你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
应用到: ✔️ Linux VM ✔️ Windows VM ✔️ 灵活规模集统一规模集 ✔️
此页面是 Azure 虚拟机Azure Policy内置策略定义的索引。 有关其他服务的附加Azure Policy内置,请参阅 Azure Policy 内置定义。
每个内置策略定义的名称链接到Azure门户中的策略定义。 使用 Version 列中的链接查看 Azure Policy GitHub 存储库上的源。
Microsoft。计算
| Name (Azure 门户) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [预览版]:应在计算机上启用托管标识 | 由 Automanage 管理的资源应具有托管标识。 | Audit、Disabled | 1.0.0-preview |
| [预览]:添加用户分配的托管标识,以在虚拟机上启用来宾配置分配 | 此策略将用户分配的托管标识添加到来宾配置支持的Azure中托管的虚拟机。 用户分配的托管标识是所有来宾配置分配的先决条件,并且必须在使用任何来宾配置策略定义之前添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.1.0-preview |
| [预览]:将 Built-In User-Assigned 托管标识分配到 虚拟机规模集 | 创建并分配内置用户分配的托管标识,或大规模向虚拟机规模集分配预创建的用户分配的托管标识。 有关更详细的文档,请访问 aka.ms/managedidentitypolicy。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview |
| [预览]:将 Built-In User-Assigned 托管标识分配到 虚拟机 | 创建并分配内置用户分配的托管标识,或大规模向虚拟机分配预创建的用户分配的托管标识。 有关更详细的文档,请访问 aka.ms/managedidentitypolicy。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview |
| 此策略审核 Windows Server 2019、2022 和 2025 计算机上的 SSH 服务器安全配置(Azure VM 和已启用 Arc 的计算机)。 有关详细信息,包括先决条件、范围、默认值和自定义设置,请参阅 https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows。 | AuditIfNotExists、Disabled | 1.1.0-preview | |
| [预览版]:Automanage 配置文件分配应为“符合” | 由 Automanage 管理的资源的状态应为 Conformant 或 ConformantCorrected。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| 启用Azure 备份,确保保护托管磁盘。 Azure 备份是一种安全且经济高效的数据保护解决方案,适用于Azure。 | AuditIfNotExists、Disabled | 1.0.0-preview | |
| [预览版]:应在虚拟机上启用启动诊断 | Azure虚拟机应已启用启动诊断。 | Audit、Disabled | 1.0.0-preview |
| [预览版]:应在 Linux 虚拟机上安装 ChangeTracking 扩展 | 在 Linux 虚拟机上安装 ChangeTracking 扩展,以便在 Azure 安全中心 中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitoring Agent 支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:应在Windows虚拟机上安装 ChangeTracking 扩展 | 在Windows虚拟机上安装 ChangeTracking 扩展,以便在Azure 安全中心中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitoring Agent 支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:为虚拟机上的 SQL 代理配置Azure Defender | 将Windows计算机配置为自动安装安装Azure Monitor代理的 SQL 代理的Azure Defender。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组和Log Analytics工作区。 目标虚拟机必须位于受支持的位置。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览]:使用给定标记为同一区域中的现有备份保管库配置Azure磁盘(托管磁盘)的备份 | 对包含中央备份保管库的给定标记的所有Azure磁盘(托管磁盘)强制实施备份。 有关详细信息,请访问 https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:在没有给定标记的情况下为同一区域中的现有备份保管库配置Azure磁盘(托管磁盘)的备份 | 对不包含中央备份保管库的给定标记的所有Azure磁盘(托管磁盘)强制实施备份。 有关详细信息,请访问 https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0-preview |
| 此策略在 Windows Server 2019、2022 和 2025 计算机上配置 SSH 服务器安全配置(Azure VM 和已启用 Arc 的计算机)。 有关详细信息,包括先决条件、范围、默认值和自定义设置,请参阅 https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows。 | DeployIfNotExists、Disabled | 1.1.0-preview | |
| [预览版]:配置支持的 Linux 虚拟机规模集以自动安装来宾证明扩展 | 配置支持的 Linux 虚拟机规模集以自动安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 6.1.0-preview |
| [预览版]:配置支持的 Linux 虚拟机以自动启用安全启动 | 配置受支持的 Linux 虚拟机以自动启用安全启动,从而减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 | DeployIfNotExists、Disabled | 5.0.0-preview |
| [预览版]:配置支持的 Linux 虚拟机以自动安装来宾证明扩展 | 配置支持的 Linux 虚拟机以自动安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 7.1.0-preview |
| [预览版]:配置支持的虚拟机以自动启用 vTPM | 配置受支持的虚拟机以自动启用 vTPM,从而帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [预览]:配置受支持的Windows虚拟机规模集以自动安装来宾证明扩展 | 配置受支持的Windows虚拟机规模集以自动安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 4.1.0-preview |
| [预览]:配置受支持的Windows虚拟机以自动启用安全启动 | 配置支持的Windows虚拟机,以自动启用安全启动,以防范对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 | DeployIfNotExists、Disabled | 3.0.0-preview |
| [预览]:配置受支持的Windows虚拟机以自动安装来宾证明扩展 | 配置受支持的Windows虚拟机以自动安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 5.1.0-preview |
| [预览]:配置系统分配的托管标识,以在 VM 上启用Azure Monitor分配 | 将系统分配的托管标识配置为Azure Monitor支持的Azure中托管的虚拟机,并且没有系统分配的托管标识。 系统分配的托管标识是所有Azure Monitor分配的先决条件,在使用任何Azure Monitor扩展之前,必须将其添加到计算机。 目标虚拟机必须位于受支持的位置。 | 修改,禁用 | 6.2.0-preview |
| [预览]:配置使用共享映像库映像创建的 VM 以安装来宾证明扩展 | 配置使用共享映像库映像创建的虚拟机以自动安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [预览]:配置使用 共享映像库 映像创建的 VMSS 以安装来宾证明扩展 | 配置使用共享映像库映像创建的 VMSS 以自动安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 2.1.0-preview |
| [预览]:配置Windows Server以禁用本地 users. | 创建来宾配置分配以在Windows Server上配置禁用本地用户。 这可确保Windows服务器只能由 AAD (Azure Active Directory) 帐户或此策略显式允许的用户列表访问,从而提高总体安全状况。 | DeployIfNotExists、Disabled | 1.3.0-preview |
| [预览]:在 Linux 虚拟机上部署Microsoft Defender for Endpoint代理 | 在适用的 Linux VM 映像上部署Microsoft Defender for Endpoint代理。 | DeployIfNotExists、AuditIfNotExists、Disabled | 3.0.0-preview |
| [预览]:在Windows虚拟机上部署Microsoft Defender for Endpoint代理 | 在适用的Windows VM 映像上部署Microsoft Defender for Endpoint。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [预览]: 为 SQL 虚拟机启用系统分配的标识 | 大规模对 SQL 虚拟机启用系统分配的标识。 需要在订阅级别分配此策略。 在资源组级别分配将无法按预期工作。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 | 在支持的 Linux 虚拟机上安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 | 在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机规模集。 | AuditIfNotExists、Disabled | 5.1.0-preview |
| [预览]:应在支持的虚拟机Windows上安装来宾证明扩展 | 在支持的虚拟机上安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任的启动和机密Windows虚拟机。 | AuditIfNotExists、Disabled | 4.0.0-preview |
| [预览]:应在受支持的Windows虚拟机规模集上安装来宾证明扩展 | 在支持的虚拟机规模集上安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任的启动和机密Windows虚拟机规模集。 | AuditIfNotExists、Disabled | 3.1.0-preview |
| [预览]:Linux 计算机应满足 Docker 主机Azure安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 对于 Docker 主机Azure安全基线中的某个建议,计算机未正确配置。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| [预览]:Linux 计算机应满足 Azure 计算的 STIG 符合性要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未正确配置,则计算机不符合Azure计算的 STIG 符合性要求之一。 根据美国国防部 (DoD) 之要求,国防信息系统局 (DISA) 提供安全技术实施指南 (STIG) 以保护计算操作系统。 有关详细信息,请参阅 https://public.cyber.mil/stigs/。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| :安装了 OMI 的 Linux 计算机应具有版本 1.6.8-1 或更高版本 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 由于 Linux OMI 包版本 1.6.8-1 中包含的安全修补程序,所有计算机都应更新到最新版本。 升级使用 OMI 解决问题的应用/包。 有关详细信息,请参阅 https://aka.ms/omiguidance。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| [预览]:Linux 虚拟机应仅使用已签名且受信任的启动组件 | 所有 OS 启动组件(启动加载程序、内核、内核驱动程序)都必须由受信任的发布者签名。 Defender for Cloud已在一个或多个 Linux 计算机上标识了不受信任的 OS 启动组件。 若要保护计算机免受潜在恶意组件的攻击,请将它们添加到你的允许列表,或删除已识别的组件。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:Linux 虚拟机应使用安全启动 | 若要防止安装基于恶意软件的 Rootkit 和引导工具包,请在受支持的 Linux 虚拟机上启用安全引导。 安全引导可确保仅允许运行已签名的操作系统和驱动程序。 此评估仅适用于安装了Azure Monitor代理的 Linux 虚拟机。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:Linux 工作负载应符合官方 CIS 安全基准 | 此策略使你能够自定义和部署 CIS 安全基准,以便跨 Azure、本地和混合环境将 CIS 安全基准用于审核目的。 CIS 安全基准的内容与在上 https://cisecurity.org发布的基准相等。策略由 azure-osconfig 提供支持。 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:计算机应关闭可能暴露攻击途径的端口 | Azure使用条款禁止使用Azure服务的方式可能会损害、禁用、过度负担或损害任何Microsoft服务器或网络。 为了持续安全,需要关闭此建议确定的暴露端口。 对于每个确定的端口,该建议还提供了对潜在威胁的解释。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:托管磁盘应该是区域复原 | 托管磁盘可配置为区域对齐、区域冗余或两者均不能。 托管磁盘,只有一个区域分配是区域对齐。 托管磁盘以 ZRS 结尾的 SKU 名称为区域冗余。 此策略有助于识别并强制实施这些托管磁盘复原配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用Microsoft依赖项代理从Azure虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络地图上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览]:应在Windows虚拟机上安装网络流量数据收集代理 | 安全中心使用Microsoft依赖项代理从Azure虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络地图上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 此策略使你能够自定义和部署 CIS 安全基准,以便对Windows Server跨Azure、本地和混合环境进行审核。 CIS 安全基准的内容与在上 https://cisecurity.org发布的基准相等。要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 1.0.0-preview | |
| [预览]:应在 Windows支持的虚拟机上启用安全启动 | 在受支持的Windows虚拟机上启用安全启动,以防范对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 此评估适用于受信任的启动和机密Windows虚拟机。 | Audit、Disabled | 4.0.0-preview |
| [预览]:虚拟机规模集应该是区域复原 | 虚拟机规模集可以配置为区域对齐、区域冗余或两者均不能。 在其区域数组中只有一个条目的虚拟机规模集被视为区域对齐。 相比之下,虚拟机规模集其区域数组中有 3 个或更多条目,并且容量至少为 3 个,可识别为区域冗余。 此策略有助于识别和强制执行这些恢复配置。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:具有 2 个以上可用性区域的虚拟机规模集应启用自动 AZ 重新均衡 | 此策略为具有区域复原能力的虚拟机规模集启用自动 AZ 重新均衡。 自动区域重新均衡有助于确保虚拟机规模集均匀分布在区域中的区域。 | 修改,禁用 | 1.0.0-preview |
| [预览版]:虚拟机来宾证明状态应为正常 | 通过向证明服务器发送受信任的日志 (TCGLog) 来执行来宾证明。 服务器使用这些日志来确定引导组件是否可信。 这项评估旨在检测引导链的泄漏,这可能是引导工具包或 Rootkit 感染所导致的。 这项评估仅适用于安装了来宾证明扩展且支持受信任启动的虚拟机。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:应虚拟机区域对齐 | 虚拟机可配置为区域对齐或不对齐。 如果它们在自己的区域数组中只有一个条目,则它们将被视为区域对齐。 此策略可确保它们配置为在单个可用性区域内运行。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览版]:应在支持的虚拟机上启用 vTPM | 在受支持的虚拟机上启用虚拟 TPM 设备,以帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 此评估仅适用于已启用受信任启动的虚拟机。 | Audit、Disabled | 2.0.0-preview |
| 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未正确配置,则计算机不符合Azure计算的 STIG 符合性要求之一。 根据美国国防部 (DoD) 之要求,国防信息系统局 (DISA) 提供安全技术实施指南 (STIG) 以保护计算操作系统。 有关详细信息,请参阅 https://public.cyber.mil/stigs/。 | AuditIfNotExists、Disabled | 1.0.0-preview | |
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括针对虚拟机的漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到Azure中托管的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到Azure中托管的虚拟机,这些虚拟机受来宾配置支持,并且至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 将标记添加到网络虚拟设备(NVA)VM 和 VMSS 以支持 MANA | 当 NVA 使用现有 VM 大小时,为市场 NVA 部署应用标记。 请参阅 https://aka.ms/manasupportforexistingvmfamilynva。 | 修改,禁用 | 1.0.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已确定某些网络安全组的入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 允许的虚拟机大小 SKU | 此策略可便于指定组织可部署的一组虚拟机大小 SKU。 | Deny | 1.0.1 |
| 将系统分配的标识分配给 SQL 虚拟机 | 大规模分配系统分配标识以Windows SQL 虚拟机。 | DeployIfNotExists、Disabled | 1.0.0 |
| 审核允许在没有密码的情况下从帐户进行远程连接的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核未将密码文件权限设为 0644 的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核未安装指定应用程序的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Chef InSpec 资源指示未安装参数提供的一个或多个包,则计算机不合规。 | AuditIfNotExists、Disabled | 4.2.0 |
| 审核具有不使用密码的帐户的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核安装了指定应用程序的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Chef InSpec 资源指示安装了参数提供的一个或多个包,则计算机不合规。 | AuditIfNotExists、Disabled | 4.2.0 |
| 审核 Linux 的 SSH 安全状况(由 OSConfig 提供支持) | 此策略审核 Linux 计算机上的 SSH 服务器安全配置(Azure VM 和已启用 Arc 的计算机)。 有关详细信息,包括先决条件、范围设置、默认值和自定义设置,请参阅 https://aka.ms/SshPostureControlOverview | AuditIfNotExists、Disabled | 1.0.1 |
| 审核未配置灾难恢复的虚拟机 | 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 审核未使用托管磁盘的 VM | 此策略审核未使用托管磁盘的 VM | 审核 | 1.0.0 |
| Audit Windows计算机缺少 Administrators 组中任何指定成员 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组不包含策略参数中列出的一个或多个成员,则计算机不合规。 | auditIfNotExists | 2.0.0 |
| Audit Windows 计算机网络连接 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 IP 和 TCP 端口的网络连接状态与策略参数不匹配,则计算机不合规。 | auditIfNotExists | 2.0.0 |
| DSC 配置不符合的Windows计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 返回计算机的 DSC 配置不符合,则计算机不符合要求。 | auditIfNotExists | 3.0.0 |
| Audit Windows未按预期连接Log Analytics代理的计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果未安装代理,或者安装了代理,但 COM 对象 AgentConfigManager.MgmtSvcCfg 返回它已注册到策略参数中指定的 ID 以外的工作区,则计算机不合规。 | auditIfNotExists | 2.0.0 |
| Audit Windows未安装指定服务的计算机和“正在运行” | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果Windows PowerShell 命令的结果 Get-Service 不包含具有策略参数指定的匹配状态的服务名称,则计算机不符合要求。 | auditIfNotExists | 3.0.0 |
| 未启用串行控制台的Windows Windows计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未安装串行控制台软件,或没有为 EMS 端口号或波特率配置与策略参数相同的值,则计算机不合规。 | auditIfNotExists | 3.0.0 |
| Audit Windows计算机,这些计算机允许在指定数量的唯一密码后重复使用密码 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果Windows允许在指定数量的唯一密码后重复使用密码的计算机,则计算机不符合要求。 唯一密码的默认值为 24 | AuditIfNotExists、Disabled | 2.1.0 |
| Audit Windows未加入指定域的计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 WMI 类 win32_computersystem 中 Domain 属性的值与策略参数中的值不匹配,则计算机不合规。 | auditIfNotExists | 2.0.0 |
| 未设置为指定时区的计算机Windows audit | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 WMI 类 Win32_TimeZone 中 StandardName 属性的值与策略参数的选定时区不匹配,则计算机不合规。 | auditIfNotExists | 4.0.0 |
| Audit Windows计算机,其中包含在指定天数内过期的证书 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果指定存储中的证书的到期日期超出了参数给定的天数范围,则计算机不合规。 该策略还提供仅检查特定证书或排除特定证书的选项,以及是否报告过期证书的选项。 | auditIfNotExists | 2.0.0 |
| Audit Windows不包含受信任根中的指定证书的计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机受信任的根证书存储 (Cert:\LocalMachine\Root) 不包含策略参数列出的一个或多个证书,则计算机不合规。 | auditIfNotExists | 3.0.0 |
| Audit Windows未将最大密码期限设置为指定天数的计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果Windows未将最大密码期限设置为指定天数的计算机,则计算机不符合要求。 最长密码期限的默认值为 70 天 | AuditIfNotExists、Disabled | 2.1.0 |
| 未将最短密码期限设置为指定天数的计算机的Audit Windows | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果Windows未将最短密码期限设置为指定天数的计算机,则计算机不符合要求。 最短密码期限的默认值为 1 天 | AuditIfNotExists、Disabled | 2.1.0 |
| Audit Windows未启用密码复杂性设置的计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果Windows未启用密码复杂性设置的计算机,则计算机不符合要求 | AuditIfNotExists、Disabled | 2.0.0 |
| 没有指定Windows PowerShell 执行策略的计算机>Audit Windows计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-ExecutionPolicy 返回策略参数中选择的值以外的值,则计算机不符合要求。 | AuditIfNotExists、Disabled | 3.0.0 |
| Audit Windows未安装指定Windows PowerShell 模块的计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果模块在环境变量 PSModulePath 指定的位置中不可用,则计算机不符合要求。 | AuditIfNotExists、Disabled | 3.0.0 |
| 未将最小密码长度限制为指定字符数的计算机>Audit Windows计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果Windows未将最小密码长度限制为指定字符数的计算机,则计算机不符合要求。 最短密码长度的默认值为 14 个字符 | AuditIfNotExists、Disabled | 2.1.0 |
| 不使用可逆加密存储密码的Windows计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果Windows不使用可逆加密存储密码的计算机,则计算机不符合要求 | AuditIfNotExists、Disabled | 2.0.0 |
| 未安装指定应用程序的Windows计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果在以下任何注册表路径中找不到应用程序名称,则计算机不符合:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
| Audit Windows在 Administrators 组中具有额外帐户的计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中未列出的成员,则计算机不合规。 | auditIfNotExists | 2.0.0 |
| Audit Windows未在指定天数内重启的计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果类 Win32_Operatingsystem 中的 WMI 属性 LastBootUpTime 不在策略参数提供的天数范围内,则计算机不合规。 | auditIfNotExists | 2.0.0 |
| 已安装指定应用程序的Windows计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果在以下任一注册表路径中找到应用程序名称,则计算机不符合:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
| Audit Windows具有 Administrators 组中指定成员的计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中列出的一个或多个成员,则计算机不合规。 | auditIfNotExists | 2.0.0 |
| 通过挂起的重新启动Windows VM 进行审核 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机因以下任何原因而挂起重新启动,则计算机不符合:基于组件的维护服务、Windows 更新、挂起的文件重命名、挂起的计算机重命名、配置管理器等待重新启动。 每次检测都有唯一的注册表路径。 | auditIfNotExists | 2.0.0 |
| 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 向 Azure Linux 虚拟机进行身份验证的最安全选项是具有公钥-私钥对,也称为 SSH 密钥。 了解详细信息:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists、Disabled | 3.2.0 |
| 应为 虚拟机Azure 备份> | 启用Azure 备份,确保保护Azure 虚拟机。 Azure 备份是一种安全且经济高效的数据保护解决方案,适用于Azure。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应在 Linux 虚拟机规模集上安装 ChangeTracking 扩展 | 在 Linux 虚拟机规模集上安装 ChangeTracking 扩展,以便在 Azure 安全中心中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitoring Agent 支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 2.0.1 |
| ChangeTracking 扩展应安装在Windows虚拟机规模集上 | 在Windows虚拟机规模集上安装 ChangeTracking 扩展,以便在Azure 安全中心中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitoring Agent 支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应安全配置云服务(外延支持)角色实例 | 确保云服务(外延支持)角色实例未暴露于任何 OS 漏洞下,以防止这些实例受到攻击。 | AuditIfNotExists、Disabled | 1.0.0 |
| 云服务(外延支持)角色实例应安装系统更新 | 确保已在云服务(外延支持)角色实例上安装最新的安全更新和关键更新,从而对这些实例进行保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Servers 为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将禁用所选范围(订阅或资源组)中所有资源(VM、VMSS 和 ARC 计算机)的服务器计划的Defender。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 使用所选标记禁用服务器(资源级别)的配置Azure Defender | Azure Defender for Servers 为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将禁用具有所选标记名称和标记值的所有资源(VM、VMSS 和 ARC 计算机)的服务器计划Defender。 | DeployIfNotExists、Disabled | 1.1.0 |
| 为服务器配置Azure Defender,以便为所有资源(资源级别)启用“P1”子计划(具有所选标记 | Azure Defender for Servers 为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为具有所选标记名称和标记值的所有资源(VM 和 ARC 计算机)启用“P1”子计划(带有“P1”子计划)的Defender。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Servers 为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为所选范围(订阅或资源组)中的所有资源(VM 和 ARC 计算机)启用“P1”子计划(具有“P1”子计划)的Defender。 | DeployIfNotExists、Disabled | 1.1.0 | |
| 配置带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.5.0 |
| 配置带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.5.0 |
| 配置不带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 | 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.5.0 |
| 配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 | 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.5.0 |
| 为 Linux 虚拟机规模集配置 ChangeTracking 扩展 | 配置 Linux 虚拟机规模集以自动安装 ChangeTracking 扩展以在Azure 安全中心中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置中。 | DeployIfNotExists、Disabled | 2.1.0 |
| 为 Linux 虚拟机配置 ChangeTracking 扩展 | 配置 Linux 虚拟机以自动安装 ChangeTracking 扩展以在 Azure 安全中心 中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置中。 | DeployIfNotExists、Disabled | 2.2.0 |
| 为Windows虚拟机规模集配置 ChangeTracking 扩展 | 配置Windows虚拟机规模集以自动安装 ChangeTracking 扩展以在 Azure 安全中心 中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置中。 | DeployIfNotExists、Disabled | 2.1.0 |
| 为 Windows 虚拟机配置 ChangeTracking 扩展 | 配置Windows虚拟机以自动安装 ChangeTracking 扩展以在 Azure 安全中心中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置中。 | DeployIfNotExists、Disabled | 2.2.0 |
| 未配置灾难恢复的虚拟机容易受到中断和其他干扰的影响。 如果虚拟机尚未配置灾难恢复,则请使用预设配置启用复制来启动这一功能,以帮助实现业务连续性。 可以选择包含/排除包含指定标记的虚拟机以控制分配范围。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | DeployIfNotExists、Disabled | 2.1.1 | |
| 使用专用终结点配置磁盘访问资源 | 专用终结点将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到磁盘访问资源,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Linux 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 6.8.0 |
| 将 Linux Server 配置为禁用本地用户。 | 创建来宾配置分配以配置在 Linux 服务器上禁用本地用户。 这可确保 Linux 服务器只能由 AAD (Azure Active Directory) 帐户或此策略显式允许的用户列表访问,从而提高整体安全态势。 | DeployIfNotExists、Disabled | 1.4.0-preview |
| 配置与数据收集规则或数据收集终结点关联的 Linux 虚拟机规模集 | 部署关联以将 Linux 虚拟机规模集链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.7.0 |
| 配置 Linux 虚拟机规模集,以使用基于系统分配的托管标识身份验证运行Azure Monitor代理 | 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以便从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 3.10.0 |
| 配置 Linux 虚拟机规模集,以使用基于用户分配的托管标识身份验证运行Azure Monitor代理 | 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以便从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 3.11.0 |
| 配置与 ChangeTracking 和 Inventory 的数据收集规则关联的 Linux 虚拟机 | 部署关联以将 Linux 虚拟机链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置与数据收集规则或数据收集终结点关联的 Linux 虚拟机 | 部署关联以将 Linux 虚拟机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.7.0 |
| 配置 Linux 虚拟机,以使用基于系统分配的托管标识身份验证运行Azure Monitor代理 | 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以便从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 3.10.0 |
| 配置 Linux 虚拟机,以使用用户分配的托管标识身份验证运行Azure Monitor代理 | 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以便从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 3.14.0 |
| 将 Linux VM 配置为使用用户分配的托管标识安装 AMA for ChangeTracking 和 Inventory | 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以便启用 ChangeTracking 和 Inventory。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.7.0 |
| 将 Linux VMSS 配置为与 ChangeTracking 和 Inventory 的数据收集规则相关联 | 部署关联以将 Linux 虚拟机规模集链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置 Linux VMSS 以使用用户分配的托管标识安装 AMA for ChangeTracking 和 Inventory | 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以便启用 ChangeTracking 和清单。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.5.0 |
| 配置计算机以接收漏洞评估提供程序 | Azure Defender包括对计算机的漏洞扫描,无需额外付费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 启用此策略时,Azure Defender会自动将 Qualys 漏洞评估提供程序部署到尚未安装它的所有受支持计算机。 | DeployIfNotExists、Disabled | 4.0.0 |
| 将托管磁盘配置为禁用公用网络访问 | 禁用对托管磁盘资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | 修改,禁用 | 2.0.0 |
| 配置定期检查,以确认 Azure 虚拟机上缺少的系统更新 | 为本机Azure虚拟机上的 OS 更新配置自动评估(每 24 小时)。 你可以根据计算机订阅、资源组、位置或标记来控制分配范围。 详细了解 Windows:适用于 Linux 的 https://aka.ms/computevm-windowspatchassessmentmode,:https://aka.ms/computevm-linuxpatchassessmentmode。 | modify | 4.10.0 |
| 在Windows计算机上配置安全通信协议(TLS 1.1 或 TLS 1.2 | 创建来宾配置分配以在 Windows 计算机上配置指定的安全协议版本(TLS 1.1 或 TLS 1.2)。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置 SQL 虚拟机以自动安装Azure Monitor代理 | 在 Windows SQL 虚拟机 上自动部署 Azure Monitor 代理扩展。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.6.0 |
| 配置 SQL 虚拟机以自动安装 SQL Microsoft Defender | 配置 Windows SQL 虚拟机以自动安装 SQL 扩展的Microsoft Defender。 SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 | DeployIfNotExists、Disabled | 1.6.0 |
| 配置 SQL 虚拟机,以便使用 Log Analytics 工作区自动安装 SQL 和 DCR Microsoft Defender | SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.9.0 |
| 配置 SQL 虚拟机,使用用户定义的 LA 工作区自动安装 SQL 和 DCR Microsoft Defender | SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在用户定义的Log Analytics工作区所在的同一区域中创建资源组和数据收集规则。 | DeployIfNotExists、Disabled | 1.10.0 |
| 配置 SQL 虚拟机以自动安装 SQL 扩展Microsoft Defender | 配置 Windows SQL 虚拟机以自动安装 SQL 扩展的Microsoft Defender。 SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 | DeployIfNotExists、Disabled | 1.0.0 |
| 为 Linux 配置 SSH 安全状况(由 OSConfig 提供支持) | 此策略审核并配置 Linux 计算机上的 SSH 服务器安全配置(Azure VM 和已启用 Arc 的计算机)。 有关详细信息,包括先决条件、范围设置、默认值和自定义设置,请参阅 https://aka.ms/SshPostureControlOverview | DeployIfNotExists、Disabled | 1.1.0 |
| 此策略创建一个来宾配置分配,用于在Windows虚拟机上设置指定的时区。 | deployIfNotExists | 3.1.0 | |
| Azure Automanage注册、配置和监视虚拟机,最佳做法是在Microsoft 云采用框架中为Azure定义的。 使用此策略将自动管理应用到所选范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 | |
| 配置为使用自定义配置文件加入Azure Automanage的虚拟机 | Azure Automanage注册、配置和监视虚拟机,最佳做法是在Microsoft 云采用框架中为Azure定义的。 使用此策略可将 Automanage 与你自己的自定义配置文件一起应用到所选范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
| 配置与数据收集规则或数据收集终结点关联的计算机Windows | 部署关联以将Windows虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.8.0 |
| 配置与数据收集规则或数据收集终结点关联的Windows 虚拟机规模集 | 部署关联以将Windows虚拟机规模集链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 3.7.0 |
| 配置Windows虚拟机规模集,以使用系统分配的托管标识运行Azure Monitor代理 | 在Windows虚拟机规模集上自动部署Azure Monitor代理扩展,以便从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 3.7.0 |
| 配置Windows虚拟机规模集,以使用基于用户分配的托管标识身份验证运行Azure Monitor代理 | 在Windows虚拟机规模集上自动部署Azure Monitor代理扩展,以便从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.9.0 |
| 配置与 ChangeTracking 和 Inventory 的数据收集规则关联的Windows 虚拟机 | 部署关联以将Windows虚拟机链接到指定的数据收集规则,以启用 ChangeTracking 和清单。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 1.3.0 |
| 配置与数据收集规则或数据收集终结点关联的Windows 虚拟机 | 部署关联以将Windows虚拟机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 3.6.0 |
| 配置Windows虚拟机,以使用系统分配的托管标识运行Azure Monitor代理 | 在Windows虚拟机上自动部署 Azure Monitor 代理扩展,以便从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 4.7.0 |
| 配置Windows虚拟机,以使用基于用户分配的托管标识身份验证运行Azure Monitor代理 | 在Windows虚拟机上自动部署 Azure Monitor 代理扩展,以便从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.9.0 |
| 配置 Windows VM,以安装具有用户分配的托管标识的 AMA for ChangeTracking 和 Inventory | 在Windows虚拟机上自动部署Azure Monitor代理扩展,以便启用 ChangeTracking 和 Inventory。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.4.0 |
| 配置要与 ChangeTracking 和 Inventory 的数据收集规则关联的 VMSS Windows | 部署关联以将Windows虚拟机规模集链接到指定的数据收集规则,以启用 ChangeTracking 和清单。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置 Windows VMSS 以安装具有用户分配的托管标识的 AMA for ChangeTracking 和 Inventory | 在Windows虚拟机规模集上自动部署Azure Monitor代理扩展,以便启用 ChangeTracking 和清单。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.3.0 |
| 创建和分配内置用户分配的托管标识 | 创建内置用户分配的托管标识,并将其大规模分配给 SQL 虚拟机。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.8.0 |
| 应为列出的虚拟机映像启用 Dependency Agent | 如果虚拟机映像在定义的列表中且未安装代理,则报告虚拟机不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.1.0 |
| 应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent | 如果虚拟机映像位于定义的列表中且未安装代理,则将虚拟机规模集报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 | AuditIfNotExists、Disabled | 2.1.0 |
| Deploy - 在 Windows虚拟机规模集上配置要启用的依赖项代理 | 如果虚拟机映像位于定义的列表中且未安装代理,则为 Windows 虚拟机规模集部署依赖项代理。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 | DeployIfNotExists、Disabled | 3.3.0 |
| Deploy - 将依赖项代理配置为在Windows虚拟机上启用 | 如果虚拟机映像位于定义的列表中且未安装代理,则为 Windows 虚拟机部署依赖项代理。 | DeployIfNotExists、Disabled | 3.3.0 |
| 如果未使用反恶意软件扩展配置 VM,此策略将部署具有默认配置的 Microsoft IaaSAntimalware 扩展。 | deployIfNotExists | 1.1.0 | |
| 为 Linux 虚拟机规模集部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 | deployIfNotExists | 5.1.0 |
| 具有Azure监视代理设置的 Linux 虚拟机规模集的部署依赖项代理 | 如果 VM 映像(OS)位于定义的列表中且未安装代理,则为具有Azure监视代理设置的 Linux 虚拟机规模集部署依赖项代理。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 | DeployIfNotExists、Disabled | 3.2.0 |
| 为 Linux 虚拟机部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,则为 Linux 虚拟机部署 Dependency Agent。 | deployIfNotExists | 5.1.0 |
| 具有Azure监视代理设置的 Linux 虚拟机的部署依赖关系代理 | 如果 VM 映像(OS)位于定义的列表中且未安装代理,则为具有Azure监视代理设置的 Linux 虚拟机部署依赖项代理。 | DeployIfNotExists、Disabled | 3.2.0 |
| 在具有Azure监视代理设置Windows虚拟机规模集上启用的部署依赖关系代理 | 如果虚拟机映像位于定义的列表中且未安装代理,则为具有Azure监视代理设置的Windows虚拟机规模集部署依赖项代理。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 | DeployIfNotExists、Disabled | 1.4.0 |
| 在具有Azure监视代理设置Windows虚拟机上启用部署依赖项代理 | 如果虚拟机映像位于定义的列表中且未安装代理,则为具有Azure监视代理设置的Windows虚拟机部署依赖项代理。 | DeployIfNotExists、Disabled | 1.4.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到来宾配置支持的 Azure 中托管的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.2.0 |
| 部署Windows来宾配置扩展,以便在 Windows VM 上启用来宾配置分配 | 此策略将Windows来宾配置扩展部署到来宾配置支持的Azure中托管Windows虚拟机。 Windows来宾配置扩展是所有Windows来宾配置分配的先决条件,在使用任何Windows来宾配置策略定义之前,必须部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.3.0 |
| 磁盘访问资源应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists、Disabled | 1.0.0 |
| 磁盘和 OS 映像应支持 TrustedLaunch | TrustedLaunch 提高了需要 OS 磁盘和 OS 映像来支持它的虚拟机的安全性(第 2 代)。 要详细了解 TrustedLaunch,请访问 https://aka.ms/trustedlaunch | Audit、Disabled | 1.0.0 |
| 应在计算机上安装来宾配置扩展 | 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,例如“应启用Windows攻击防护”。 更多信息请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应为 Windows Server Azure Edition VM 启用 Hotpatch | 使用热补丁最大限度地减少重新启动并快速安装更新。 有关详细信息,请访问 https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit、Deny、Disabled | 1.0.0 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| Linux 计算机应满足Azure计算安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未正确配置,则计算机不符合Azure计算安全基线中的某个建议。 | AuditIfNotExists、Disabled | 2.3.1 |
| Linux 计算机应仅具有允许的本地帐户 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 使用 Azure Active Directory 管理用户帐户是管理标识的最佳做法。 减少本地计算机帐户有助于防止在中央系统外部管理的标识激增。 如果存在已启用但未在策略参数中列出的本地用户帐户,则计算机不合规。 | AuditIfNotExists、Disabled | 2.2.0 |
| Linux 虚拟机规模集应已安装Azure Monitor代理 | 应通过部署的 Azure Monitor 代理监视和保护 Linux 虚拟机规模集。 Azure Monitor代理从来宾 OS 收集遥测数据。 此策略将审核在支持区域中具有支持 OS 映像的虚拟机规模集。 了解详细信息:https://aka.ms/AMAOverview。 | AuditIfNotExists、Disabled | 3.6.0 |
| Linux 虚拟机应启用 Azure 磁盘加密 或 EncryptionAtHost. | 尽管虚拟机的 OS 和数据磁盘默认使用平台管理的密钥进行静态加密,但资源磁盘(临时磁盘)、数据缓存以及计算资源和存储资源之间流动的数据不加密。 使用 Azure 磁盘加密 或 EncryptionAtHost 进行修正。 访问 https://aka.ms/diskencryptioncomparison 以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 1.2.1 |
| Linux 虚拟机应已安装Azure Monitor代理 | 应通过部署的 Azure Monitor 代理监视和保护 Linux 虚拟机。 Azure Monitor代理从来宾 OS 收集遥测数据。 此策略将审核在支持区域中具有支持操作系统映像的虚拟机。 了解详细信息:https://aka.ms/AMAOverview。 | AuditIfNotExists、Disabled | 3.6.0 |
| 应在 Linux 计算机上禁用本地身份验证方法 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 服务器未禁用本地身份验证方法,则计算机不合规。 这是为了验证 Linux 服务器是否只能由 AAD (Azure Active Directory) 帐户或此策略显式允许的用户列表访问,从而提高整体安全状况。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| 应在Windows服务器上禁用本地身份验证方法 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果Windows服务器未禁用本地身份验证方法,则计算机不符合要求。 这是为了验证Windows服务器只能由 AAD (Azure Active Directory) 帐户或此策略显式允许的用户列表访问,从而提高总体安全状况。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| Log Analytics代理应安装在云服务(扩展支持)角色实例上 | 安全中心会从云服务(外延支持)角色实例中收集数据,以监视是否存在安全漏洞和威胁。 | AuditIfNotExists、Disabled | 2.0.0 |
| 计算机应配置为定期检查,以确认缺少的系统更新 | 为确保每 24 小时自动触发对缺失系统更新的定期评估,AssessmentMode 属性应设置为“AutomaticByPlatform”。 了解有关 Windows 的 AssessmentMode 属性的详细信息:适用于 Linux 的 https://aka.ms/computevm-windowspatchassessmentmode,:https://aka.ms/computevm-linuxpatchassessmentmode。 | Audit、Deny、Disabled | 3.9.0 |
| 计算机应已解决机密结果 | 审核虚拟机以检测它们是否包含虚拟机上机密扫描解决方案的机密发现结果。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险,可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 更多信息请访问 https://aka.ms/disks-doubleEncryption。 | Audit、Deny、Disabled | 1.0.0 |
| 托管磁盘应禁用公用网络访问 | 禁用公用网络访问可确保托管磁盘不会在公共 Internet 上公开,从而提高了安全性。 创建专用终结点可以限制托管磁盘的公开。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | Audit、Deny、Disabled | 2.1.0 |
| 托管磁盘应使用一组特定的磁盘加密集来进行客户管理的密钥加密 | 要求对托管磁盘使用一组特定的磁盘加密集可以控制用于静态加密的密钥。 可以选择允许的加密集,所有其他加密集在附加到磁盘时将被拒绝。 更多信息请访问 https://aka.ms/disks-cmk。 | Audit、Deny、Disabled | 2.0.0 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | Azure 安全中心作为建议监视可能的实时网络(JIT)访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应将 Azure Microsoft反恶意软件配置为自动更新保护签名 | 此策略会审核未配置为自动更新Microsoft反恶意软件保护签名的任何Windows虚拟机。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 Windows 服务器上部署 Microsoft IaaSAntimalware 扩展 | 此策略审核任何Windows服务器 VM,而无需部署 Microsoft IaaSAntimalware 扩展。 | AuditIfNotExists、Disabled | 1.1.0 |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应当仅安装已批准的 VM 扩展 | 此策略约束未获批准的虚拟机扩展。 | Audit、Deny、Disabled | 1.0.0 |
| 应使用客户管理的密钥来加密 OS 和数据磁盘 | 使用客户管理的密钥来管理托管磁盘内容的静态加密。 默认情况下,使用平台管理的密钥对数据进行静态加密,但为了满足合规性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/disks-cmk。 | Audit、Deny、Disabled | 3.0.0 |
| 应启用来宾配置分配的专用终结点 | 专用终结点连接通过启用虚拟机来宾配置的专用连接来加强安全通信。 虚拟机将不符合条件,除非它们具有标记“EnablePrivateNetworkGC”。 此标记通过与来宾配置的专用连接强制实施安全通信,以便虚拟机。 专用连接限制仅来自已知网络的流量的访问,并阻止来自所有其他 IP 地址(包括Azure内)的访问。 | Audit、Deny、Disabled | 1.1.0 |
| 在导出或上传到磁盘或快照时,通过身份验证要求来保护数据。 | 使用导出/上传 URL 时,系统会检查用户是否具有Azure Active Directory中的标识,并具有导出/上传数据所需的权限。 请参阅 aka.ms/DisksAzureADAuth。 | 修改,禁用 | 1.0.0 |
| 此策略强制在虚拟机规模集上启用自动 OS 映像修补,以便通过每月安全应用最新安全修补程序来始终保持虚拟机安全。 | deny | 1.0.0 | |
| 可以使用Azure中的Azure 更新管理器来保存定期部署计划,以便在Azure、本地环境和使用Azure Arc启用的服务器连接的其他云环境中为 Windows Server 和 Linux 计算机安装操作系统更新。 此策略还将Azure虚拟机的修补模式更改为“AutomaticByPlatform”。 查看更多:https://aka.ms/umc-scheduled-patching | DeployIfNotExists、Disabled | 3.14.0 | |
| 此策略将通过将修补业务流程配置为“客户托管计划”来设置在Azure 更新管理器上计划定期更新所需的先决条件。 此更改将自动将修补模式设置为“AutomaticByPlatform”,并在 Azure VM 上启用“BypassPlatformSafetyChecksOnUserSchedule”为“True”。 先决条件不适用于已启用 Arc 的服务器。 了解详细信息 - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists、Disabled | 1.3.0 | |
| 计算机上的 SQL Server 应已解决漏洞结果 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在计算机上安装系统更新(由更新中心提供技术支持) | 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 | AuditIfNotExists、Disabled | 1.0.1 |
| 不应在 Linux 虚拟机规模集上安装旧版Log Analytics扩展 | 自动阻止将旧版Log Analytics代理安装为从旧代理迁移到 Azure Monitor 代理的最后一步。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Linux 虚拟机规模集上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在 Linux 虚拟机上安装旧Log Analytics扩展 | 自动阻止将旧版Log Analytics代理安装为从旧代理迁移到 Azure Monitor 代理的最后一步。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Linux 虚拟机上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在虚拟机规模集上安装旧Log Analytics扩展 | 自动阻止将旧版Log Analytics代理安装为从旧代理迁移到 Azure Monitor 代理的最后一步。 卸载现有旧扩展后,此策略将拒绝Windows虚拟机规模集上旧代理扩展的所有将来安装。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 不应在虚拟机上安装旧版Log Analytics扩展 | 自动阻止将旧版Log Analytics代理安装为从旧代理迁移到 Azure Monitor 代理的最后一步。 卸载现有旧扩展后,此策略将拒绝Windows虚拟机上旧代理扩展的所有将来安装。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
| 虚拟机应已启用 TrustedLaunch | 在虚拟机上启用 TrustedLaunch 以增强安全性,并使用支持 TrustedLaunch 的 VM SKU(第 2 代)。 要详细了解 TrustedLaunch,请访问 https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit、Disabled | 1.0.0 |
| 虚拟机和虚拟机规模集应启用主机中加密 | 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe。 | Audit、Deny、Disabled | 1.0.0 |
| 应将虚拟机迁移到新的Azure 资源管理器资源 | 使用虚拟机的新Azure 资源管理器提供安全增强功能,例如:更强的访问控制(RBAC)、更好的审核、基于Azure 资源管理器的部署和管理、对托管标识的访问、机密密钥保管库的访问、Azure基于 AD 的身份验证和支持标记和资源组,以便更轻松地进行安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果虚拟机安装了来宾配置扩展,但没有系统分配的托管标识,则此策略范围内Azure虚拟机将不符合要求。 有关详细信息,请访问 https://aka.ms/gcpol | AuditIfNotExists、Disabled | 1.0.1 |
| 应在计算机上启用 Windows Defender Exploit Guard | Windows Defender Exploit Guard 使用Azure Policy来宾配置代理。 Exploit Guard 有四个组件,旨在锁定设备免受各种攻击途径和恶意软件攻击中常用的阻止行为,同时使企业能够平衡其安全风险和生产力要求(仅Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应将Windows计算机配置为使用安全通信协议 | 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
| Windows计算机应将Windows Defender配置为在一天内更新保护签名 | 若要对新发布的恶意软件提供足够的保护,需要定期更新Windows Defender保护签名,以考虑新发布的恶意软件。 此策略不适用于连接了 Arc 的服务器,它要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.1 |
| Windows计算机应启用Windows Defender实时保护 | Windows计算机应启用Windows Defender中的实时保护,以便为新发布的恶意软件提供足够的保护。 此策略不适用于连接了 Arc 的服务器,它要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.1 |
| Windows计算机应在“管理模板 - 控制面板”类别中指定组策略设置,以便输入个性化和防止启用锁屏界面。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“管理模板 - MSS(旧版)”类别中具有指定的组策略设置,以便自动登录、屏幕保护程序、网络行为、安全 DLL 和事件日志。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应具有“管理模板 - 网络”类别中的指定组策略设置,用于来宾登录、同时连接、网桥、ICS 和多播名称解析。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“管理模板 - 系统”类别中具有指定的组策略设置,用于控制管理体验和远程协助的设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“安全选项 - 帐户”类别中具有指定的组策略设置,以限制本地帐户使用空白密码和来宾帐户状态。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应具有类别“安全选项 - 审核”中的指定组策略设置,以便在无法记录安全审核时强制审核策略子类别和关闭。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“安全选项 - 设备”类别中具有指定的组策略设置,以便在不登录、安装打印驱动程序和格式化/弹出媒体的情况下取消停靠。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应具有类别“安全选项 - 交互式登录”中的指定组策略设置,用于显示姓氏和需要 ctrl-alt-del。此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应具有Microsoft网络客户端/服务器和 SMB v1 的“安全选项 - Microsoft网络客户端”类别中的指定组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应具有“安全选项 - Microsoft网络服务器”类别中用于禁用 SMB v1 服务器的指定组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应具有类别“安全选项 - 网络访问”中的指定组策略设置,包括匿名用户、本地帐户和对注册表的远程访问。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应具有“安全选项 - 网络安全”类别中的指定组策略设置,包括本地系统行为、PKU2U、LAN 管理器、LDAP 客户端和 NTLM SSP。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应具有类别“安全选项 - 恢复控制台”中的指定组策略设置,以允许软盘复制和访问所有驱动器和文件夹。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应具有类别“安全选项 - 关闭”中的指定组策略设置,以便允许关闭而不登录并清除虚拟内存页文件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“安全选项 - 系统对象”类别中具有指定的组策略设置,以防非Windows子系统和内部系统对象的权限不敏感。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在 SRP 和可选子系统的可执行文件的证书规则的“安全选项 - 系统设置”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在管理员模式的“安全选项 - 用户帐户控制”类别中具有指定的组策略设置、提升提示行为以及虚拟化文件和注册表写入失败。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在密码历史记录、年龄、长度、复杂性和使用可逆加密存储密码的“安全设置 - 帐户策略”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“系统审核策略 - 帐户登录”类别中具有指定的组策略设置,用于审核凭据验证和其他帐户登录事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“系统审核策略 - 帐户管理”类别中具有指定的组策略设置,用于审核应用程序、安全和用户组管理和其他管理事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置,用于审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应具有“系统审核策略 - 登录注销”类别中的指定组策略设置,用于审核 IPSec、网络策略、声明、帐户锁定、组成员身份和登录/注销事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“系统审核策略 - 对象访问”类别中具有指定的组策略设置,用于审核文件、注册表、SAM、存储、筛选、内核和其他系统类型。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“系统审核策略 - 策略更改”类别中具有指定的组策略设置,用于审核对系统审核策略的更改。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“系统审核策略 - 特权使用”类别中具有指定的组策略设置,用于审核不敏感和其他特权使用。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“系统审核策略 - 系统”类别中具有指定的组策略设置,用于审核 IPsec 驱动程序、系统完整性、系统扩展、状态更改和其他系统事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应具有类别“用户权限分配”中的指定组策略设置,以允许本地登录、RDP、从网络访问和其他许多用户活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应在“Windows组件”类别中指定组策略设置,用于基本身份验证、未加密的流量、Microsoft帐户、遥测、Cortana 和其他Windows行为。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应具有防火墙状态、连接、规则管理和通知类别“Windows防火墙属性”中的指定组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Windows计算机应满足Azure计算安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未正确配置,则计算机不符合Azure计算安全基线中的某个建议。 | AuditIfNotExists、Disabled | 2.1.1 |
| Windows计算机应仅具有允许的本地帐户 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 Windows Server 2012或 2012 R2 不支持此定义。 使用 Azure Active Directory 管理用户帐户是管理标识的最佳做法。 减少本地计算机帐户有助于防止在中央系统外部管理的标识激增。 如果存在已启用但未在策略参数中列出的本地用户帐户,则计算机不合规。 | AuditIfNotExists、Disabled | 2.0.0 |
| Windows虚拟机规模集应已安装Azure Monitor代理 | 应通过部署的 Azure Monitor 代理监视和保护虚拟机规模集Windows。 Azure Monitor代理从来宾 OS 收集遥测数据。 监视支持 OS 和受支持区域中的虚拟机规模集,以便进行Azure Monitor代理部署。 了解详细信息:https://aka.ms/AMAOverview。 | AuditIfNotExists、Disabled | 3.5.0 |
| Windows虚拟机应启用 Azure 磁盘加密 或 EncryptionAtHost. | 尽管虚拟机的 OS 和数据磁盘默认使用平台管理的密钥进行静态加密,但资源磁盘(临时磁盘)、数据缓存以及计算资源和存储资源之间流动的数据不加密。 使用 Azure 磁盘加密 或 EncryptionAtHost 进行修正。 访问 https://aka.ms/diskencryptioncomparison 以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 1.1.1 |
| Windows虚拟机应已安装Azure Monitor代理 | 应通过部署Azure Monitor代理监视和保护Windows虚拟机。 Azure Monitor代理从来宾 OS 收集遥测数据。 Windows支持 OS 和受支持区域中的虚拟机监视Azure Monitor代理部署。 了解详细信息:https://aka.ms/AMAOverview。 | AuditIfNotExists、Disabled | 3.5.0 |
Microsoft。VirtualMachineImages
| Name (Azure 门户) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| VM 映像生成器模板应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 审核、已禁用、拒绝 | 1.1.0 |
Microsoft。ClassicCompute
| Name (Azure 门户) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括针对虚拟机的漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已确定某些网络安全组的入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 审核未配置灾难恢复的虚拟机 | 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| 计算机应已解决机密结果 | 审核虚拟机以检测它们是否包含虚拟机上机密扫描解决方案的机密发现结果。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应将虚拟机迁移到新的Azure 资源管理器资源 | 使用虚拟机的新Azure 资源管理器提供安全增强功能,例如:更强的访问控制(RBAC)、更好的审核、基于Azure 资源管理器的部署和管理、对托管标识的访问、机密密钥保管库的访问、Azure基于 AD 的身份验证和支持标记和资源组,以便更轻松地进行安全管理 | Audit、Deny、Disabled | 1.0.0 |
后续步骤
- 请参阅 Azure Policy GitHub 存储库上的内置。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。