация DSC для компьютера не соответствует требованиям. | auditIfNotExists | 3.0.0 |
| Аудит компьютеров с Windows без надлежащего подключения агента Log Analytics | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если на них не установлен агент либо агент установлен, но COM-объект AgentConfigManager.MgmtSvcCfg сообщает, что этот агент зарегистрирован в рабочей области с идентификатором, отличным от указанного в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров с Windows без заданных установленных и запущенных служб | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если выполнение команды Windows PowerShell Get-Service возвращает результат без имени службы с соответствующим состоянием, которое указано в параметре политики. | auditIfNotExists | 3.0.0 |
| Аудит компьютеров с Windows без включенной последовательной консоли Windows | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если на них не установлено программное обеспечение последовательной консоли или номер и скорость порта EMS имеют не те значения, которые указаны в параметрах политики. | auditIfNotExists | 3.0.0 |
| Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Аудит компьютеров с Windows без присоединения к указанному домену | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если значение свойства Domain в классе WMI win32_computersystem не совпадает с тем, которое указано в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows, на которых не задан указанный часовой пояс | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если значение свойства StandardName в классе WMI Win32_TimeZone не совпадает с выбранным часовым поясом в параметре политики. | auditIfNotExists | 3.0.0 |
| Аудит компьютеров Windows с сертификатами, срок действия которых истекает в течение указанного числа дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если срок действия сертификатов в указанном хранилище не входит в диапазон числа дней, заданных в качестве параметра. Также эта политика позволяет проверять только конкретные сертификаты или исключать из проверки конкретные сертификаты, а также сообщать о сертификатах с истекшим сроком действия. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows без указанных сертификатов в доверенном корневом центре сертификации | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если хранилище доверенных корневых сертификатов (CERT:\LocalMachine\Root) на них не содержит один или несколько сертификатов, указанных в параметре политики. | auditIfNotExists | 3.0.0 |
| Аудит компьютеров Windows, не имеющих максимального срока действия пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет максимального возраста пароля, установленного для указанного количества дней. Значение по умолчанию для максимального срока действия пароля — 70 дней | AuditIfNotExists, Disabled | 2.1.0 |
| Аудит компьютеров Windows, не имеющих минимального возраста пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет минимального возраста пароля, установленного на указанное количество дней. Значение по умолчанию для минимального возраста пароля — 1 день | AuditIfNotExists, Disabled | 2.1.0 |
| Аудит компьютеров Windows без включенного параметра сложности пароля | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры Windows считаются несоответствующими, если на них не установлен параметр сложности пароля. | AuditIfNotExists, Disabled | 2.0.0 |
| Аудит компьютеров Windows, на которых отсутствует указанная политика выполнения Windows PowerShell | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если команда PowerShell Get-ExecutionPolicy Windows возвращает значение, отличное от выбранного в параметре политики. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит компьютеров Windows, на которых не установлены указанные модули Windows PowerShell | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если модуль недоступен в расположении, указанном в переменной среды PSModulePath. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые не ограничивают минимальную длину пароля указанным количеством символов. Значение по умолчанию для минимальной длины пароля — 14 символов | AuditIfNotExists, Disabled | 2.1.0 |
| Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. | AuditIfNotExists, Disabled | 2.0.0 |
| Аудит компьютеров Windows без установленных указанных приложений | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если имя приложения не найдено ни по одному из следующих путей реестра: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows с дополнительными учетными записями в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит участников, не указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows, которые не были перезапущены в течение указанного числа дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если свойство WMI LastBootUpTime в классе Win32_Operatingsystem выходит за пределы диапазона дней, указанного в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows с установленными указанными приложениями | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если имя приложения найдено по одному из следующих путей реестра: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows с указанными участниками в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит одного или нескольких участников, указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит виртуальных машин Windows с отложенной перезагрузкой | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если находятся в состоянии ожидания перезагрузки по любой из следующих причин: обслуживание на основе компонентов, обновление Windows, ожидание переименования файлов, ожидание переименования компьютера, ожидание перезагрузки диспетчера конфигураций. Каждое обнаружение имеет уникальный путь реестра. | auditIfNotExists | 2.0.0 |
| При аутентификации на компьютерах Linux должны использоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Экземпляры ролей облачных служб (расширенная поддержка) должны быть надежно настроены | Защитите экземпляры ролей облачных служб (расширенная поддержка) от атак, убедившись, что они не подвержены уязвимостям в ОС. | AuditIfNotExists, Disabled | 1.0.0 |
| Для экземпляров ролей облачных служб (расширенная поддержка) должно быть установлено решение Endpoint Protection | Защитите экземпляры ролей облачных служб (расширенная поддержка) от угроз и уязвимостей, установив для них решение Endpoint Protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Для экземпляров ролей облачных служб (расширенная поддержка) должны быть установлены обновления системы | Защитите экземпляры ролей облачных служб (расширенная поддержка), установив для них последние обновления безопасности и важные обновления. | AuditIfNotExists, Disabled | 1.0.0 |
| Настройка Azure Defender для серверов для отключения всех ресурсов (уровня ресурсов) | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по обеспечению защиты, а также оповещения о подозрительных действиях. Эта политика отключит план Defender для серверов для всех ресурсов (виртуальных машин, виртуальных машин и компьютеров ARC) в выбранной область (подписке или группе ресурсов). | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка Azure Defender для серверов для отключения ресурсов (уровня ресурсов) с выбранным тегом | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по обеспечению защиты, а также оповещения о подозрительных действиях. Эта политика отключит план Defender для серверов для всех ресурсов (виртуальных машин, vmSSs и ARC Компьютеров), имеющих выбранное имя тега и значения тега. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка в Azure Defender для серверов для включения (подплана P1) для всех ресурсов (уровня ресурсов) с выбранным тегом | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по обеспечению защиты, а также оповещения о подозрительных действиях. Эта политика включает план Defender для серверов (с подпланом P1) для всех ресурсов (виртуальных машин и компьютеров ARC), имеющих выбранное имя тега и значения тега. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка Azure Defender для серверов для включения (с подпланом P1) для всех ресурсов (уровня ресурсов) | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по обеспечению защиты, а также оповещения о подозрительных действиях. Эта политика включает план Defender для серверов (с подпланом P1) для всех ресурсов (виртуальных машин и компьютеров ARC) в выбранной область (подписке или группе ресурсов). | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка резервного копирования виртуальных машин с указанным тегом в новое хранилище Служб восстановления с политикой по умолчанию | Принудительно выполните резервное копирование всех виртуальных машин, развернув хранилище Служб восстановления в том же расположении и группе ресурсов, где находится виртуальная машина. Это полезно, когда различным отделам по работе с приложениями в организации назначаются отдельные группы ресурсов и требуется управлять собственными операциями резервного копирования и восстановления. При необходимости можно включить виртуальные машины, содержащие указанный тег, для управления областью назначения. См. раздел https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Настройка резервного копирования виртуальных машин с указанным тегом в существующее хранилище Служб восстановления в том же расположении | Принудительно выполните резервное копирование всех виртуальных машин, создав их резервную копию в существующем центральном хранилище Служб восстановления в том же расположении и подписке, где находится виртуальная машина. Это полезно, если в организации есть центральная рабочая группа, управляющая резервными копиями всех ресурсов в подписке. При необходимости можно включить виртуальные машины, содержащие указанный тег, для управления областью назначения. См. раздел https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Настройка резервного копирования виртуальных машин без указанного тега в новое хранилище Служб восстановления с политикой по умолчанию | Принудительно выполните резервное копирование всех виртуальных машин, развернув хранилище Служб восстановления в том же расположении и группе ресурсов, где находится виртуальная машина. Это полезно, когда различным отделам по работе с приложениями в организации назначаются отдельные группы ресурсов и требуется управлять собственными операциями резервного копирования и восстановления. При необходимости можно исключить виртуальные машины, содержащие указанный тег, из управления областью назначения. См. раздел https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Настройка процедуры резервное копирование на виртуальных машинах без заданного тега в существующее хранилище служб восстановления в том же месте | Принудительно выполните резервное копирование всех виртуальных машин, создав их резервную копию в существующем центральном хранилище Служб восстановления в том же расположении и подписке, где находится виртуальная машина. Это полезно, если в организации есть центральная рабочая группа, управляющая резервными копиями всех ресурсов в подписке. При необходимости можно исключить виртуальные машины, содержащие указанный тег, из управления областью назначения. См. раздел https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Настройка аварийного восстановления на виртуальных машинах путем включения репликации с помощью Azure Site Recovery | Виртуальные машины без конфигураций аварийного восстановления уязвимы к сбоям и другим прерываниям работы. Если на виртуальной машине еще не настроено аварийное восстановление, оно будет инициировано путем включения репликации с использованием заданных конфигураций для обеспечения непрерывности бизнес-процессов. При необходимости можно включить или исключить виртуальные машины, содержащие указанный тег, для управления областью назначения. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Настройте ресурсы доступа к диску с помощью частных конечных точек | Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки с ресурсами доступа к диску, вы можете добиться снижения риска утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка компьютеров Linux для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать виртуальные машины Linux, масштабируемые наборы виртуальных машин и компьютеры Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 6.3.0 |
| Настройте Linux Server для отключения локальных пользователей. | Создает назначение гостевой конфигурации для настройки отключения локальных пользователей на сервере Linux Server. Это обеспечивает доступ только к серверам Linux с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | DeployIfNotExists, Disabled | 1.3.0-preview |
| Настройка Масштабируемые наборы виртуальных машин Linux для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать масштабируемые наборы виртуальных машин Linux с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 4.2.0 |
| Настройка масштабируемых наборов виртуальных машин Linux для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемого системой | Автоматизируйте развертывание расширения "Агент Azure Monitor" в масштабируемых наборах виртуальных машин Linux для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Настройка масштабируемых наборов виртуальных машин Linux для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемого пользователем | Автоматизируйте развертывание расширения "Агент Azure Monitor" в масштабируемых наборах виртуальных машин Linux для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Настройка Виртуальные машины Linux для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать виртуальные машины Linux с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 4.2.0 |
| Настройка виртуальных машин Linux для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемого системой | Автоматизируйте развертывание расширения "Агент Azure Monitor" на виртуальных машинах Linux для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Настройка виртуальных машин Linux для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемого пользователем | Автоматизируйте развертывание расширения "Агент Azure Monitor" на виртуальных машинах Linux для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Настройка компьютеров для получения поставщика оценки уязвимостей | Azure Defender предоставляет возможность выполнять проверку уязвимостей компьютеров без дополнительных затрат. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Центре безопасности. После включения этой политики Azure Defender автоматически развернет поставщик оценки уязвимостей Qualys на всех поддерживаемых компьютерах, на которых он еще не установлен. | DeployIfNotExists, Disabled | 4.0.0 |
| Настройте управляемые диски для отключения доступа к общедоступной сети | Отключите доступ к общедоступной сети для управляемого дискового ресурса, чтобы он не был доступен через общедоступную сеть Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/disksprivatelinksdoc. | Modify, Disabled | 2.0.0 |
| Настройка периодических проверка для отсутствующих обновлений системы на виртуальных машинах Azure | Настройте автоматическую оценку (каждые 24 часа) для обновлений ОС на собственных виртуальных машинах Azure. Вы можете управлять областью назначения в соответствии с подпиской, группой ресурсов, расположением или тегом виртуальной машины. Дополнительные сведения см. в следующих разделах: для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
| Настройка протоколов безопасной связи (TLS 1.1 или TLS 1.2) на компьютерах Windows | Создает назначение гостевой конфигурации для настройки указанной защищенной версии протокола (TLS 1.1 или TLS 1.2) на компьютере Windows. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка SQL Виртуальные машины для автоматической установки агента Azure Monitor | Автоматизация развертывания расширения агента Azure Monitor в Виртуальные машины Windows SQL. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Настройка SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL | Настройте windows SQL Виртуальные машины для автоматической установки расширения Microsoft Defender для SQL. Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). | DeployIfNotExists, Disabled | 1.3.0 |
| Настройка SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL и DCR с рабочей областью Log Analytics | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов, правило сбора данных и рабочую область Log Analytics в том же регионе, что и компьютер. | DeployIfNotExists, Disabled | 1.5.0 |
| Настройка SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL и DCR с определяемой пользователем рабочей областью LA | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. | DeployIfNotExists, Disabled | 1.5.0 |
| Настройка рабочей области Microsoft Defender для Log Analytics для SQL | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и рабочую область Log Analytics в том же регионе, что и компьютер. | DeployIfNotExists, Disabled | 1.3.0 |
| Настройка часового пояса на компьютерах с Windows | Эта политика создает назначение гостевой конфигурации для установки указанного часового пояса на виртуальных машинах с Windows. | deployIfNotExists | 2.1.0 |
| Настройка виртуальных машин для подключения к Автоматическому управлению Azure | Служба "Автоматическое управление Azure" регистрирует, настраивает и отслеживает виртуальные машины с использованием рекомендации, как определено в Microsoft Cloud Adoption Framework для Azure. Используйте эту политику для применения автоматического управления в выбранной области. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Настройка виртуальных машин для подключения к Автоматическому управлению Azure с настраиваемым профилем конфигурации | Служба "Автоматическое управление Azure" регистрирует, настраивает и отслеживает виртуальные машины с использованием рекомендации, как определено в Microsoft Cloud Adoption Framework для Azure. Используйте эту политику для применения Автоматического управления с собственным настраиваемым профилем конфигурации к выбранной области. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Настройка компьютеров Windows для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать виртуальные машины Windows, масштабируемые наборы виртуальных машин и компьютеры Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 4.5.0 |
| Настройка Масштабируемые наборы виртуальных машин Windows для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать масштабируемые наборы виртуальных машин Windows с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 3.3.0 |
| Настройка масштабируемых наборов виртуальных машин Windows для запуска агента Azure Monitor с помощью управляемого удостоверения, назначаемого системой | Автоматизируйте развертывание расширения "Агент Azure Monitor" в масштабируемых наборах виртуальных машин Windows для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
| Настройка масштабируемых наборов виртуальных машин Windows для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемого пользователем | Автоматизируйте развертывание расширения "Агент Azure Monitor" в масштабируемых наборах виртуальных машин Windows для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| Настройка Виртуальные машины Windows для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать виртуальные машины Windows с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | DeployIfNotExists, Disabled | 3.3.0 |
| Настройка виртуальных машин Windows для запуска агента Azure Monitor с помощью управляемого удостоверения, назначаемого системой | Автоматизируйте развертывание расширения "Агент Azure Monitor" на виртуальных машинах Windows для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 4.4.0 |
| Настройка виртуальных машин Windows для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемого пользователем | Автоматизируйте развертывание расширения "Агент Azure Monitor" на виртуальных машинах Windows для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| Создание и назначение встроенного управляемого удостоверения, назначаемого пользователем | Создайте и назначьте встроенное управляемое удостоверение, назначаемое пользователем, в масштабе виртуальных машин SQL. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.5.0 |
| Dependency Agent должен быть включен для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке, а агент не установлен. Список образов ОС обновляется по мере расширения поддержки. | AuditIfNotExists, Disabled | 2.0.0 |
| Dependency Agent должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несоответствующие, если образ виртуальной машины не находится в заданном списке, а агент не установлен. Список образов ОС обновляется по мере расширения поддержки. | AuditIfNotExists, Disabled | 2.0.0 |
| Развертывание — настройка Dependency Agent для включения в масштабируемых наборах виртуальных машин Windows | Развертывание агента зависимостей для масштабируемых наборов виртуальных машин Windows, если образ виртуальной машины находится в заданном списке, а агент не установлен. Если для параметра upgradePolicy масштабируемого набора установлено значение "Вручную", необходимо применить расширение ко всем виртуальным машинам в наборе, обновив их. | DeployIfNotExists, Disabled | 3.1.0 |
| Развертывание — настройка Dependency Agent для включения в виртуальных машинах Windows | Развертывание Dependency Agent для виртуальных машин Windows, если образ виртуальной машины находится в заданном списке, а агент не установлен. | DeployIfNotExists, Disabled | 3.1.0 |
| Развертывание — настройка расширения Log Analytics в масштабируемых наборах виртуальных машин Windows | Разверните расширение Log Analytics для масштабируемых наборов виртуальных машин Windows, если образ виртуальной машины находится в заданном списке и расширение не установлено. Если для параметра upgradePolicy масштабируемого набора установлено значение "Вручную", необходимо применить расширение ко всем виртуальным машинам в наборе, обновив их. Уведомление о прекращении поддержки: агент Log Analytics скоро станет нерекомендуемым, и его поддержка прекратится после 31 августа 2024 года. До этой даты необходимо перейти на заменяющее его решение — агент Azure Monitor. | DeployIfNotExists, Disabled | 3.1.0 |
| Развертывание — настройка расширения Log Analytics в виртуальных машинах Windows | Разверните расширение Log Analytics для виртуальных машин Windows, если образ виртуальной машины находится в заданном списке и расширение не установлено. Уведомление о прекращении поддержки: агент Log Analytics скоро станет нерекомендуемым, и его поддержка прекратится после 31 августа 2024 года. До этой даты необходимо перейти на заменяющее его решение — агент Azure Monitor. | DeployIfNotExists, Disabled | 3.1.0 |
| Развертывание расширения IaaSAntimalware (Майкрософт) по умолчанию для Windows Server | Эта политика развертывает расширение IaaSAntimalware (Майкрософт) с конфигурацией по умолчанию, если для виртуальной машины не настроено расширение защиты от вредоносных программ. | deployIfNotExists | 1.1.0 |
| Развертывание Dependency Agent для масштабируемых наборов виртуальных машин Linux | Развертывание Dependency Agent для Масштабируемых наборов виртуальных машин Linux, если образ виртуальной машины (ОС) есть в заданном списке и агент не установлен. Примечание. Если параметру upgradePolicy масштабируемого набора присвоено значение Manual, необходимо применить расширение для всех виртуальных машин в наборе, вызвав их обновление. В интерфейсе командной строки для этого потребовалось бы ввести команду az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Развертывание Dependency Agent для включения в масштабируемых наборах виртуальных машин Linux с параметрами агента мониторинга Azure | Разверните Dependency Agent для масштабируемых наборов виртуальных машин Linux с параметрами агента мониторинга Azure в случаях, когда образ виртуальной машины (ОС) находится в заданном списке, а агент не установлен. Примечание. Если параметру upgradePolicy масштабируемого набора присвоено значение Manual, необходимо применить расширение для всех виртуальных машин в наборе, вызвав их обновление. В интерфейсе командной строки для этого потребовалось бы ввести команду az vmss update-instances. | DeployIfNotExists, Disabled | 3.1.1 |
| Развертывание Dependency Agent для виртуальных машин Linux | Разверните Dependency Agent для виртуальных машин Linux, если образ виртуальной машины (ОС) находится в заданном списке, а агент не установлен. | deployIfNotExists | 5.0.0 |
| Развертывание Dependency Agent для включения в виртуальных машинах Linux с параметрами агента мониторинга Azure | Развертывание Dependency Agent для виртуальных машин Linux в случаях, когда образ виртуальной машины (ОС) находится в заданном списке, а агент не установлен. | DeployIfNotExists, Disabled | 3.1.1 |
| Развертывание Dependency Agent для включения в масштабируемых наборах виртуальных машин Windows с параметрами агента мониторинга Azure | Разверните Dependency Agent для масштабируемых наборов виртуальных машин Windows с параметрами агента мониторинга Azure в случаях, когда образ виртуальной машины находится в заданном списке, а агент не установлен. Если для параметра upgradePolicy масштабируемого набора установлено значение "Вручную", необходимо применить расширение ко всем виртуальным машинам в наборе, обновив их. | DeployIfNotExists, Disabled | 1.2.2 |
| Развертывание Dependency Agent для включения на виртуальных машинах Windows с параметрами агента мониторинга Azure | Развертывание Dependency Agent для виртуальных машин Windows в случаях, когда образ виртуальной машины находится в заданном списке, а агент не установлен. | DeployIfNotExists, Disabled | 1.2.2 |
| Разверните расширение Log Analytics для масштабируемых наборов виртуальных машин Linux. См. уведомление об устаревании ниже. | Разверните расширение Log Analytics для масштабируемых наборов виртуальных машин Linux, если образ виртуальной машины (ОС) находится в заданном списке и расширение не установлено. Примечание. Если параметру upgradePolicy масштабируемого набора присвоено значение Manual, необходимо применить расширение для всех виртуальных машин в наборе, вызвав их обновление. В интерфейсе командной строки для этого потребовалось бы ввести команду az vmss update-instances. Уведомление об устаревании. Поддержка агента Log Analytics будет прекращена после 31 августа 2024 г. До этой даты необходимо перейти на заменяющее решение — агент Azure Monitor. | deployIfNotExists | 3.0.0 |
| Разверните расширение Log Analytics для виртуальных машин Linux. См. уведомление об устаревании ниже. | Разверните расширение Log Analytics для виртуальных машин Linux, если образ виртуальной машины (ОС) есть в заданном списке и расширение не установлено. Уведомление о прекращении поддержки: агент Log Analytics скоро станет нерекомендуемым, и его поддержка прекратится после 31 августа 2024 года. До этой даты необходимо перейти на заменяющее решение — агент Azure Monitor. | deployIfNotExists | 3.0.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Диски и образ ОС должны поддерживать TrustedLaunch | TrustedLaunch повышает безопасность виртуальной машины, требующей поддержки диска ОС и образа ОС (2-го поколения). Дополнительные сведения о ДоверенномLaunch см. на сайте https://aka.ms/trustedlaunch | Audit, Disabled | 1.0.0 |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны на следующей странице: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Документация по оценка защиты конечных точек представлена на следующей странице: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо установить Endpoint Protection на ваших компьютерах | Чтобы защитить компьютеры от угроз и уязвимостей, установите поддерживаемое решение для защиты конечных точек. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection | Аудит наличия и работоспособности решения защиты конечных точек в ваших масштабируемых наборах виртуальных машин для защиты их от угроз и уязвимостей. | AuditIfNotExists, Disabled | 3.0.0 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Для виртуальных машин Windows Server Azure Edition должно быть включено горячее исправление | Сократите число перезагрузок и быстро устанавливайте обновления с помощью горячих исправлений. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/automanage/automanage-hotpatch. | Audit, Deny, Disabled | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| На компьютерах Linux должны быть разрешены только локальные учетные записи | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. При управлении удостоверениями рекомендуется использовать управление учетными записями пользователей с помощью Azure Active Directory. Сокращение числа учетных записей на локальном компьютере помогает предотвратить рост числа удостоверений, управляемых за пределами центральной системы. Компьютеры не соответствуют требованиям, если существуют локальные учетные записи пользователей, которые включены и не указаны в параметре политики. | AuditIfNotExists, Disabled | 2.2.0 |
| В масштабируемых наборах виртуальных машин Linux должен быть установлен агент Azure Monitor | Для мониторинга и защиты масштабируемых наборов виртуальных машин Linux должен быть развернут агент Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Эта политика будет проводить аудит масштабируемых наборов виртуальных машин с поддерживаемыми образами ОС в поддерживаемых регионах. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost. | Хотя ОС и диски данных виртуальной машины шифруются по умолчанию с помощью управляемых платформой ключей; Диски ресурсов (временные диски), кэши данных и поток данных между вычислительными и служба хранилища ресурсами не шифруются. Чтобы устранить проблему, используйте Шифрование дисков Azure или EncryptionAtHost. Ознакомьтесь https://aka.ms/diskencryptioncomparison с предложениями шифрования. Для этой политики необходимо развернуть два предварительных требования для назначения политики область. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
| На виртуальных машинах Linux должен быть установлен агент Azure Monitor | Для мониторинга и защиты виртуальных машин Linux должен быть развернут агент Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Эта политика будет проводить аудит виртуальных машин с поддерживаемыми образами ОС в поддерживаемых регионах. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Локальные методы проверки подлинности должны быть отключены на компьютерах Linux | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если на серверах Linux нет локальных методов проверки подлинности. Это необходимо для проверки того, что серверы Linux могут получать доступ только с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | AuditIfNotExists, Disabled | 1.2.0 (предварительная версия) |
| Локальные методы проверки подлинности должны быть отключены на серверах Windows | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если на серверах Windows нет локальных методов проверки подлинности. Это необходимо для проверки того, что серверы Windows могут получать доступ только с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| Для экземпляров ролей облачных служб (расширенная поддержка) должен быть установлен агент Log Analytics | Центр безопасности собирает данные из экземпляров ролей облачных служб (расширенная поддержка) для отслеживания угроз и уязвимостей в системе безопасности. | AuditIfNotExists, Disabled | 2.0.0 |
| На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Эта политика выполняет аудит всех виртуальных машин Windows и Linux, если не установлен агент Log Analytics, который Центр безопасности использует для отслеживания уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Центр безопасности собирает данные с виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1 |
| Компьютеры должны быть настроены для периодического проверка для отсутствующих обновлений системы | Чтобы периодические оценки отсутствующих системных обновлений запускались автоматически каждые 24 часа, для свойства AssessmentMode должно быть задано значение "AutomaticByPlatform". Дополнительные сведения о свойстве AssessmentMode см. в следующих разделах: для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
| Компьютеры должны иметь разрешенные секретные выводы | Проверяет виртуальные машины, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов на виртуальных машинах. | AuditIfNotExists, Disabled | 1.0.2 |
| Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента | Клиенты с высокими требованиями к безопасности, которых беспокоят риски компрометации тех или иных алгоритмов, реализаций или ключей шифрования, могут использовать дополнительный уровень шифрования с другим режимом или алгоритмом на уровне инфраструктуры с применением ключей, управляемых платформой. Двойное шифрование является обязательным для наборов шифрования дисков. Узнайте больше по адресу https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| Управляемые диски должны отключать доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, тем самым обеспечивая, что управляемый диск не будет отображаться в общедоступной сети Интернет. Создание частных конечных точек может ограничить доступ к управляемым дискам. См. дополнительные сведения: https://aka.ms/disksprivatelinksdoc. | Audit, Disabled | 2.0.0 |
| Управляемые диски должны использовать конкретные наборы шифрования для ключей под управлением клиента | Требование использовать конкретные наборы шифрования для управляемых дисков позволяет вам контролировать ключи для шифрования неактивных данных. Вы можете выбрать разрешенные наборы шифрования, а все прочие при подключении к диску будут отклоняться. Узнайте больше по адресу https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | Эта политика выполняет аудит всех виртуальных машин Windows Server, на которых не развернуто расширение IaaSAntimalware (Майкрософт). | AuditIfNotExists, Disabled | 1.1.0 |
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Должны быть установлены только утвержденные расширения виртуальных машин | Эта политика управляет неутвержденными расширениями виртуальных машин. | Audit, Deny, Disabled | 1.0.0 |
| Диски ОС и диски данных должны быть зашифрованы ключом под управлением клиента | Использование ключей, управляемых клиентом, для управления шифрованием неактивного управляемых дисков. По умолчанию неактивные данные шифруются с помощью ключей, управляемых платформой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Необходимо включить назначения частных конечных точек для гостевой конфигурации | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к гостевой конфигурации для виртуальных машин. Виртуальные машины будут соответствовать требованиям только при наличии тега "EnablePrivateNetworkGC". Этот тег обеспечивает безопасную связь через частное подключение к гостевой конфигурации для виртуальных машин. Частное подключение разрешает доступ к трафику, поступающему только из известных сетей, и запрещает доступ со всех других IP-адресов, включая адреса в Azure. | Audit, Deny, Disabled | 1.1.0 |
| Защита данных с помощью требований к проверке подлинности при экспорте или отправке на диск или моментальный снимок. | При использовании URL-адреса экспорта и отправки система проверка, если у пользователя есть удостоверение в Azure Active Directory и есть необходимые разрешения для экспорта и отправки данных. Обратитесь к aka.ms/DisksAzureADAuth. | Modify, Disabled | 1.0.0 |
| Требовать автоматическое исправление образов ОС в масштабируемых наборах виртуальных машин | Эта политика обеспечивает принудительное автоматическое применение исправлений к образам ОС в масштабируемых наборах виртуальных машин. Это позволяет поддерживать защиту виртуальных машин за счет ежемесячного применения последних обновлений для системы безопасности. | запретить | 1.0.0 |
| Планирование повторяющихся обновлений с помощью Диспетчера обновлений Azure | Диспетчер обновлений Azure можно использовать в Azure для сохранения расписания повторяющегося развертывания для установки обновлений операционной системы для компьютеров Windows Server и Linux в Azure, в локальных средах и в других облачных средах, подключенных с помощью серверов с поддержкой Azure Arc. Эта политика также изменит режим исправления для виртуальной машины Azure на AutomaticByPlatform. Дополнительные сведения приведены здесь: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
| Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должны быть установлены обновления системы | Аудит отсутствия обновлений для системы безопасности и критических обновлений, которые необходимо установить для защиты ваших масштабируемых наборов виртуальных машин с Windows и Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| На компьютерах должны быть установлены обновления системы | Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 4.0.0 |
| Устаревшее расширение Log Analytics не должно быть установлено в масштабируемых наборах виртуальных машин Linux. | Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего шага миграции из устаревших агентов в агент Azure Monitor. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента в масштабируемых наборах виртуальных машин Linux. Подробнее: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Устаревшее расширение Log Analytics не должно быть установлено на виртуальных машинах Linux | Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего шага миграции из устаревших агентов в агент Azure Monitor. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на виртуальных машинах Linux. Подробнее: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Устаревшее расширение Log Analytics не должно быть установлено на масштабируемых наборах виртуальных машин. | Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего шага миграции из устаревших агентов в агент Azure Monitor. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента в масштабируемых наборах виртуальных машин Windows. Подробнее: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Устаревшее расширение Log Analytics не должно быть установлено на виртуальных машинах | Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего шага миграции из устаревших агентов в агент Azure Monitor. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на виртуальных машинах Windows. Подробнее: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Расширение Log Analytics должно быть установлено в масштабируемых наборах виртуальных машин | Эта политика выполняет аудит всех масштабируемых наборов виртуальных машин Windows или Linux, в которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
| Виртуальная машина должна иметь включенную функцию TrustedLaunch | Включите TrustedLaunch на виртуальной машине для повышения безопасности, используйте номер SKU виртуальной машины (2-го поколения), поддерживающий TrustedLaunch. Дополнительные сведения о ДоверенномLaunch см. на сайте https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, Disabled | 1.0.0 |
| Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше по адресу https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Виртуальные машины должны быть подключены к указанной рабочей области | Сообщает о несоответствии виртуальных машин, если они не ведут журнал в рабочей области Log Analytics, указанной в назначении политики или инициативы. | AuditIfNotExists, Disabled | 1.1.0 |
| Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison. | AuditIfNotExists, Disabled | 2.0.3 |
| На виртуальных машинах должно быть установлено расширение Log Analytics | Эта политика выполняет аудит всех виртуальных машин Windows или Linux, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
| Необходимо устранить уязвимости в конфигурациях безопасности контейнера. | Аудит уязвимостей в конфигурации безопасности на компьютерах с установленным Docker и отображение результатов в качестве рекомендаций в Центре безопасности Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
| Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. | Аудит наличия уязвимостей ОС в ваших масштабируемых наборах виртуальных машин для защиты их от атак. | AuditIfNotExists, Disabled | 3.0.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 2.0.0 |
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Disabled | 4.1.1 |
| На компьютерах Windows должен быть настроен Microsoft Defender для обновления сигнатур защиты в течение одного дня | Чтобы обеспечить адекватную защиту от недавно выпущенных вредоносных программ, сигнатуры защиты Microsoft Defender необходимо регулярно обновлять, чтобы учитывать недавно выпущенные вредоносные программы. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| На компьютерах Windows должна быть включена защита в реальном времени в Microsoft Defender | На компьютерах Windows должна быть включена защита в реальном времени в Microsoft Defender, чтобы обеспечить адекватную защиту от недавно выпущенных вредоносных программ. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — Панель управления" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Административные шаблоны — Панель управления" для персонализации ввода и предотвращения включения экранов блокировки. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — MSS (устаревшие)" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Административные шаблоны — MSS (устаревшие)" для автоматического входа, заставки, поведения сети, безопасной библиотеки DLL и журнала событий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — Сеть" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Административные шаблоны — Сеть" для гостевых входов, одновременных подключений, сетевого моста, общего доступа к подключению Интернета и многоадресного разрешения имен. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — Система" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Административные шаблоны — Система" для параметров, управляющих административными функциями и удаленным помощником. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — Учетные записи" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — учетные записи" для ограничения использования пустых паролей и состояния гостевой учетной записи в локальных учетных записях. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — аудит" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — аудит" для принудительного применения подкатегории политики аудита и завершения работы в случае, если не удается зарегистрировать аудиты безопасности. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Устройства" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Устройства" для выполнения отстыковки без входа в систему, установки драйверов печати, форматирования и извлечения носителей. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Интерактивный вход" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Интерактивный вход" для отображения последнего имени пользователя и требования нажать клавиши CTRL+ALT+DEL. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Клиент для сетей Майкрософт" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Клиент для сетей Майкрософт" для клиента или сервера сети Майкрософт и протокола SMB версии 1. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — сервер для сетей Майкрософт" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — сервер для сетей Майкрософт" для отключения сервера SMB версии 1. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — доступ к сети", в том числе для доступа анонимных пользователей, локальных учетных записей и удаленного доступа к реестру. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — консоль восстановления" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — консоль восстановления" для разрешения копирования дискет и доступа ко всем дискам и папкам. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Завершение работы" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Завершение работы", чтобы разрешить завершение работы без входа в систему и очистку файла подкачки виртуальной памяти. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Системные объекты" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Системные объекты", чтобы не учитывать регистр для подсистем, отличных от Windows, и разрешений внутренних системных объектов. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Системные параметры" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Системные параметры" для правил сертификатов в исполняемых файлах для политики ограниченного использования программ и необязательных подсистем. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — контроль учетных записей" для режима администраторов, процедуры запроса на повышение прав, а также виртуализации сбоев при записи в файлы и реестр. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Политики учетных записей" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Политики учетных записей" для журнала паролей (срока действия, длины, сложности паролей), а также хранения паролей с использованием обратимого шифрования. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Вход учетной записи" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Вход учетной записи" для аудита проверки учетных данных и других событий входа с использованием учетной записи. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — управление учетными записями" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Политики аудита системы — управление учетными записями" для аудита приложений, безопасности, управления группами пользователей, а также других событий управления. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Политики аудита системы — подробное отслеживание" для аудита API защиты данных, создания и завершения процессов, событий RPC и PNP-действий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Вход-выход" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Вход-выход" для аудита IPsec, политики сети, утверждений, блокировки учетных записей, членства в группах и событий входа и выхода. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Доступ к объектам" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Доступ к объектам" для аудита файлов, реестра, SAM, хранилища, фильтрации, ядра и других системных типов. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Изменение политики" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Изменение политики" для аудита изменений в политиках аудита системы. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Использование привилегий" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Использование привилегий" для аудита неконфиденциальных данных и другого использования привилегий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Система" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Система" для аудита драйвера IPsec, целостности системы, расширения системы, изменения состояния и других системных событий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Назначение прав пользователя" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Назначение прав пользователя", разрешающие локальный вход в систему, RDP, доступ из сети и многие другие действия пользователей. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Компоненты Windows" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Компоненты Windows" для обычной проверки подлинности, незашифрованного трафика, учетных записей Майкрософт, телеметрии, Кортана и других вариантов поведения Windows. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры с Windows должны соответствовать требованиям для категории "Свойства брандмауэра Windows" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Свойства брандмауэра Windows" для состояния брандмауэра, подключений, управления правилами и уведомлений. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.0.0 |
| На компьютерах Windows должны быть разрешены только локальные учетные записи | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Это определение не поддерживается в Windows Server 2012 или 2012 R2. При управлении удостоверениями рекомендуется использовать управление учетными записями пользователей с помощью Azure Active Directory. Сокращение числа учетных записей на локальном компьютере помогает предотвратить рост числа удостоверений, управляемых за пределами центральной системы. Компьютеры не соответствуют требованиям, если существуют локальные учетные записи пользователей, которые включены и не указаны в параметре политики. | AuditIfNotExists, Disabled | 2.0.0 |
| На компьютерах Windows должен быть настроен Microsoft Defender для ежедневной плановой проверки компьютеров | Чтобы обеспечить обнаружение вредоносных программ и свести к минимуму влияние на систему, рекомендуется, чтобы компьютеры Windows с Защитником Windows планировали ежедневное сканирование. Убедитесь, что Защитник Windows поддерживается, предварительно установлен на устройстве и развертываются предварительные требования гостевой конфигурации. Неспособность соответствовать этим требованиям может привести к неточным результатам оценки. Дополнительные сведения о гостевой конфигурации см. в https://aka.ms/gcpolразделе . | AuditIfNotExists, Disabled | 1.2.0 |
| Компьютеры Windows должны использовать NTP-сервер по умолчанию | Настройте time.windows.com в качестве NTP-сервера по умолчанию для всех компьютеров с Windows, чтобы обеспечить полную синхронизацию часов всех систем. Для этой политики требуется развернуть предварительные требования гостевой конфигурации в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин Windows должен быть установлен агент Azure Monitor | Для мониторинга и защиты масштабируемых наборов виртуальных машин Windows должен быть развернут агент Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Масштабируемые наборы виртуальных машин с поддерживаемыми ОС и в поддерживаемых регионах отслеживаются на наличие развернутого агента Azure Monitor. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost. | Хотя ОС и диски данных виртуальной машины шифруются по умолчанию с помощью управляемых платформой ключей; Диски ресурсов (временные диски), кэши данных и поток данных между вычислительными и служба хранилища ресурсами не шифруются. Чтобы устранить проблему, используйте Шифрование дисков Azure или EncryptionAtHost. Ознакомьтесь https://aka.ms/diskencryptioncomparison с предложениями шифрования. Для этой политики необходимо развернуть два предварительных требования для назначения политики область. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
| На виртуальных машинах Windows должен быть установлен агент Azure Monitor | Для мониторинга и защиты виртуальных машин Windows должен быть развернут агент Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Виртуальные машины Windows с поддерживаемыми ОС и в поддерживаемых регионах отслеживаются на наличие развернутого агента Azure Monitor. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
Microsoft.ClassicCompute
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит виртуальных машин без аварийного восстановления | Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны на следующей странице: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Документация по оценка защиты конечных точек представлена на следующей странице: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо установить Endpoint Protection на ваших компьютерах | Чтобы защитить компьютеры от угроз и уязвимостей, установите поддерживаемое решение для защиты конечных точек. | AuditIfNotExists, Disabled | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
| На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Эта политика выполняет аудит всех виртуальных машин Windows и Linux, если не установлен агент Log Analytics, который Центр безопасности использует для отслеживания уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Компьютеры должны иметь разрешенные секретные выводы | Проверяет виртуальные машины, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов на виртуальных машинах. | AuditIfNotExists, Disabled | 1.0.2 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| На компьютерах должны быть установлены обновления системы | Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 4.0.0 |
| Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison. | AuditIfNotExists, Disabled | 2.0.3 |
| Необходимо устранить уязвимости в конфигурациях безопасности контейнера. | Аудит уязвимостей в конфигурации безопасности на компьютерах с установленным Docker и отображение результатов в качестве рекомендаций в Центре безопасности Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.