Azure 原則 適用於 Azure 虛擬機器 的內建定義
適用於: ✔️ Linux VM ✔️ Windows VM ✔️ 彈性擴展集 ✔️ 統一擴展集
此頁面是 Azure 虛擬機器 Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Microsoft.Compute
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:應在您的電腦上啟用受控識別 | 由 Automanage 管理的資源應該具有受控識別。 | Audit, Disabled | 1.0.0-preview |
| [預覽]:在虛擬機器上新增使用者指派的受控身分識別,以啟用客體組態指派 | 此原則會將使用者指派的受控身分識別新增至 Azure 中所裝載且受來賓設定所支援的虛擬機器。 使用者指派的受控身分識別是所有來賓設定指派的先決條件,必須先新增至電腦,才能使用任何來賓設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.1.0-preview |
| [預覽]:將內建使用者指派的受控識別指派給虛擬機器擴展集 | 建立並指派內建使用者指派的受控識別,或將預先建立的使用者指派受控識別大規模指派給虛擬機器擴展集。 如需詳細文件,請瀏覽 aka.ms/managedidentitypolicy。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview |
| [預覽]:將內建使用者指派的受控識別指派給虛擬機器 | 建立並指派內建使用者指派的受控識別,或將預先建立的使用者指派受控識別大規模指派給虛擬機器。 如需詳細文件,請瀏覽 aka.ms/managedidentitypolicy。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.1.0-preview |
| [預覽]:Automanage 組態設定檔指派應為 Conformant | 由 Automanage 管理的資源狀態應為 Conformant 或 ConformantCorrected。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:應該為受控磁碟啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的受控磁碟受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:Azure 安全性代理程式應安裝在 Linux 虛擬機器擴展集上 | 在 Linux 虛擬機器擴展集上安裝 Azure 安全性代理程式,以監視機器的安全性設定以及是否有弱點。 評量的結果可以在 Azure 資訊安全中心查看和管理。 | AuditIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:Azure 安全性代理程式應安裝在 Linux 虛擬機器上 | 在 Linux 虛擬機器上安裝 Azure 安全性代理程式,以監視機器的安全性設定以及是否有弱點。 評量的結果可以在 Azure 資訊安全中心查看和管理。 | AuditIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:Azure 安全性代理程式應安裝在 Windows 虛擬機器擴展集上 | 在 Windows 虛擬機器擴展集上安裝 Azure 安全性代理程式,以監視機器的安全性設定以及是否有弱點。 評量的結果可以在 Azure 資訊安全中心查看和管理。 | AuditIfNotExists, Disabled | 2.1.0-preview |
| [預覽]:Azure 安全性代理程式應安裝在 Windows 虛擬機器上 | 在 Windows 虛擬機器上安裝 Azure 安全性代理程式,以監視機器的安全性設定以及是否有弱點。 評量的結果可以在 Azure 資訊安全中心查看和管理。 | AuditIfNotExists, Disabled | 2.1.0-preview |
| [預覽]:開機診斷應在虛擬機器上啟用 | Azure 虛擬機器應該已啟用開機診斷。 | Audit, Disabled | 1.0.0-preview |
| [預覽]:ChangeTracking 延伸模組應安裝在 Linux 虛擬機器上 | 在 Linux 虛擬機器上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 此延伸模組可以安裝在 Azure 監視代理程式支援的虛擬機器和位置中。 | AuditIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:ChangeTracking 延伸模組應安裝在 Linux 虛擬機器擴展集上 | 在 Linux 虛擬機器擴展集上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 此延伸模組可以安裝在 Azure 監視代理程式支援的虛擬機器和位置中。 | AuditIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:ChangeTracking 延伸模組應安裝在 Windows 虛擬機器上 | 在 Windows 虛擬機器上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 此延伸模組可以安裝在 Azure 監視代理程式支援的虛擬機器和位置中。 | AuditIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:ChangeTracking 延伸模組應安裝在 Windows 虛擬機器擴展集上 | 在 Windows 虛擬機器擴展集上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 此延伸模組可以安裝在 Azure 監視代理程式支援的虛擬機器和位置中。 | AuditIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:在虛擬機器上設定適用於 SQL 的 Azure Defender 代理程式 | 設定 Windows 機器,在已安裝 Azure 監視器代理程式的位置,自動安裝適用於 SQL 的 Azure Defender 代理程式。 資訊安全中心會從代理程式收集事件,並且用來提供安全性警示和量身打造的強化工作 (建議)。 在與機器相同的區域中建立資源群組和 Log Analytics 工作區。 目標虛擬機器必須位於支援的位置。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:針對 Linux 虛擬機器擴展集設定 ChangeTracking 延伸模組 | 設定 Linux 虛擬機器擴展集以自動安裝 ChangeTracking 延伸模組,在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 此延伸模組可以安裝在 Azure 監視器代理程式支援的虛擬機器和位置中。 | DeployIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:針對 Linux 虛擬機器設定 ChangeTracking 延伸模組 | 設定 Linux 虛擬機器以自動安裝 ChangeTracking 延伸模組,在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 此延伸模組可以安裝在 Azure 監視器代理程式支援的虛擬機器和位置中。 | DeployIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:針對 Windows 虛擬機器擴展集設定 ChangeTracking 延伸模組 | 設定 Windows 虛擬機器擴展集以自動安裝 ChangeTracking 延伸模組,在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 此延伸模組可以安裝在 Azure 監視器代理程式支援的虛擬機器和位置中。 | DeployIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:針對 Windows 虛擬機器設定 ChangeTracking 延伸模組 | 設定 Windows 虛擬機器以自動安裝 ChangeTracking 延伸模組,在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 此延伸模組可以安裝在 Azure 監視器代理程式支援的虛擬機器和位置中。 | DeployIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:將 Linux 虛擬機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將 Linux 虛擬機器連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:將 Linux VM 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA | 自動在 Linux 虛擬機器上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.4.0-preview |
| [預覽]:將 Linux VMSS 設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將 Linux 虛擬機器擴展集連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:將 Linux VMSS 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA | 自動在 Linux 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.3.0-preview |
| [預覽]:設定支援的 Linux 虛擬機器擴展集以自動安裝 Azure 安全性代理程式 | 設定支援的 Linux 虛擬機器擴展集以自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並且用來提供安全性警示和量身打造的強化工作 (建議)。 目標虛擬機器必須位於支援的位置。 | DeployIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:設定受支援的 Linux 虛擬機器擴展集以自動安裝來賓證明延伸模組 | 設定受支援的 Linux 虛擬機器擴展集以自動安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明及監視開機完整性。 透過遠端證明來證明開機完整性。 | DeployIfNotExists, Disabled | 6.1.0-preview |
| [預覽]:設定受支援的 Linux 虛擬機器以自動啟用安全開機 | 設定支援的 Linux 虛擬機器,以自動啟用安全開機,減輕對開機鏈結的惡意和未經授權變更。 啟用之後,只允許受信任的開機載入器、核心和核心驅動程式執行。 | DeployIfNotExists, Disabled | 5.0.0-preview |
| [預覽]:設定支援的 Linux 虛擬機器以自動安裝 Azure 安全性代理程式 | 將受支援的 Linux 虛擬機器設定為會自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並且用來提供安全性警示和量身打造的強化工作 (建議)。 目標虛擬機器必須位於支援的位置。 | DeployIfNotExists, Disabled | 7.0.0-preview |
| [預覽]:設定受支援的 Linux 虛擬機器以自動安裝來賓證明延伸模組 | 設定受支援的 Linux 虛擬機器以自動安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明及監視開機完整性。 透過遠端證明來證明開機完整性。 | DeployIfNotExists, Disabled | 7.1.0-preview |
| [預覽]:設定受支援的虛擬機器以自動啟用 vTPM | 將受支援的虛擬機器設定為自動啟用vTPM,以協助測量開機及其他需要 TPM 的 OS 安全性功能。 啟用之後,vTPM 即可用於證明開機完整性。 | DeployIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:設定受支援的 Windows 機器以自動安裝 Azure 安全性代理程式 | 將受支援的 Windows 電腦設定為會自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並且用來提供安全性警示和量身打造的強化工作 (建議)。 目標虛擬機器必須位於支援的位置。 | DeployIfNotExists, Disabled | 5.1.0-預覽版 |
| [預覽]:設定支援的 Windows 虛擬機器擴展集以自動安裝 Azure 安全性代理程式 | 設定支援的 Windows 虛擬機器擴展集以自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並且用來提供安全性警示和量身打造的強化工作 (建議)。 目標 Windows 虛擬機器擴展集必須位於支援的位置。 | DeployIfNotExists, Disabled | 2.1.0-preview |
| [預覽]:設定受支援的 Windows 虛擬機器擴展集以自動安裝來賓證明延伸模組 | 設定受支援的 Windows 虛擬機器擴展集以自動安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明及監視開機完整性。 透過遠端證明來證明開機完整性。 | DeployIfNotExists, Disabled | 4.1.0-preview |
| [預覽]:設定受支援的 Windows 虛擬機器以自動啟用安全開機 | 設定支援的 Windows 虛擬機器,以自動啟用安全開機,減輕對開機鏈結的惡意和未經授權變更。 啟用之後,只允許受信任的開機載入器、核心和核心驅動程式執行。 | DeployIfNotExists, Disabled | 3.0.0-preview |
| [預覽]:設定受支援的 Windows 虛擬機器以自動安裝來賓證明延伸模組 | 設定受支援的 Windows 虛擬機器以自動安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明及監視開機完整性。 透過遠端證明來證明開機完整性。 | DeployIfNotExists, Disabled | 5.1.0-預覽版 |
| [預覽]:設定由系統指派的受控識別,以在 VM 上啟用 Azure 監視器指派 | 將系統指派的受控識別設定至 Azure 中裝載的虛擬機器,該虛擬機器受 Azure 監視器支援,但是沒有任何受控識別。 系統指派的受控識別是所有 Azure 監視器指派的必要條件,必須先新增至電腦,才能使用任何 Azure 監視器延伸模組。 目標虛擬機器必須位於支援的位置。 | 修改、停用 | 6.0.0-preview |
| [預覽]:設定使用「共用映像庫」映像所建立的 VM,以安裝來賓證明延伸模組 | 設定使用「共用映像庫」映像所建立的虛擬機器,以自動安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明及監視開機完整性。 透過遠端證明來證明開機完整性。 | DeployIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:設定使用「共用映像庫」映像所建立的 VMSS,以安裝來賓證明延伸模組 | 設定使用「共用映像庫」映像所建立的 VMSS,以自動安裝來賓證明延伸模組,允許 Azure 資訊安全中心主動證明及監視開機完整性。 透過遠端證明來證明開機完整性。 | DeployIfNotExists, Disabled | 2.1.0-preview |
| [預覽]:設定 Windows Server 以停用本機使用者。 | 建立客體設定指派,以設定在 Windows Server 上停用本機使用者。 這可確保 Windows Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取,以改善整體安全性態勢。 | DeployIfNotExists, Disabled | 1.2.0-preview |
| [預覽]:將 Windows 虛擬機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將 Windows 虛擬機器連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:將 Windows VM 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA | 自動在 Windows 虛擬機器上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:將 Windows VMSS 設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將 Windows 虛擬機器擴展集連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:將 Windows VMSS 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA | 自動在 Windows 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:在 Linux 虛擬機器上部署適用於端點的 Microsoft Defender 代理程式 | 在適用的 Linux VM 映像上部署適用於端點的 Microsoft Defender 代理程式。 | DeployIfNotExists、AuditIfNotExists、Disabled | 3.0.0-preview |
| [預覽]:在 Windows 虛擬機器上部署適用於端點的 Microsoft Defender 代理程式 | 在適用的 Windows VM 映像上部署適用於端點的 Microsoft Defender。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [預覽]:對 SQL VM 啟用系統指派的身分識別 | 對 SQL 虛擬機器大規模啟用系統指派的身分識別。 您必須在訂用帳戶層級指派此原則。 在資源群組層級指派無法如預期般運作。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:應在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組 | 在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Linux 虛擬機器。 | AuditIfNotExists, Disabled | 6.0.0-preview |
| [預覽]:應在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組 | 在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Linux 虛擬機器擴展集。 | AuditIfNotExists, Disabled | 5.1.0-預覽版 |
| [預覽]:應在受支援的 Windows 虛擬機器上安裝來賓證明延伸模組 | 在受支援的虛擬機器上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Windows 虛擬機器。 | AuditIfNotExists, Disabled | 4.0.0-preview |
| [預覽]:應在受支援的 Windows 虛擬機器擴展集上安裝來賓證明延伸模組 | 在受支援的虛擬機器擴展集上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Windows 虛擬機器擴展集。 | AuditIfNotExists, Disabled | 3.1.0-preview |
| [預覽]:Linux 機器應符合 Docker 主機的 Azure 安全性基準需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 此機器未針對 Azure 安全性基準中關於 Docker 主機的其中一個建議正確設定。 | AuditIfNotExists, Disabled | 1.2.0-preview |
| [預覽]:Linux 電腦應符合 Azure 計算的 STIG 合規性需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果未針對 Azure 計算 STIG 合規性需求中的其中一項建議正確設定機器,則機器不符合規範。 DISA (美國國防資訊系統局) 提供 STIG (安全性技術實作指南) 技術指南以保護美國國防部 (DoD) 所需的計算 OS。 如需詳細資料,https://public.cyber.mil/stigs/。 | AuditIfNotExists, Disabled | 1.2.0-preview |
| [預覽]:已安裝 OMI 的 Linux 電腦應有 1.6.8-1 版或更新版本 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 由於 Linux OMI 套件 1.6.8-1 版中包含的安全性修正程式,所有機器都應該更新為最新版本。 升級使用 OMI 來解決此問題的應用程式/套件。 如需詳細資訊,請參閱https://aka.ms/omiguidance。 | AuditIfNotExists, Disabled | 1.2.0-preview |
| [預覽]:Linux 虛擬機器應該只會使用已簽署和受信任的開機元件 | 所有 OS 開機元件 (開機載入器、核心、核心驅動程式) 都必須由信任的發行者簽署。 適用於雲端的 Defender 已在一或多部 Linux 電腦上識別出不受信任的作業系統開機元件。 若要保護機器防範潛在的惡意元件,請將這些元件新增至允許清單或移除已識別的元件。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:Linux 虛擬機器應該使用安全開機 | 若要防止安裝惡意程式碼型 Rootkit 和開機套件,請在支援的 Linux 虛擬機器上啟用安全開機。 安全開機可確保只允許執行已簽署的作業系統和驅動程式。 此評量僅適用於已安裝 Azure 監視器代理程式的 Linux 虛擬機器。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
| [預覽]:機器應該關閉可能會公開攻擊媒介的連接埠 | Azure 的使用規定禁止以可能會損毀、停用、過度負載或損害任何 Microsoft 伺服器或網路的方式來使用 Azure 服務。 此建議所識別的公開連接埠必須關閉,才能繼續保有安全性。 針對每個已識別的連接埠,建議也會提供潛在威脅的說明。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:受控磁碟應該是「區域復原」 | 受控磁碟可以設定為「區域對齊」、「區域備援」或兩者皆非。 只有一個區域指派的受控磁碟是「區域對齊」。 具有以 ZRS 結尾的 SKU 名稱的受控磁碟是「區域備援」。 此原則可協助識別並強制執行受控磁碟的這些復原組態。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| [預覽]:應在受支援的 Windows 虛擬機器上啟用安全開機 | 在支援的 Windows 虛擬機器上啟用安全開機,以減輕對開機鏈結的惡意和未經授權變更。 啟用之後,只允許受信任的開機載入器、核心和核心驅動程式執行。 此評量適用於可信啟動和機密 Windows 虛擬機器。 | Audit, Disabled | 4.0.0-preview |
| [預覽]:您的機器上應該安裝系統更新 (由更新中心提供) | 您的機器缺少系統、安全性和重大更新。 軟體更新通常包含安全性漏洞的重大修補檔。 這類漏洞經常遭到惡意程式碼攻擊,因此請務必讓軟體保持更新。 若要安裝所有未安裝的修補檔並保護您的機器,請遵循補救步驟。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:虛擬機器擴展集應該是「區域復原」 | 虛擬機器擴展集可以設定為「區域對齊」、「區域備援」或兩者皆非。 在其區域陣列中只有一個項目的虛擬機器擴展集,會視為「區域對齊」。 相反地,在其區域陣列中具有 3 個以上的項目,且容量至少為 3 個的虛擬機器擴展集,會視為「區域備援」。 此原則可協助識別並強制執行這些復原組態。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽]:虛擬機器來賓證明狀態應該狀況良好 | 來賓證明是藉由將信任的記錄 (TCGLog) 傳送至證明伺服器來執行。 伺服器會使用這些記錄來判斷開機元件是否值得信任。 此評量旨在偵測開機鏈結是否遭到危害,這可能是 Bootkit 或 Rootkit 感染的結果。 此評量僅適用於已安裝來賓證明延伸模組的已啟用可信啟動虛擬機器。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:虛擬機器應該是「區域對齊」 | 虛擬機器可以設定為「區域對齊」。 如果在其區域陣列中只有一個項目,則會視為「區域對齊」。 此原則可確保其設定為在單一可用性區域內運作。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽]:應在受支援的虛擬機器上啟用 vTPM | 在受支援的虛擬機器上啟用虛擬 TPM 裝置,以輔助測量開機和需要 TPM 的其他 OS 安全性功能。 啟用之後,vTPM 即可用於證明開機完整性。 此評量僅適用於已啟用可信啟動的虛擬機器。 | Audit, Disabled | 2.0.0-preview |
| [預覽]:Windows 電腦應符合 Azure 計算的 STIG 合規性需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算的 STIG 合規性需求的其中一項建議正確設定,則電腦不符合規範。 DISA (美國國防資訊系統局) 提供 STIG (安全性技術實作指南) 技術指南以保護美國國防部 (DoD) 所需的計算 OS。 如需詳細資料,https://public.cyber.mil/stigs/。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| 虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在網際網路對應的虛擬機器上套用自適性網路強化建議 | Azure 資訊安全中心會分析網際網路對向虛擬機器的流量模式,然後提供降低潛在攻擊面的網路安全性群組規則建議 | AuditIfNotExists, Disabled | 3.0.0 |
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 允許的虛擬機器大小 SKU | 此原則可讓您指定一組您組織所能部署的虛擬機器大小 SKU。 | 拒絕 | 1.0.1 |
| 必須更新自適性應用程式控制原則中的允許清單規則 | 透過 Azure 資訊安全中心的自適性應用程式控制,監視機器群組的行為變更以進行稽核。 資訊安全中心會使用機器學習服務分析在機器上執行的程序,並建議已知安全的應用程式清單。 這些清單會顯示為自適性應用程式控制原則中允許的建議應用程式。 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核密碼檔權限未設為 0644 的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核未安裝指定應用程式的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Chef InSpec 資源指出未安裝參數所提供的一或多個套件,則電腦不相容。 | AuditIfNotExists, Disabled | 4.2.0 |
| 稽核有不需要密碼之帳戶的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核已安裝指定應用程式的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Chef InSpec 資源指出已安裝參數所提供的一或多個套件,則電腦不相容。 | AuditIfNotExists, Disabled | 4.2.0 |
| 稽核未設定災害復原的虛擬機器 | 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 稽核不是使用受控磁碟的 VM | 此原則會稽核未使用受控磁碟的 VM | 稽核 | 1.0.0 |
| 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核 Windows 電腦網路連線 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 IP 與 TCP 通訊埠的網路連線狀態與原則參數不相符,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核 DSC 設定不合規的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 傳回電腦的 DSC 設定不符合規範,則電腦不相容。 | auditIfNotExists | 3.0.0 |
| 稽核 Log Analytics 代理程式未如預期般連線的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 若未安裝代理程式,或已安裝但 COM 物件 AgentConfigManager.MgmtSvcCfg 傳回其所註冊的工作區,並非原則參數中所指定的識別碼,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核未安裝及「執行」指定服務的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-Service 的結果未包含具有原則參數所指定相符狀態的服務名稱,則電腦不相容。 | auditIfNotExists | 3.0.0 |
| 稽核未啟用 Windows 序列主控台的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 若電腦未安裝序列主控台軟體,或是未使用與原則參數相同的值來設定 EMS 連接埠號碼或傳輸速率,則電腦不相容。 | auditIfNotExists | 3.0.0 |
| 稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦允許在指定的唯一密碼數目之後重複使用密碼,則電腦不符合規範。 唯一密碼的預設值為 24 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未加入指定網域的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 WMI 類別中的網域屬性值 win32_computersystem 與原則參數中的值不相符,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核未設定為指定時區的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 WMI 類別 Win32_TimeZone 中 StandardName 的屬性值不符合原則參數所選的時區,則電腦不相容。 | auditIfNotExists | 3.0.0 |
| 稽核其憑證即將在指定天數內到期的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果指定存放區中的憑證到期日超出指定天數的範圍,則電腦不相容。 此原則也提供僅檢查特定憑證或排除特定憑證,以及是否要報告已過期憑證的選項。 | auditIfNotExists | 2.0.0 |
| 稽核其受信任的根中未包含指定憑證的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦受信任的根憑證存放區 (Cert:\LocalMachine\Root) 未包含原則參數所列出的一或多個憑證,則電腦不相容。 | auditIfNotExists | 3.0.0 |
| 稽核未將密碼最長有效期設定為指定天數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼最長有效期設定為指定天數,則電腦不符合規範。 密碼最長有效期的預設值為 70 天 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未將密碼最短有效期設定為指定天數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼最短有效期設定為指定天數,則電腦不符合規範。 密碼最短有效期的預設值為 1 天 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未啟用密碼複雜度設定的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未啟用密碼複雜度設定,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
| 稽核沒有指定 Windows PowerShell 執行原則的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-ExecutionPolicy 傳回的值不是原則參數中所選取的值,則機器不符合規範。 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核未安裝指定 Windows PowerShell 模組的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果環境變數 PSModulePath 所指定的位置中無法使用模組,則機器不符合規範。 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核未將密碼長度下限限制為指定字元數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼長度下限限制為指定的字元數,則電腦不符合規範。 密碼長度下限的預設值為 14 個字元 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
| 稽核未安裝指定應用程式的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 若在下列任一登錄路徑中找不到該應用程式名稱,該電腦即不合規:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
| 在 Administrators 群組中審查具有額外帳戶的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組包含的成員未在原則參數中列出,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核未在指定天數內重新啟動的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果類別 Win32_Operatingsystem 中的 WMI 屬性 LastBootUpTime 超出原則參數所提供的天數範圍,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核已安裝指定應用程式的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 若在下列任一登錄路徑中找不到該應用程式名稱,該電腦即不合規:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
| 稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核正在等候重新開機的 Windows VM | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦因下列任何原因而擱置重新開機,則電腦不相容:以元件為基礎的服務、Windows Update、擱置的檔案重新命名、擱置的電腦重新命名、擱置的設定管理員重新開機。 每個偵測都有唯一的登錄路徑。 | auditIfNotExists | 2.0.0 |
| 對 Linux 電腦進行驗證需要 SSH 金鑰 | 雖然 SSH 本身提供加密連線,但搭配使用密碼與 SSH 仍會讓 VM 容易受到暴力密碼破解攻擊。 透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組,也稱為 SSH 金鑰。 深入了解:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists, Disabled | 3.2.0 |
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應安全地設定雲端服務 (延伸支援) 角色執行個體 | 確認您的雲端服務 (延伸支援) 角色執行個體未暴露任何 OS 弱點,以保護其免於遭受攻擊。 | AuditIfNotExists, Disabled | 1.0.0 |
| 雲端服務 (延伸支援) 角色執行個體應安裝 Endpoint Protection 解決方案 | 確認已安裝 Endpoint Protection 解決方案,以保護您的雲端服務 (延伸支援) 角色執行個體免於威脅與弱點。 | AuditIfNotExists, Disabled | 1.0.0 |
| 雲端服務 (延伸支援) 角色執行個體應安裝系統更新 | 確認已安裝最新的安全性與重大更新,以保護您的雲端服務 (延伸支援) 角色執行個體。 | AuditIfNotExists, Disabled | 1.0.0 |
| 設定適用於伺服器的 Azure Defender 針對所有資源 (資源層級) 停用 | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 此原則會在已選取範圍 (訂用帳戶或資源群組) 針對所有資源 (VM、VMSS 和 ARC 機器) 停用適用於伺服器的 Defender 方案。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定適用於伺服器的 Azure Defender 針對具有已選取標籤的所有資源 (資源層級) 停用 | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 此原則會針對具有已選取標籤名稱和標籤值的所有資源 (VM、VMSS 和 ARC 機器) 停用適用於伺服器的 Defender 方案。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定適用於伺服器的 Azure Defender 針對具有已選取標籤的所有資源 (資源層級) 啟用 ('P1' 子方案) | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 此原則會針對具有已選取標籤名稱和標籤值的所有資源 (VM 和 ARC 機器) 啟用適用於伺服器的 Defender 方案 (具有 'P1' 子方案)。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定適用於伺服器的 Azure Defender 針對所有資源 (資源層級) 啟用 (具有 'P1' 子方案) | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 此原則會在已選取範圍 (訂用帳戶或資源群組) 針對所有資源 (VM 和 ARC 機器) 啟用適用於伺服器的 Defender 方案 (具有 'P1' 子方案)。 | DeployIfNotExists, Disabled | 1.0.0 |
| 將具有指定標籤之虛擬機器上的備份,設定為使用預設原則的新復原服務保存庫 | 在與虛擬機器相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機器的備份。 當組織中的不同應用程式小組配置了不同的資源群組,且需要管理其本身的備份和還原時,這樣做會很有用。 您可以選擇性地納入包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.2.0 |
| 將具有指定標籤之虛擬機器上的備份,設定為位於相同位置的現有復原服務保存庫 | 將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫,以強制執行所有虛擬機器的備份。 當您的組織以中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地納入包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.2.0 |
| 將沒有指定標籤之虛擬機器上的備份,設定為使用預設原則的新復原服務保存庫 | 在與虛擬機器相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機器的備份。 當組織中的不同應用程式小組配置了不同的資源群組,且需要管理其本身的備份和還原時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.2.0 |
| 將沒有指定標籤之虛擬機器上的備份,設定為相同位置中的現有復原服務保存庫 | 將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫,以強制執行所有虛擬機器的備份。 當您的組織以中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.2.0 |
| 啟用 Azure Site Recovery 的複寫功能,以在虛擬機器上設定災害復原 | 沒有災害復原設定的虛擬機器很容易因停電和其他服務中斷而受到影響。 如果虛擬機器尚未設定災害復原,這項原則會啟用預設設定來啟用複寫功能,藉以協助商務持續運作。 您可以選擇性地納入/排除包含指定標記的虛擬機器,以控制指派的範圍。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc。 | DeployIfNotExists, Disabled | 2.1.0 |
| 使用私人端點設定磁碟存取資源 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 您可以將私人端點對應至磁碟存取資源,藉此降低資料洩漏風險。 深入了解私人連結:https://aka.ms/disksprivatelinksdoc。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Linux 機器以與資料收集規則或資料收集端點相關聯 | 請部署關聯,以將 Linux 虛擬機器、虛擬機器擴展集和 Arc 機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 6.3.0 |
| 設定 Linux Server 以停用本機使用者。 | 建立客體組態指派,以設定在 Linux Server 上停用本機使用者。 這可確保 Linux Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取,以改善整體安全性態勢。 | DeployIfNotExists, Disabled | 1.3.0-preview |
| 設定 Linux 虛擬機器擴展集以與資料收集規則或資料收集端點相關聯 | 請部署關聯,以將 Linux 虛擬機器擴展集連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 4.2.0 |
| 將 Linux 虛擬機器擴展集設定為利用系統指派的受控識別型驗證,來執行 Azure 監視器代理程式 | 自動在 Linux 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.5.0 |
| 將 Linux 虛擬機器擴展集設定為利用使用者指派的受控識別型驗證,來執行 Azure 監視器代理程式 | 自動在 Linux 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.6.0 |
| 設定 Linux 虛擬機器以與資料收集規則或資料收集端點相關聯 | 部署關聯,以將 Linux 虛擬機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 4.2.0 |
| 將 Linux 虛擬機器設定為利用系統指派的受控識別型驗證,來執行 Azure 監視器代理程式 | 自動在 Linux 虛擬機器上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.5.0 |
| 將 Linux 虛擬機器設定為利用使用者指派的受控識別型驗證,來執行 Azure 監視器代理程式 | 自動在 Linux 虛擬機器上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.6.0 |
| 設定機器以接收弱點評定提供者 | Azure Defender 包含機器的弱點掃描,不需額外費用。 您不需要 Qualys 授權或 Qualys 帳戶,一切都可以在資訊安全中心內流暢進行。 當您啟用此原則時,Azure Defender 會自動將 Qualys 弱點評估提供者部署到尚未安裝的所有支援機器。 | DeployIfNotExists, Disabled | 4.0.0 |
| 設定受控磁碟以停用公用網路存取 | 停用受控磁碟資源的公用網路存取權,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/disksprivatelinksdoc。 | 修改、停用 | 2.0.0 |
| 在 Azure 虛擬機器上設定遺漏系統更新的定期檢查 | 針對原生 Azure 虛擬機器上的 OS 更新,設定自動評量 (每隔 24 小時一次)。 您可以根據機器訂用帳戶、資源群組、位置或標記來控制指派的範圍。 在以下位置深入了解,針對 Windows:https://aka.ms/computevm-windowspatchassessmentmode,針對 Linux:https://aka.ms/computevm-linuxpatchassessmentmode。 | 修改 | 4.8.0 |
| 在 Windows 電腦上設定安全通訊協定 (TLS 1.1 或 TLS 1.2) | 建立來賓設定指派,以在 Windows 電腦上設定指定的安全通訊協定版本 (TLS 1.1 或 TLS 1.2)。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定 SQL 虛擬機器以自動安裝 Azure 監視器代理程式 | 自動在 Windows SQL 虛擬機器上部署 Azure 監視器代理程式延伸模組。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.3.0 |
| 設定 SQL 虛擬機器以自動安裝適用於 SQL 的 Microsoft Defender | 設定 Windows SQL 虛擬機器以自動安裝適用於 SQL 的 Microsoft Defender 延伸模組。 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 | DeployIfNotExists, Disabled | 1.3.0 |
| 設定 SQL 虛擬機器以使用 Log Analytics 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與機器相同的區域中,建立資源群組、資料收集規則和 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.5.0 |
| 設定 SQL 虛擬機器以使用使用者定義的 LA 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與使用者定義的 Log Analytics 工作區相同的區域中建立資源群組和資料收集規則。 | DeployIfNotExists, Disabled | 1.5.0 |
| 設定適用於 SQL 的 Microsoft Defender 的 Log Analytics 工作區 | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與機器相同的區域中建立資源群組和 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.3.0 |
| 在 Windows 機器上設定時區。 | 此原則會建立客體設定指派,以在 Windows 虛擬機器上設定指定的時區。 | deployIfNotExists | 2.1.0 |
| 設定虛擬機器以在 Azure Automanage 上線 | Azure Automanage 會註冊、設定及監視虛擬機器,最佳做法如同適用於 Azure 的 Microsoft 雲端採用架構中所定義。 請使用此原則將 Automanage 套用到您選取的範圍。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 |
| 設定虛擬機器,以便在 Azure Automanage 上線,並具有自訂組態設定檔 | Azure Automanage 會註冊、設定及監視虛擬機器,最佳做法如同適用於 Azure 的 Microsoft 雲端採用架構中所定義。 使用此原則,將 Automanage 與您自己的自訂組態設定檔套用至選取的範圍。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
| 設定 Windows 機器以與資料收集規則或資料收集端點相關聯 | 請部署關聯,以將 Windows 虛擬機器、虛擬機器擴展集和 Arc 機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 4.5.0 |
| 設定 Windows 虛擬機器擴展集以與資料收集規則或資料收集端點相關聯 | 請部署關聯,以將 Windows 虛擬機器擴展集連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 3.3.0 |
| 使用系統指派的受控識別,設定 Windows 虛擬機器擴展集,以執行 Azure 監視器代理程式 | 自動在 Windows 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 3.4.0 |
| 將 Windows 虛擬機器擴展集設定為利用使用者指派的受控識別型驗證,執行 Azure 監視器代理程式 | 自動在 Windows 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.4.0 |
| 設定 Windows 虛擬機器以與資料收集規則或資料收集端點相關聯 | 請部署關聯,以將 Windows 虛擬機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 3.3.0 |
| 將 Windows 虛擬機器設定為使用系統指派的受控識別,來執行 Azure 監視器代理程式 | 自動在 Windows 虛擬機器上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 4.4.0 |
| 將 Windows 虛擬機器設定為利用使用者指派的受控識別型驗證,來執行 Azure 監視器代理程式 | 自動在 Windows 虛擬機器上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.4.0 |
| 建立及指派內建使用者指派的受控識別 | 大規模建立內建使用者指派的受控識別,並指派至 SQL 虛擬機器。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.5.0 |
| 應為列出的虛擬機器映像啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器擴展集回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
| 部署 - 設定要在 Windows 虛擬機器擴展集上啟用的 Dependency Agent | 若 VM 映像 (OS) 位於定義的清單中,且未安裝代理程式,請為 Windows 虛擬機器擴展集部署 Dependency Agent。此 OS 映像清單會隨支援更新而更新。 如果您的擴展集 upgradePolicy 設為「手動」,您必須透過更新,將延伸模組套用至集合中的所有虛擬機器。 | DeployIfNotExists, Disabled | 3.1.0 |
| 部署 - 設定要在 Windows 虛擬機器上啟用的相依性代理程式 | 若虛擬機器映像位於定義的清單中,而且未安裝代理程式,請為 Windows 虛擬機器部署相依性代理程式。 | DeployIfNotExists, Disabled | 3.1.0 |
| 部署 - 設定要在 Windows 虛擬機器擴展集上啟用的 Log Analytics 延伸模組 | 若虛擬機器映像位於定義的清單中,而且未安裝延伸模組,請為 Windows 虛擬機器擴展集部署 Log Analytics 延伸模組。 如果您的擴展集 upgradePolicy 設為「手動」,您必須透過更新,將延伸模組套用至集合中的所有虛擬機器。 淘汰通知:Log Analytics 代理程式即將淘汰,且在 2024 年 8 月 31 日之後將不再受到支援。 您必須在該日期之前移轉至替換的「Azure 監視器代理程式」。 | DeployIfNotExists, Disabled | 3.1.0 |
| 部署 - 設定要在 Windows 虛擬機器上啟用的 Log Analytics 延伸模組 | 若虛擬機器映像位於定義的清單中,而且未安裝延伸模組,請為 Windows 虛擬機器部署 Log Analytics 延伸模組。 淘汰通知:Log Analytics 代理程式即將淘汰,且在 2024 年 8 月 31 日之後將不再受到支援。 您必須在該日期之前移轉至替換的「Azure 監視器代理程式」。 | DeployIfNotExists, Disabled | 3.1.0 |
| 為 Windows Server 部署預設的 Microsoft IaaSAntimalware 延伸模組 | 此原則會在 VM 未設定反惡意程式碼軟體延伸模組時,部署預設組態的 Microsoft IaaSAntimalware 延伸模組。 | deployIfNotExists | 1.1.0 |
| 為 Linux 虛擬機器擴展集部署 Dependency Agent | 若 VM 映像 (OS) 在所定義清單中且未安裝代理程式,請部署 Linux 虛擬機器擴展集的 Dependency Agent。 注意:如果您的擴展集 upgradePolicy 設為「手動」,您必須透過呼叫升級,將擴充功能套用至集合中的所有虛擬機器。 在 CLI 中,這會是 az vmss update-instances。 | deployIfNotExists | 5.0.0 |
| 使用 Azure 監視代理程式設定,為 Linux 虛擬機器擴展集部署 Dependency Agent | 如果 VM 映像 (OS) 位於定義的清單中,而且未安裝代理程式,請使用 Azure 監視代理程式設定,為 Linux 虛擬機器擴展集部署 Dependency Agent。 注意:如果您的擴展集 upgradePolicy 設為「手動」,您必須透過呼叫升級,將擴充功能套用至集合中的所有虛擬機器。 在 CLI 中,這會是 az vmss update-instances。 | DeployIfNotExists, Disabled | 3.1.1 |
| 為 Linux 虛擬機器部署 Dependency Agent | 若 VM 映像 (OS) 位於定義的清單中,而且未安裝代理程式,請為 Linux 虛擬機器部署 Dependency Agent。 | deployIfNotExists | 5.0.0 |
| 使用 Azure 監視代理程式設定,為 Linux 虛擬機器部署 Dependency Agent | 如果 VM 映像 (OS) 位於定義的清單中,而且未安裝代理程式,請使用 Azure 監視代理程式設定,為 Linux 虛擬機器部署 Dependency Agent。 | DeployIfNotExists, Disabled | 3.1.1 |
| 使用 Azure 監視代理程式設定,在 Windows 虛擬機器擴展集上部署 Dependency Agent | 如果虛擬機器映像位於定義的清單中,而且未安裝代理程式,請使用 Azure 監視代理程式設定,為 Windows 虛擬機器擴展集部署 Dependency Agent。 如果您的擴展集 upgradePolicy 設為「手動」,您必須透過更新,將延伸模組套用至集合中的所有虛擬機器。 | DeployIfNotExists, Disabled | 1.2.2 |
| 使用 Azure 監視代理程式設定,在 Windows 虛擬機器上部署 Dependency Agent | 如果虛擬機器映像位於定義的清單中,而且未安裝代理程式,請使用 Azure 監視代理程式設定,為 Windows 虛擬機器部署 Dependency Agent。 | DeployIfNotExists, Disabled | 1.2.2 |
| 為 Linux 虛擬機器擴展集部署 Log Analytics 延伸模組。 請參閱下方的淘汰通知 | 若 VM 映像 (OS) 在所定義清單中且未安裝延伸模組,請部署 Linux 虛擬機器擴展集的 Log Analytics 延伸模組。 注意:如果您的擴展集 upgradePolicy 設為 Manual,您必須透過呼叫升級,將擴充功能套用至集合中的所有虛擬機器。 在 CLI 中,這會是 az vmss update-instances。 淘汰通知:於 2024 年 8 月 31 日之後將不再支援 Log Analytics 代理程式。 您必須在該日期之前移轉至替換的「Azure 監視器代理程式」 | deployIfNotExists | 3.0.0 |
| 為 Linux VM 部署 Log Analytics 延伸模組。 請參閱下方的淘汰通知 | 若 VM 映像 (OS) 位於定義的清單之中,而且未安裝延伸模組,請為 Linux VM 部署 Log Analytics 延伸模組。 淘汰通知:Log Analytics 代理程式即將淘汰,且在 2024 年 8 月 31 日之後將不再受到支援。 您必須在該日期之前移轉至替換的「Azure 監視器代理程式」 | deployIfNotExists | 3.0.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 磁碟存取資源應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 diskAccesses,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists, Disabled | 1.0.0 |
| 磁碟和OS映像應支援TrustedLaunch | TrustedLaunch 可改善虛擬機的安全性,而虛擬機需要 OS 磁碟和 OS 映射才能支援它(第 2 代)。 若要深入瞭解 TrustedLaunch,請造訪 https://aka.ms/trustedlaunch | Audit, Disabled | 1.0.0 |
| 應解決您機器上端點保護健康情況的問題 | 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists, Disabled | 1.0.0 |
| 您的機器上應安裝端點保護 | 若要保護您的機器免於威脅和弱點的侵害,請安裝支援的端點保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應在虛擬機器擴展集上安裝端點保護解決方案 | 稽核虛擬機器擴展集上端點保護解決方案的存在與健康狀態,以免其遭受威脅及弱點的傷害。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在您的電腦上安裝來賓設定延伸模組 | 若要確保電腦來賓內設定的安全設定,請安裝來賓設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態,以及環境設定。 安裝後便可使用客體內原則,例如「應啟用 Windows 惡意探索防護」。 深入了解:https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為 Windows Server Azure 版本 VM 啟用熱修補 | 使用熱修補快速將重新啟動和安裝更新次數降到最低。 深入了解:https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Deny, Disabled | 1.0.0 |
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 應停用虛擬機器上的 IP 轉送 | 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如,當將 VM 作為網路虛擬設備使用時),因此,這應經過網路安全性小組檢閱。 | AuditIfNotExists, Disabled | 3.0.0 |
| Linux 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
| Linux 電腦應該只有允許的本機帳戶 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 使用 Azure Active Directory 管理使用者帳戶是管理身分識別的最佳做法。 減少本機電腦帳戶有助於防止在中央系統外部管理的身分識別激增。 如果有本機使用者帳戶已啟用但是未列在原則參數中,則機器不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
| Linux 虛擬機器擴展集應安裝 Azure 監視器代理程式 | Linux 虛擬機器擴展集應透過已部署的 Azure 監視器代理程式進行監視和保護。 Azure 監視器代理程式會從客體 OS 收集遙測資料。 此原則會稽核虛擬機器擴展集,其中包含支援區域中支援的 OS 映像。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 3.2.0 |
| Linux 虛擬機應該啟用 Azure 磁碟加密 或 EncryptionAtHost。 | 雖然虛擬機的 OS 和數據磁碟預設會使用平臺受控密鑰進行待用加密;資源磁碟(暫存磁碟)、數據快取,以及計算與 儲存體 資源之間流動的數據不會加密。 使用 Azure 磁碟加密 或 EncryptionAtHost 來補救。 請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應專案。 此原則需要兩個必要條件才能部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 1.2.1 |
| Linux 虛擬機器應安裝 Azure 監視器代理程式 | Linux 虛擬機器應透過已部署的 Azure 監視器代理程式進行監視和保護。 Azure 監視器代理程式會從客體 OS 收集遙測資料。 此原則會稽核支援區域中具有受支援 OS 映像的虛擬機器。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 3.2.0 |
| Linux 電腦上應停用本機驗證方法 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 伺服器未停用本機驗證方法,則電腦不符合規範。 這可驗證 Linux Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取,以改善整體安全性態勢。 | AuditIfNotExists, Disabled | 1.2.0-preview |
| Windows 伺服器上應停用本機驗證方法 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 伺服器未停用本機驗證方法,則電腦不符合規範。 這可驗證 Windows Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取,以改善整體安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| Log Analytics 代理程式應安裝於您的雲端服務 (延伸支援) 角色執行個體 | 資訊安全中心會從您的雲端服務 (延伸支援) 角色執行個體收集資料,以監視是否存在安全性弱點及威脅。 | AuditIfNotExists, Disabled | 2.0.0 |
| 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 如果未安裝 Log Analytics 代理程式,以供資訊安全中心監視安全性弱點及威脅,則此原則會稽核所有 Windows/Linux 虛擬機器 (VM) | AuditIfNotExists, Disabled | 1.0.0 |
| 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 資訊安全中心會從您的 Azure 虛擬機器 (VM) 收集資料,以監視是否有安全性弱點及威脅。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
| 機器應該設定定期檢查,以檢查是否有遺漏的系統更新 | 為了確保每隔 24 小時自動觸發遺漏系統更新的定期評量,AssessmentMode 屬性應該設定為 'AutomaticByPlatform'。 在以下位置深入了解 AssessmentMode 屬性,針對 Windows:https://aka.ms/computevm-windowspatchassessmentmode,針對 Linux:https://aka.ms/computevm-linuxpatchassessmentmode。 | Audit, Deny, Disabled | 3.7.0 |
| 電腦上應已解決發現的祕密 | 稽核虛擬機器,以從虛擬機器上的祕密掃描解決方案偵測其是否包含發現的祕密。 | AuditIfNotExists, Disabled | 1.0.2 |
| 受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 | 要求高安全性,且擔憂與任何特定加密演算法、實作或金鑰遭盜用相關風險的客戶,可以選擇使用平台代控加密金鑰,在基礎結構層使用不同的加密演算法/模式,多一層加密的保障。 需要有磁碟加密集,才能使用雙重加密。 深入了解:https://aka.ms/disks-doubleEncryption。 | Audit, Deny, Disabled | 1.0.0 |
| 受控磁碟應停用公用網路存取 | 停用公用網路存取可確保受控磁碟不會在公用網際網路上公開,進而改善安全性。 建立私人端點可能會限制受控磁碟的暴露程度。 深入了解:https://aka.ms/disksprivatelinksdoc。 | Audit, Disabled | 2.0.0 |
| 受控磁碟應針對客戶自控金鑰加密使用一組特定的磁碟加密集 | 需要一組特定的磁碟加密集搭配受控磁碟使用,讓您控制用於待用加密的金鑰。 您可以選取允許的加密集,而所有其他設定會在連結至磁碟時遭到拒絕。 深入了解:https://aka.ms/disks-cmk。 | Audit, Deny, Disabled | 2.0.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
| Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 此原則會稽核未設定自動更新 Microsoft Antimalware 保護簽章的任何 Windows 虛擬機器。 | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 此原則會稽核任何未部署 Microsoft IaaSAntimalware 延伸模組的 Windows 伺服器 VM。 | AuditIfNotExists, Disabled | 1.1.0 |
| 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 僅應安裝已核准的 VM 擴充功能 | 此原則會控管未核准的虛擬機器延伸模組。 | Audit, Deny, Disabled | 1.0.0 |
| OS 和資料磁碟應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰來管理受控磁碟內容的待用加密。 依預設,資料會使用平台代控金鑰進行待用加密,但若要遵循法規,通常需要有客戶自控金鑰。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/disks-cmk。 | Audit, Deny, Disabled | 3.0.0 |
| 應啟用客體設定指派的私人端點 | 私人端點連線透過啟用與虛擬機器客體設定的私人連線,可強制執行安全通訊。 除非虛擬機器具有 'EnablePrivateNetworkGC' 標籤,否則虛擬機器將不符合規範。 此標籤會透過與虛擬機器客體設定的私人連線來強制執行安全通訊。 私人端點連線限制僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | Audit, Deny, Disabled | 1.1.0 |
| 匯出或上傳至磁碟或快照集時,使用驗證需求保護您的資料。 | 使用匯出/上傳 URL 時,系統會檢查使用者在 Azure Active Directory 中是否有身分識別,以及是否具有匯出/上傳資料的必要權限。 請參閱 aka.ms/DisksAzureADAuth。 | 修改、停用 | 1.0.0 |
| 虛擬機器擴展集需要自動 OS 映像修補 | 此原則會強制啟用虛擬機器擴展集上的自動 OS 映像修補,以藉由每月安全地套用最新安全性修補程式,隨時保持虛擬機器安全無虞。 | 拒絕 | 1.0.0 |
| 使用 Azure 更新管理員排程週期性更新 | 您可以使用 Azure 中的 Azure 更新管理員,以儲存週期性部署排程,在 Azure、內部部署環境、以及使用已啟用 Azure Arc 的伺服器連線的其他雲端環境中,為您的 Windows Server 和 Linux 機器安裝作業系統更新。 此原則也會將 Azure 虛擬機器的修補模式變更為「AutomaticByPlatform」。 更多資訊:https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
| 機器上的 SQL Server 應已解決發現的弱點 | SQL 弱點評估會掃描您的資料庫以尋找安全性弱點,並顯示與最佳做法不符的偏差動作,例如設定錯誤、過度授權或未保護敏感性資料。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應在虛擬機器擴展集上安裝系統更新 | 稽核是否遺漏了任何應安裝的系統安全性更新和重大更新,以確保您的 Windows 及 Linux 虛擬機器擴展集安全無虞。 | AuditIfNotExists, Disabled | 3.0.0 |
| 您應在機器上安裝系統更新 | Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 | AuditIfNotExists, Disabled | 4.0.0 |
| 舊版 Log Analytics 延伸模組不應安裝在 Linux 虛擬機器擴展集上 | 自動防止將舊版 Log Analytics 代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 在您已解除安裝現有舊版延伸模組之後,此原則將會拒絕 Linux 虛擬機器擴展集上舊版代理程式延伸模組的所有未來安裝。 深入了解:https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| 舊版 Log Analytics 延伸模組不應安裝在 Linux 虛擬機器上 | 自動防止將舊版 Log Analytics 代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 在您已解除安裝現有舊版延伸模組之後,此原則將會拒絕 Linux 虛擬機器上舊版代理程式延伸模組的所有未來安裝。 深入了解:https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| 舊版 Log Analytics 延伸模組不應安裝在虛擬機器擴展集上 | 自動防止將舊版 Log Analytics 代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 在您已解除安裝現有舊版延伸模組之後,此原則將會拒絕 Windows 虛擬機器擴展集上舊版代理程式延伸模組的所有未來安裝。 深入了解:https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| 舊版 Log Analytics 延伸模組不應安裝在虛擬機器上 | 自動防止將舊版 Log Analytics 代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 在您已解除安裝現有舊版延伸模組之後,此原則將會拒絕 Windows 虛擬機器上舊版代理程式延伸模組的所有未來安裝。 深入了解:https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 此原則會稽核任何 Windows/Linux 虛擬機器擴展集是否未安裝 Log Analytics 延伸模組。 | AuditIfNotExists, Disabled | 1.0.1 |
| 虛擬機應該已啟用 TrustedLaunch | 在虛擬機上啟用 TrustedLaunch 以提高安全性,請使用支援 TrustedLaunch 的 VM SKU (Gen 2)。 若要深入瞭解 TrustedLaunch,請造訪 https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, Disabled | 1.0.0 |
| 虛擬機器和虛擬機器擴展集應啟用主機上的加密 | 使用主機上的加密可進行虛擬機器和虛擬機器擴展集資料的端對端加密。 主機上的加密可讓您對暫存磁碟和 OS/資料磁碟快取進行待用加密。 啟用主機上的加密時,暫存和暫時性 OS 磁碟會使用平台代控金鑰進行加密。 視磁碟上選取的加密類型而定,OS/資料磁碟快取會使用客戶自控金鑰或平台代控金鑰進行待用加密。 深入了解:https://aka.ms/vm-hbe。 | Audit, Deny, Disabled | 1.0.0 |
| 虛擬機器應連線到指定的工作區 | 若虛擬機器不是登入原則/方案指派中指定的 Log Analytics 工作區,便會將其回報為不符合規範。 | AuditIfNotExists, Disabled | 1.1.0 |
| 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 | Audit, Deny, Disabled | 1.0.0 |
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| 虛擬機器應已安裝 Log Analytics 延伸模組 | 此原則會稽核任何 Windows/Linux 虛擬機器是否未安裝 Log Analytics 延伸模組。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| 應補救容器安全性設定中的弱點 | 在已安裝 Docker 且在 Azure 資訊安全中心顯示為建議的電腦上,稽核安全性設定中的弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
| 您應在機器上修復安全性組態的弱點 | Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
| 應修復虛擬機器擴展集上安全性組態的弱點 | 稽核虛擬機器擴展集上的 OS 弱點,以免其遭受攻擊。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
| Windows 電腦應該設定為使用安全通訊協定 | 若要保護透過網際網路通訊的資訊隱私權,您的電腦應該使用最新版的業界標準密碼編譯通訊協定,即傳輸層安全性 (TLS)。 TLS 會藉由加密電腦之間的連線來保護透過網路的通訊。 | AuditIfNotExists, Disabled | 4.1.1 |
| Windows 電腦應設定 Windows Defender 在一天內更新保護簽章 | 若要提供足夠的保護以抵禦新發行的惡意程式碼,Windows Defender 保護簽章必須定期更新以應對新發行的惡意程式碼。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.0 |
| Windows 電腦應啟用 Windows Defender 即時保護 | Windows 電腦應啟用 Windows Defender 中的即時保護,提供足夠的保護以抵禦新發行的惡意程式碼。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.0 |
| Windows 電腦應符合「系統管理範本 - 控制台」的需求 | Windows 電腦在 [系統管理範本 - 控制台] 類別中應具有指定的群組原則設定,以將輸入個人化和防止啟用鎖定畫面。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統管理範本 - MSS (舊版)」的需求 | Windows 電腦的 [系統管理範本 - MSS (舊版)] 類別中應具有指定的群組原則設定,以用於自動登入、螢幕保護裝置、網路行為、安全 DLL 和事件記錄檔。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統管理範本 - 網路」的需求 | Windows 電腦在 [系統管理範本 - 網路] 類別中應具有指定的 [群組原則] 設定,以進行來賓登入、同時連線、網路橋接器、ICS 和多點傳送名稱解析。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統管理範本 - 系統」的需求 | Windows 電腦的 [系統管理範本 - 系統] 類別中應具有指定的群組原則設定,以透過設定來控制系統管理體驗和遠端協助。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 帳戶」的需求 | Windows 電腦的 [安全性選項 - 帳戶] 類別中應具有指定群組原則設定,以限制空白密碼和來賓帳戶狀態下的本機帳戶使用方式。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 稽核」的需求 | Windows 電腦的「安全性選項 - 稽核」類別中應有指定的群組原則設定,以強制執行稽核原則子類別,並在無法記錄安全性審核時關閉。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 裝置」的需求 | Windows 電腦的 [安全性選項 - 裝置] 類別中應具有指定群組原則設定,以在不登入的情況下進行卸除、安裝列印驅動程式,以及格式化/退出媒體。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 互動式登入」的需求 | Windows 電腦的 [安全性選項 - 互動式登入] 類別中應具有指定的群組原則設定,以顯示最後一個使用者名稱,並要求使用 ctrl-alt-del。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - Microsoft 網路用戶端」的需求 | Windows 電腦的 [安全性選項 - Microsoft 網路用戶端] 類別中應具有指定的群組原則設定,以用於 Microsoft 網路用戶端/伺服器和 SMB v1。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - Microsoft 網路伺服器」的需求 | Windows 電腦在 [安全性選項 - Microsoft 網路伺服器] 類別中應具有指定的 [群組原則] 設定,才能停用 SMB v1 伺服器。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 網路存取」的需求 | Windows 電腦的 [安全性選項 - 網路存取] 類別中應具有指定的群組原則設定,以包含匿名使用者的存取、本機帳戶及登錄的遠端存取。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | Windows 電腦在 [安全性選項 - 網路安全性] 類別中應具有指定的 [群組原則] 設定,以便包含本機系統行為、PKU2U、LAN Manager、LDAP 用戶端和 NTLM SSP。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 修復主控台」的需求 | Windows 電腦的 [安全性選項 - 復原主控台] 類別中應該有指定的群組原則設定,以允許對所有磁碟機和資料夾進行軟碟複製和存取。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 關機」的需求 | Windows 電腦的 [安全性選項 - 關閉] 類別中應具有指定的群組原則設定,以允許在不登入的情況下關機,以及清除虛擬記憶體分頁檔。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 系統物件」的需求 | Windows 電腦的 [安全性選項 - 系統物件] 類別中應具有指定的群組原則設定,以因應非 Windows 子系統和內部系統物件權限的大小寫區分。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 系統設定」的需求 | Windows 電腦的 [安全性選項 - 系統設定] 類別中應具有指定的群組原則設定,以在SRP 和選擇性子系統的可執行檔上建立憑證規則。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 使用者帳戶控制」的需求 | Windows 電腦的 [安全性選項 - 使用者帳戶控制] 類別中應該有指定的群組原則設定,以用於管理員模式、提高權限提示行為及虛擬化檔案和登錄寫入失敗。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性設定 - 帳戶原則」的需求 | Windows 電腦的 [安全性設定 - 帳戶原則] 類別中應具有指定的群組原則設定,以取得密碼歷程記錄、存留期、長度、複雜度,以及使用可還原的加密來儲存密碼。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 帳戶登入」的需求 | Windows 電腦的 [系統稽核原則 - 帳戶登入] 類別中應具有指定的群組原則設定,以用於稽核認證驗證和其他帳戶登入事件。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 帳戶管理」的需求 | Windows 電腦的「系統稽核原則 - 帳戶管理」類別中應有指定的群組原則設定,以用於稽核應用程式、安全性和使用者群組管理及其他管理事件。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | Windows 電腦的「系統稽核原則 - 詳細追蹤」類別中應有指定的群組原則設定,以用於稽核 DPAPI、程序建立/終止、RPC 事件和 PNP 活動。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 登入-登出」的需求 | Windows 電腦的 [系統稽核原則 - 登入-登出] 類別中應具有指定的群組原則設定,以用於稽核 IPSec、網路原則、宣告、帳戶鎖定、群組成員資格,以及登入/登出事件。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 物件存取」的需求 | Windows 電腦的 [系統稽核原則 - 物件存取] 類別中應具有指定的群組原則設定,以用於稽核檔案、登錄、SAM、儲存體、篩選、核心和其他系統類型。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 原則變更」的需求 | Windows 電腦的 [系統稽核原則 - 原則變更] 類別中應具有指定的群組原則設定,以用於稽核系統稽核原則的變更。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 特殊權限使用」的需求 | Windows 電腦的 [系統稽核原則 - 特殊權限使用] 類別中應具有指定的群組原則設定,以用於稽核非敏感性和其他特殊權限的使用。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 系統」的需求 | Windows 電腦的 [系統稽核原則 - 系統] 類別中應具有指定的群組原則設定,以用於稽核 IPsec 驅動程式、系統完整性、系統擴充、狀態變更和其他系統事件。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「使用者權限指派」的需求 | Windows 電腦的「使用者權限指派」類別中應具有指定的群組原則設定,以允許本機登入、RDP、從網路存取,以及其他許多使用者活動。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「Windows 元件」的需求 | Windows 電腦的 [Windows 元件] 類別中應具有指定的群組原則設定,以用於基本驗證、未加密流量、Microsoft 帳戶、遙測、Cortana 和其他 Windows 行為。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「Windows 防火牆屬性」的需求 | Windows 電腦的 [Windows 防火牆內容] 類別中應具有指定的群組原則設定,以用於防火牆狀態、連線、規則管理和通知。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
| Windows 電腦應該只有允許的本機帳戶 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 Windows Server 2012 或 2012 R2 不支援此定義。 使用 Azure Active Directory 管理使用者帳戶是管理身分識別的最佳做法。 減少本機電腦帳戶有助於防止在中央系統外部管理的身分識別激增。 如果有本機使用者帳戶已啟用但是未列在原則參數中,則機器不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
| Windows 電腦應排程 Windows Defender,每天執行排定的掃描 | 若要確保提示偵測惡意程式碼並將其對系統的影響降到最低,建議具有 Windows Defender 的 Windows 電腦排程每日掃描。 請確定支援 Windows Defender、預先安裝於裝置上,並部署客體組態必要條件。 不符合這些需求可能會導致評估結果不正確。 在以下位置深入了解客體組態:https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.2.0 |
| Windows 電腦應使用預設的 NTP 伺服器 | 將「time.windows.com」設定為所有 Windows 電腦的預設 NTP Server,確保所有系統之間的記錄都具有同步的系統時鐘。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.0 |
| Windows 虛擬機器擴展集應安裝 Azure 監視器代理程式 | Windows 虛擬機器擴展集應透過已部署的 Azure 監視器代理程式進行監視和保護。 Azure 監視器代理程式會從客體 OS 收集遙測資料。 在支援區域中具有受支援 OS 的虛擬機器擴展集,會針對 Azure 監視代理程式部署受到監視。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 3.2.0 |
| Windows 虛擬機應該啟用 Azure 磁碟加密 或 EncryptionAtHost。 | 雖然虛擬機的 OS 和數據磁碟預設會使用平臺受控密鑰進行待用加密;資源磁碟(暫存磁碟)、數據快取,以及計算與 儲存體 資源之間流動的數據不會加密。 使用 Azure 磁碟加密 或 EncryptionAtHost 來補救。 請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應專案。 此原則需要兩個必要條件才能部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 1.1.1 |
| Windows 虛擬機器應安裝 Azure 監視器代理程式 | Windows 虛擬機器應透過已部署的 Azure 監視器代理程式進行監視和保護。 Azure 監視器代理程式會從客體 OS 收集遙測資料。 在支援的區域中具有受支援 OS 的 Windows 虛擬機器,會針對 Azure 監視器代理程式部署受到監視。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 3.2.0 |
Microsoft.VirtualMachineImages
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| VM 映像產生器範本應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 VM Image Builder 建置資源,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 稽核、停用、拒絕 | 1.1.0 |
Microsoft.ClassicCompute
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 必須更新自適性應用程式控制原則中的允許清單規則 | 透過 Azure 資訊安全中心的自適性應用程式控制,監視機器群組的行為變更以進行稽核。 資訊安全中心會使用機器學習服務分析在機器上執行的程序,並建議已知安全的應用程式清單。 這些清單會顯示為自適性應用程式控制原則中允許的建議應用程式。 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核未設定災害復原的虛擬機器 | 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 應解決您機器上端點保護健康情況的問題 | 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists, Disabled | 1.0.0 |
| 您的機器上應安裝端點保護 | 若要保護您的機器免於威脅和弱點的侵害,請安裝支援的端點保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 應停用虛擬機器上的 IP 轉送 | 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如,當將 VM 作為網路虛擬設備使用時),因此,這應經過網路安全性小組檢閱。 | AuditIfNotExists, Disabled | 3.0.0 |
| 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 如果未安裝 Log Analytics 代理程式,以供資訊安全中心監視安全性弱點及威脅,則此原則會稽核所有 Windows/Linux 虛擬機器 (VM) | AuditIfNotExists, Disabled | 1.0.0 |
| 電腦上應已解決發現的祕密 | 稽核虛擬機器,以從虛擬機器上的祕密掃描解決方案偵測其是否包含發現的祕密。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
| 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 您應在機器上安裝系統更新 | Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 | AuditIfNotExists, Disabled | 4.0.0 |
| 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 | Audit, Deny, Disabled | 1.0.0 |
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| 應補救容器安全性設定中的弱點 | 在已安裝 Docker 且在 Azure 資訊安全中心顯示為建議的電腦上,稽核安全性設定中的弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
| 您應在機器上修復安全性組態的弱點 | Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。