Předdefinované definice služby Azure Policy pro Azure Virtual Machines
Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️ ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro Azure Virtual Machines. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Microsoft.Compute
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Spravovaná identita by měla být na vašich počítačích povolená. | Prostředky spravované službou Automanage by měly mít spravovanou identitu. | Audit, zakázáno | 1.0.0-preview |
| [Preview]: Přidání spravované identity přiřazené uživatelem pro povolení přiřazení konfigurace hosta na virtuálních počítačích | Tato zásada přidá spravovanou identitu přiřazenou uživatelem k virtuálním počítačům hostovaným v Azure, které podporuje konfigurace hosta. Spravovaná identita přiřazená uživatelem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-preview |
| [Preview]: Přiřazení předdefinované spravované identity přiřazené uživatelem ke škálovacím sadám virtuálních počítačů | Vytvořte a přiřaďte integrovanou spravovanou identitu přiřazenou uživatelem nebo přiřaďte předem vytvořenou spravovanou identitu přiřazenou uživatelem ve velkém měřítku ke škálovacím sadám virtuálních počítačů. Podrobnější dokumentaci najdete v aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
| [Preview]: Přiřazení předdefinované spravované identity přiřazené uživatelem k virtuálním počítačům | Vytvořte a přiřaďte předdefinované spravované identity přiřazené uživatelem nebo přiřaďte předem vytvořenou spravovanou identitu přiřazenou uživatelem ve velkém měřítku virtuálním počítačům. Podrobnější dokumentaci najdete v aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
| [Preview]: Audit řízení stavu SSH na počítačích s Linuxem | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud server SSH není na počítačích s Linuxem bezpečně nakonfigurovaný. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Přiřazení automatického konfiguračního profilu by mělo být v souladu | Prostředky spravované službou Automanage by měly mít stav Conformant nebo ConformantCorrected. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Pro Spravované disky by měla být povolená služba Azure Backup. | Zajistěte ochranu Spravované disky povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Agent zabezpečení Azure by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů s Linuxem. | Nainstalujte na škálovací sady virtuálních počítačů s Linuxem agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Agent zabezpečení Azure by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Nainstalujte na virtuální počítače s Linuxem agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení vašich počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Agent zabezpečení Azure by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů s Windows. | Nainstalujte na škálovací sady virtuálních počítačů s Windows agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení vašich počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 2.1.0-preview |
| [Preview]: Agent zabezpečení Azure by měl být nainstalovaný na virtuálních počítačích s Windows. | Nainstalujte na virtuální počítače s Windows agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení vašich počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 2.1.0-preview |
| [Preview]: Diagnostika spouštění by měla být povolená na virtuálních počítačích. | Virtuální počítače Azure by měly mít povolené spouštění diagnostiky. | Audit, zakázáno | 1.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by se mělo nainstalovat na virtuální počítač s Linuxem. | Nainstalujte rozšíření ChangeTracking na virtuální počítače s Linuxem, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by mělo být nainstalované ve škálovacích sadách virtuálních počítačů s Linuxem. | Nainstalujte rozšíření ChangeTracking ve škálovacích sadách virtuálních počítačů s Linuxem, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by se mělo nainstalovat na virtuální počítač s Windows. | Nainstalujte rozšíření ChangeTracking na virtuální počítače s Windows, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by se mělo nainstalovat do škálovacích sad virtuálních počítačů s Windows. | Nainstalujte rozšíření ChangeTracking ve škálovacích sadách virtuálních počítačů s Windows, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace agenta Azure Defenderu pro SQL na virtuálním počítači | Nakonfigurujte počítače s Windows tak, aby automaticky nainstalovaly agenta Azure Defenderu pro SQL, na kterém je nainstalovaný agent služby Azure Monitor. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvoří skupinu prostředků a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. Cílové virtuální počítače musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace zálohování disků Azure (Spravované disky) s danou značkou do existujícího trezoru záloh ve stejné oblasti | Vynucujte zálohování pro všechny disky Azure (Spravované disky), které obsahují danou značku centrálnímu trezoru záloh. Další informace najdete na adrese https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0-preview |
| [Preview]: Konfigurace zálohování disků Azure (Spravované disky) bez dané značky do existujícího trezoru záloh ve stejné oblasti | Vynucujte zálohování pro všechny disky Azure (Spravované disky), které neobsahují danou značku centrálnímu trezoru záloh. Další informace najdete na adrese https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0-preview |
| [Preview]: Konfigurace rozšíření ChangeTracking pro škálovací sady virtuálních počítačů s Linuxem | Nakonfigurujte škálovací sady virtuálních počítačů s Linuxem tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace rozšíření ChangeTracking pro virtuální počítače s Linuxem | Nakonfigurujte virtuální počítače s Linuxem tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace rozšíření ChangeTracking pro škálovací sady virtuálních počítačů s Windows | Nakonfigurujte škálovací sady virtuálních počítačů s Windows tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace rozšíření ChangeTracking pro virtuální počítače s Windows | Nakonfigurujte virtuální počítače s Windows tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace virtuálních počítačů s Linuxem pro přidružení k pravidlu shromažďování dat pro ChangeTracking a Inventory | Nasaďte přidružení pro propojení virtuálních počítačů s Linuxem se zadaným pravidlem shromažďování dat, abyste povolili ChangeTracking a Inventory. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace virtuálních počítačů s Linuxem pro instalaci AMA pro ChangeTracking a Inventory s využitím spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na virtuálních počítačích s Linuxem pro povolení řešení ChangeTracking a Inventory. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.5.0-preview |
| [Preview]: Nakonfigurujte virtuální počítače s Linuxem tak, aby byly přidružené k pravidlu shromažďování dat pro ChangeTracking a Inventory. | Nasaďte přidružení pro propojení škálovacích sad virtuálních počítačů s Linuxem se zadaným pravidlem shromažďování dat, které povolí ChangeTracking a Inventory. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace linuxové sady VMSS pro instalaci AMA pro ChangeTracking a Inventory s využitím spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Azure Monitoru ve škálovacích sadách virtuálních počítačů s Linuxem pro povolení řešení ChangeTracking a Inventory. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.4.0-preview |
| [Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Linuxem pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Linuxem tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové virtuální počítače musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Linuxem pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Linuxem tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 6.1.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů s Linuxem pro automatické povolení zabezpečeného spouštění | Nakonfigurujte podporované virtuální počítače s Linuxem, aby se automatické povolení zabezpečeného spouštění zmírnit proti škodlivým a neoprávněným změnám ve spouštěcím řetězu. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. | DeployIfNotExists, zakázáno | 5.0.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů s Linuxem pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované virtuální počítače s Linuxem tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové virtuální počítače musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 7.0.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů s Linuxem pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované virtuální počítače s Linuxem, aby automaticky nainstalovaly rozšíření Ověření hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 7.1.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů pro automatické povolení virtuálního počítače vTPM | Nakonfigurujte podporované virtuální počítače tak, aby automaticky povolovali virtuální počítače vTPM, aby usnadnily měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace podporovaných počítačů s Windows pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované počítače s Windows tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové virtuální počítače musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 5.1.0-preview |
| [Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Windows pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Windows tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové škálovací sady virtuálních počítačů s Windows musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 2.1.0-preview |
| [Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Windows pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Windows tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 4.1.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů s Windows pro automatické povolení zabezpečeného spouštění | Nakonfigurujte podporované virtuální počítače s Windows, aby se automatické povolení zabezpečeného spouštění zmírnit proti škodlivým a neoprávněným změnám spouštěcího řetězce. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. | DeployIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů s Windows pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované virtuální počítače s Windows tak, aby automaticky nainstalovaly rozšíření Ověření hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 5.1.0-preview |
| [Preview]: Konfigurace spravované identity přiřazené systémem pro povolení přiřazení služby Azure Monitor na virtuálních počítačích | Nakonfigurujte spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které podporuje Azure Monitor, a nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení služby Azure Monitor a před použitím jakéhokoli rozšíření Služby Azure Monitor je nutné ji přidat do počítačů. Cílové virtuální počítače musí být v podporovaném umístění. | Upravit, zakázáno | 6.0.0-preview |
| [Preview]: Konfigurace virtuálníchpočítačůch | Nakonfigurujte virtuální počítače vytvořené pomocí imagí Sdílené galerie imagí tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby služba Azure Security Center mohla proaktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace VMSS vytvořené pomocí imagí sdílené galerie imagí image pro instalaci rozšíření Ověření identity hosta | Nakonfigurujte službu VMSS vytvořenou pomocí imagí sdílené galerie imagí, aby automaticky nainstalovala rozšíření Ověření identity hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 2.1.0-preview |
| [Preview]: Nakonfigurujte Windows Server tak, aby zakázal místní uživatele. | Vytvoří přiřazení konfigurace hosta pro konfiguraci zakázání místních uživatelů na Windows Serveru. Tím zajistíte, že k Windows Serverům bude mít přístup jenom účet AAD (Azure Active Directory) nebo seznam explicitně povolených uživatelů pomocí této zásady, což zlepšuje celkový stav zabezpečení. | DeployIfNotExists, zakázáno | 1.2.0-preview |
| [Preview]: Nakonfigurujte virtuální počítače s Windows tak, aby byly přidružené k pravidlu shromažďování dat pro ChangeTracking a Inventory. | Nasaďte přidružení pro propojení virtuálních počítačů s Windows se zadaným pravidlem shromažďování dat, které povolí ChangeTracking a Inventory. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace virtuálních počítačů s Windows pro instalaci AMA pro ChangeTracking a Inventory s využitím spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na virtuálních počítačích s Windows pro povolení řešení ChangeTracking a Inventory. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.1.0-preview |
| [Preview]: Nakonfigurujte virtuální počítače s Windows tak, aby byly přidružené k pravidlu shromažďování dat pro ChangeTracking a Inventory. | Nasaďte přidružení pro propojení škálovacích sad virtuálních počítačů s Windows s určeným pravidlem shromažďování dat, které povolí ChangeTracking a Inventory. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace služby Windows VMSS pro instalaci AMA pro ChangeTracking a Inventory s využitím spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Azure Monitoru ve škálovacích sadách virtuálních počítačů s Windows pro povolení řešení ChangeTracking a Inventory. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.1.0-preview |
| [Preview]: Nasazení agenta Microsoft Defenderu for Endpoint na virtuálních počítačích s Linuxem | Nasadí agenta Microsoft Defenderu for Endpoint na příslušné image virtuálních počítačů s Linuxem. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Preview]: Nasazení agenta Microsoft Defenderu for Endpoint na virtuálních počítačích s Windows | Nasadí Microsoft Defender for Endpoint na příslušné image virtuálních počítačů s Windows. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Preview]: Povolení identity přiřazené systémem k virtuálnímu počítači SQL | Povolte identitu přiřazenou systémem ve velkém měřítku na virtuální počítače SQL. Tuto zásadu musíte přiřadit na úrovni předplatného. Přiřazení na úrovni skupiny prostředků nebude fungovat podle očekávání. | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem | Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače s Linuxem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Linuxem. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Rozšíření ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem. | Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů s Linuxem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Linuxem. | AuditIfNotExists, zakázáno | 5.1.0-preview |
| [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows. | Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Windows. | AuditIfNotExists, zakázáno | 4.0.0-preview |
| [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů s Windows. | Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů, které umožňují službě Azure Security Center aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Windows. | AuditIfNotExists, zakázáno | 3.1.0-preview |
| [Preview]: Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení Azure pro hostitele Dockeru. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítač není správně nakonfigurovaný pro jedno z doporučení v standardních hodnotách zabezpečení Azure pro hostitele Dockeru. | AuditIfNotExists, zakázáno | 1.2.0-preview |
| [Preview]: Počítače s Linuxem by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení v požadavcích na dodržování předpisů STIG pro výpočetní prostředky Azure. DISA (Defense Information Systems Agency) poskytuje technické příručky STIG (Průvodce technickou implementací zabezpečení) k zabezpečení výpočetního operačního systému podle požadavků ministerstva obrany (DoD). Další podrobnosti https://public.cyber.mil/stigs/získáte. | AuditIfNotExists, zakázáno | 1.2.0-preview |
| [Preview]: Počítače s Linuxem s nainstalovaným OMI by měly mít verzi 1.6.8-1 nebo novější. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Vzhledem k opravě zabezpečení, která je součástí balíčku OMI verze 1.6.8-1 pro Linux, by se všechny počítače měly aktualizovat na nejnovější verzi. Upgradujte aplikace nebo balíčky, které k vyřešení problému používají OMI. Další informace najdete na webu https://aka.ms/omiguidance. | AuditIfNotExists, zakázáno | 1.2.0-preview |
| [Preview]: Virtuální počítače s Linuxem by měly používat jenom podepsané a důvěryhodné spouštěcí komponenty. | Všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) musí být podepsané důvěryhodnými vydavateli. Defender for Cloud identifikoval nedůvěryhodné spouštěcí komponenty operačního systému na jednom nebo několika počítačích s Linuxem. Pokud chcete chránit počítače před potenciálně škodlivými komponentami, přidejte je do seznamu povolených nebo odeberte identifikované komponenty. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Virtuální počítače s Linuxem by měly používat zabezpečené spouštění. | Pokud chcete chránit před instalací rootkitů a spouštěcích sad založených na malwaru, povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Linuxem. Zabezpečené spouštění zajišťuje, aby běžely jenom podepsané operační systémy a ovladače. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta služby Azure Monitor. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | Hlásí virtuální počítače jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaném a rozšíření není nainstalované. | AuditIfNotExists, zakázáno | 2.0.1-preview |
| [Preview]: Počítače by měly mít uzavřené porty, které by mohly vystavit vektory útoku. | Podmínky použití Azure zakazují používání služeb Azure způsoby, které by mohly poškodit, zakázat, přetížit nebo narušit jakýkoli server Microsoftu nebo síť. Vystavené porty identifikované tímto doporučením musí být pro vaše trvalé zabezpečení uzavřeny. Pro každý identifikovaný port doporučení také poskytuje vysvětlení potenciální hrozby. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Spravované disky by měla být odolná vůči zóně | Spravované disky lze nakonfigurovat tak, aby byla buď zarovnaná do zóny, zónově redundantní nebo ani jedna. Spravované disky s přesně jedním přiřazením zóny je zarovnaná zóna. Spravované disky s názvem skladové položky, která končí na ZRS, jsou zónově redundantní. Tato zásada pomáhá identifikovat a vynucovat tyto konfigurace odolnosti pro Spravované disky. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění. | Povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Windows, abyste se mohli zmírnit proti škodlivým a neoprávněným změnám spouštěcího řetězce. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Windows. | Audit, zakázáno | 4.0.0-preview |
| [Preview]: Nastavte požadavky pro plánování opakovaných aktualizací na virtuálních počítačích Azure. | Tato zásada nastaví požadavky potřebné k naplánování opakovaných aktualizací v Azure Update Manageru tím, že nakonfiguruje orchestraci oprav na Plány spravované zákazníkem. Tato změna automaticky nastaví režim oprav na AutomaticByPlatform a povolí na virtuálních počítačích Azure BypassPlatform Sejf tyChecksOnUserSchedule na True. Požadavky se nevztahují na servery s podporou Arc. Víc se uč- https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Aktualizace systému by se měly nainstalovat na vaše počítače (s využitím Update Center). | V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat software aktualizovaný. Pokud chcete nainstalovat všechny nevyhrazené opravy a zabezpečit počítače, postupujte podle kroků pro nápravu. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Škálovací sady virtuálních počítačů by měly být odolné vůči zónám. | Škálovací sady virtuálních počítačů je možné nakonfigurovat tak, aby byly buď zarovnané do zóny, zónově redundantní, nebo ani jedno. Škálovací sady virtuálních počítačů, které mají v poli zón přesně jednu položku, se považují za zarovnané. Naproti tomu škálovací sady virtuálních počítačů se 3 nebo více položkami v poli zón a kapacita nejméně 3 se rozpozná jako zónově redundantní. Tato zásada pomáhá identifikovat a vynutit tyto konfigurace odolnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Stav ověření identity hosta virtuálních počítačů by měl být v pořádku. | Ověření identity hosta se provádí odesláním důvěryhodného protokolu (TCGLog) na server ověření identity. Server používá tyto protokoly k určení důvěryhodnosti spouštěcích komponent. Toto posouzení je určeno ke zjištění ohrožení spouštěcího řetězce, což může být důsledkem infekce bootkitu nebo rootkitu. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním, které mají nainstalované rozšíření Ověření hosta. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Virtuální počítače by měly být zarovnané do zóny. | Virtuální počítače je možné nakonfigurovat tak, aby byly zarovnané do zóny nebo ne. Jsou považovány za zarovnané do zóny, pokud mají v poli zón pouze jednu položku. Tato zásada zajišťuje, že jsou nakonfigurované tak, aby fungovaly v rámci jedné zóny dostupnosti. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. | Povolte virtuální zařízení TPM na podporovaných virtuálních počítačích, abyste usnadnili měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním. | Audit, zakázáno | 2.0.0-preview |
| [Preview]: Počítače s Windows by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení v požadavcích na dodržování předpisů STIG pro výpočetní prostředky Azure. DISA (Defense Information Systems Agency) poskytuje technické příručky STIG (Průvodce technickou implementací zabezpečení) k zabezpečení výpočetního operačního systému podle požadavků ministerstva obrany (DoD). Další podrobnosti https://public.cyber.mil/stigs/získáte. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. | Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Povolené skladové položky velikosti virtuálních počítačů | Tato zásada umožňuje určit sadu skladových položek velikosti virtuálních počítačů, které může vaše organizace nasadit. | Odepřít | 1.0.1 |
| Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. | Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644 | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditovat počítače s Linuxem, které nemají nainstalované zadané aplikace | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud prostředek Chef InSpec indikuje, že jeden nebo více balíčků poskytovaných parametrem nejsou nainstalovány. | AuditIfNotExists, zakázáno | 4.2.0 |
| Auditování počítačů s Linuxem, které mají účty bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které mají účty bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditovat počítače s Linuxem, které mají nainstalované zadané aplikace | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud prostředek Chef InSpec indikuje, že jsou nainstalovány některé balíčky poskytované parametrem. | AuditIfNotExists, zakázáno | 4.2.0 |
| Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Audit virtuálních počítačů, které nepoužívají spravované disky | Tato zásada audituje virtuální počítače, které nevyužívají spravované disky. | audit | 1.0.0 |
| Auditovat počítače s Windows, u které chybí některý ze zadaných členů ve skupině Správa istrators | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Správa istrators neobsahuje jeden nebo více členů uvedených v parametru zásad. | auditIfNotExists | 2.0.0 |
| Audit síťového připojení počítačů s Windows | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud stav síťového připojení k IP adrese a port TCP neodpovídá parametru zásad. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows, na kterých konfigurace DSC nedodržuje předpisy | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud příkaz Prostředí Windows PowerShell Get-DSCConfigurationStatus vrátí, že konfigurace DSC pro daný počítač nedodržuje předpisy. | auditIfNotExists | 3.0.0 |
| Auditování počítačů s Windows, na kterých není agent Log Analytics připojený podle očekávání | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud agent není nainstalovaný nebo pokud je nainstalovaný, ale objekt AgentConfigManager.MgmtSvcCfg objektu COM vrátí, že je zaregistrovaný do jiného pracovního prostoru, než je ID zadané v parametru zásady. | auditIfNotExists | 2.0.0 |
| Auditujte počítače s Windows, na kterých nejsou zadané služby nainstalovány, a "Spuštěno". | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud výsledek příkazu Prostředí Windows PowerShell Get-Service neobsahuje název služby s odpovídajícím stavem zadaným parametrem zásady. | auditIfNotExists | 3.0.0 |
| Auditovat počítače s Windows, na kterých není povolená sériová konzola systému Windows | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač nemá nainstalovaný software sériové konzoly nebo pokud číslo portu EMS nebo přenosová rychlost nejsou nakonfigurované se stejnými hodnotami jako parametry zásad. | auditIfNotExists | 3.0.0 |
| Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Výchozí hodnota pro jedinečná hesla je 24 | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které nejsou připojené k zadané doméně | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud hodnota vlastnosti Domain ve třídě služby WMI win32_computersystem neodpovídá hodnotě v parametru zásady. | auditIfNotExists | 2.0.0 |
| Auditovat počítače s Windows, které nejsou nastavené na zadané časové pásmo | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud hodnota vlastnosti StandardName ve třídě WMI Win32_TimeZone neodpovídá vybranému časovému pásmu pro parametr zásady. | auditIfNotExists | 3.0.0 |
| Auditovat počítače s Windows, které obsahují certifikáty, jejichž platnost vyprší během zadaného počtu dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud certifikáty v zadaném úložišti mají datum vypršení platnosti pro počet dnů zadaných jako parametr. Tato zásada také nabízí možnost zkontrolovat pouze konkrétní certifikáty nebo vyloučit konkrétní certifikáty a jestli se mají hlásit certifikáty s vypršenou platností. | auditIfNotExists | 2.0.0 |
| Auditovat počítače s Windows, které neobsahují zadané certifikáty v důvěryhodném kořenovém adresáři | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud úložiště důvěryhodných kořenových certifikátů počítače (Cert:\LocalMachine\Root) neobsahuje jeden nebo více certifikátů uvedených parametrem zásad. | auditIfNotExists | 3.0.0 |
| Auditování počítačů s Windows, které nemají maximální stáří hesla nastavené na zadaný počet dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají nastavený maximální věk hesla na zadaný počet dní. Výchozí hodnota maximálního stáří hesla je 70 dnů. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které nemají nastavený minimální věk hesla na zadaný počet dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, u kterých není nastavený minimální věk hesla nastavený na zadaný počet dní. Výchozí hodnota pro minimální stáří hesla je 1 den. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají povolené nastavení složitosti hesla | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditovat počítače s Windows, které nemají zadané zásady spouštění Windows PowerShellu | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud příkaz Prostředí Windows PowerShell Get-ExecutionPolicy vrátí jinou hodnotu, než která byla vybrána v parametru zásady. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování počítačů s Windows, které nemají nainstalované zadané moduly Windows PowerShellu | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud modul není k dispozici v umístění určeném proměnnou prostředí PSModulePath. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows neomezují minimální délku hesla na zadaný počet znaků. Výchozí hodnota minimální délky hesla je 14 znaků. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditování počítačů s Windows, které nemají nainstalované zadané aplikace | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud se název aplikace nenajde v žádné z následujících cest registru: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows, které mají ve skupině Správa istrators další účty | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Správa istrators obsahuje členy, které nejsou uvedené v parametru zásad. | auditIfNotExists | 2.0.0 |
| Auditovat počítače s Windows, které se nerestartovaly během zadaného počtu dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nejsou kompatibilní, pokud vlastnost WMI LastBootUpTime ve třídě Win32_Operatingsystem je mimo rozsah dnů poskytovaných parametrem zásady. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows, které mají nainstalované zadané aplikace | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud se název aplikace nachází v některé z následujících cest registru: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows se zadanými členy ve skupině Správa istrators | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Správa istrators obsahuje jeden nebo více členů uvedených v parametru zásad. | auditIfNotExists | 2.0.0 |
| Auditování virtuálních počítačů s Windows s čekající restartováním | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač čeká na restartování z některého z následujících důvodů: údržba založená na komponentách, služba Windows Update, čekající přejmenování souboru, čekající přejmenování počítače, čekající na restartování správce konfigurace. Každá detekce má jedinečnou cestu registru. | auditIfNotExists | 2.0.0 |
| Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, zakázáno | 3.2.0 |
| Pro virtuální počítače by měla být povolená služba Azure Backup. | Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 3.0.0 |
| Instance rolí Cloud Services (rozšířená podpora) by měly být bezpečně nakonfigurované. | Chraňte instance rolí cloudové služby (rozšířená podpora) před útoky tím, že zajistíte, že se nezomení na žádná ohrožení zabezpečení operačního systému. | AuditIfNotExists, zakázáno | 1.0.0 |
| Instance rolí Cloud Services (rozšířená podpora) by měly mít nainstalované řešení ochrany koncových bodů. | Chraňte instance rolí cloudových služeb (rozšířená podpora) před hrozbami a ohroženími zabezpečení tím, že zajistíte, že je na nich nainstalované řešení ochrany koncových bodů. | AuditIfNotExists, zakázáno | 1.0.0 |
| Instance rolí Cloud Services (rozšířená podpora) by měly mít nainstalované aktualizace systému. | Zabezpečte instance rolí cloudových služeb (rozšířená podpora) tím, že zajistíte, aby na nich byly nainstalované nejnovější aktualizace zabezpečení a důležité aktualizace. | AuditIfNotExists, zakázáno | 1.0.0 |
| Konfigurace Azure Defenderu pro servery tak, aby byla zakázaná pro všechny prostředky (úroveň prostředků) | Azure Defender for Servers poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tato zásada zakáže plán Defenderu pro servery pro všechny prostředky (virtuální počítače, sady VMSS a počítače ARC) ve vybraném oboru (předplatné nebo skupina prostředků). | DeployIfNotExists, zakázáno | 1.0.0 |
| Nakonfigurujte Azure Defender pro servery tak, aby byly zakázané pro prostředky (úroveň prostředků) s vybranou značkou. | Azure Defender for Servers poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tato zásada zakáže plán Defenderu pro servery pro všechny prostředky (virtuální počítače, sady VMSS a počítače ARC), které mají vybraný název značky a hodnoty značek. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nakonfigurujte Azure Defender pro servery tak, aby byly povolené (podplán P1) pro všechny prostředky (úroveň prostředků) s vybranou značkou. | Azure Defender for Servers poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tato zásada povolí plán Defenderu pro servery (s podplánem P1) pro všechny prostředky (virtuální počítače a počítače ARC), které mají vybraný název značky a hodnoty značek. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nakonfigurujte Azure Defender pro servery tak, aby byly povolené (s dílčím plánem P1) pro všechny prostředky (úroveň prostředků). | Azure Defender for Servers poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tato zásada povolí plán Defenderu pro servery (s podplánem P1) pro všechny prostředky (virtuální počítače a počítače ARC) ve vybraném oboru (předplatné nebo skupina prostředků). | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace zálohování na virtuálních počítačích s danou značkou do nového trezoru služby Recovery Services s výchozí zásadou | Vynucujte zálohování pro všechny virtuální počítače nasazením trezoru služby Recovery Services ve stejném umístění a skupině prostředků jako virtuální počítač. To je užitečné, když různé aplikační týmy ve vaší organizaci přidělují samostatné skupiny prostředků a potřebují spravovat vlastní zálohy a obnovení. Volitelně můžete zahrnout virtuální počítače obsahující zadanou značku, abyste mohli řídit rozsah přiřazení. Viz třída https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Konfigurace zálohování virtuálních počítačů s danou značkou do existujícího trezoru služby Recovery Services ve stejném umístění | Vynucujte zálohování pro všechny virtuální počítače tak, že je zálohujte do existujícího trezoru služby Recovery Services ve stejném umístění a předplatném jako virtuální počítač. To je užitečné, když ve vaší organizaci spravuje zálohy pro všechny prostředky v předplatném centrální tým. Volitelně můžete zahrnout virtuální počítače obsahující zadanou značku, abyste mohli řídit rozsah přiřazení. Viz třída https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Konfigurace zálohování na virtuálních počítačích bez dané značky do nového trezoru služby Recovery Services s výchozí zásadou | Vynucujte zálohování pro všechny virtuální počítače nasazením trezoru služby Recovery Services ve stejném umístění a skupině prostředků jako virtuální počítač. To je užitečné, když různé aplikační týmy ve vaší organizaci přidělují samostatné skupiny prostředků a potřebují spravovat vlastní zálohy a obnovení. Volitelně můžete vyloučit virtuální počítače obsahující zadanou značku, abyste mohli řídit rozsah přiřazení. Viz třída https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Konfigurace zálohování na virtuálních počítačích bez dané značky do existujícího trezoru služby Recovery Services ve stejném umístění | Vynucujte zálohování pro všechny virtuální počítače tak, že je zálohujte do existujícího trezoru služby Recovery Services ve stejném umístění a předplatném jako virtuální počítač. To je užitečné, když ve vaší organizaci spravuje zálohy pro všechny prostředky v předplatném centrální tým. Volitelně můžete vyloučit virtuální počítače obsahující zadanou značku, abyste mohli řídit rozsah přiřazení. Viz třída https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Konfigurace zotavení po havárii na virtuálních počítačích povolením replikace přes Azure Site Recovery | Virtuální počítače bez konfigurací zotavení po havárii jsou ohroženy výpadky a dalšími přerušeními. Pokud virtuální počítač ještě nemá nakonfigurované zotavení po havárii, zahájí se to tak, že povolíte replikaci pomocí přednastavených konfigurací, aby se usnadnila kontinuita podnikových procesů. Volitelně můžete zahrnout nebo vyloučit virtuální počítače obsahující zadanou značku, abyste mohli řídit rozsah přiřazení. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. | DeployIfNotExists, zakázáno | 2.1.0 |
| Konfigurace prostředků přístupu k diskům pomocí privátních koncových bodů | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na prostředky přístupu k diskům můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace počítačů s Linuxem pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení virtuálních počítačů s Linuxem, škálovacích sad virtuálních počítačů a počítačů Arc se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 6.4.0 |
| Nakonfigurujte Linux Server tak, aby zakázal místní uživatele. | Vytvoří přiřazení konfigurace hosta pro konfiguraci zakázání místních uživatelů na Linux Serveru. Tím zajistíte, že k linuxovým serverům bude mít přístup jenom účet AAD (Azure Active Directory) nebo seznam explicitně povolených uživatelů pomocí této zásady, což zlepšuje celkový stav zabezpečení. | DeployIfNotExists, zakázáno | 1.3.0-preview |
| Konfigurace škálovacích sad virtuálních počítačů s Linuxem pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení škálovacích sad virtuálních počítačů s Linuxem se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 4.3.0 |
| Konfigurace škálovacích sad virtuálních počítačů s Linuxem pro spuštění agenta služby Azure Monitor s ověřováním na základě spravované identity přiřazené systémem | Automatizujte nasazení rozšíření agenta Azure Monitoru ve škálovacích sadách virtuálních počítačů s Linuxem pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření, pokud je podporovaný operační systém a oblast a je povolená spravovaná identita přiřazená systémem, a jinak tuto instalaci přeskočí. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 3.5.0 |
| Konfigurace škálovacích sad virtuálních počítačů s Linuxem pro spuštění agenta služby Azure Monitor s ověřováním na základě spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Azure Monitoru ve škálovacích sadách virtuálních počítačů s Linuxem pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 3.7.0 |
| Konfigurace virtuálních počítačů s Linuxem pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení virtuálních počítačů s Linuxem se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 4.3.0 |
| Konfigurace virtuálních počítačů s Linuxem pro spuštění agenta Služby Azure Monitor s ověřováním na základě spravované identity přiřazené systémem | Automatizujte nasazení rozšíření agenta Azure Monitor na virtuálních počítačích s Linuxem pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření, pokud je podporovaný operační systém a oblast a je povolená spravovaná identita přiřazená systémem, a jinak tuto instalaci přeskočí. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 3.5.0 |
| Konfigurace virtuálních počítačů s Linuxem pro spuštění agenta Služby Azure Monitor s ověřováním na základě spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Azure Monitor na virtuálních počítačích s Linuxem pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 3.7.0 |
| Konfigurace počítačů pro příjem zprostředkovatele posouzení ohrožení zabezpečení | Azure Defender zahrnuje kontrolu ohrožení zabezpečení vašich počítačů bez dalších poplatků. Nepotřebujete licenci Qualys ani účet Qualys – všechno se bezproblémově zpracovává uvnitř security Center. Když tuto zásadu povolíte, Azure Defender automaticky nasadí poskytovatele posouzení ohrožení zabezpečení Qualys do všech podporovaných počítačů, které ho ještě nemají nainstalované. | DeployIfNotExists, zakázáno | 4.0.0 |
| Konfigurace spravovaných disků pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro prostředek spravovaného disku, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/disksprivatelinksdoc. | Upravit, zakázáno | 2.0.0 |
| Konfigurace pravidelné kontroly chybějících aktualizací systému na virtuálních počítačích Azure | Nakonfigurujte automatické posouzení (každých 24 hodin) pro aktualizace operačního systému na nativních virtuálních počítačích Azure. Rozsah přiřazení můžete řídit podle předplatného počítače, skupiny prostředků, umístění nebo značky. Přečtěte si další informace o tomto systému Windows: https://aka.ms/computevm-windowspatchassessmentmode, pro Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify (úprava) | 4.8.0 |
| Konfigurace zabezpečených komunikačních protokolů (TLS 1.1 nebo TLS 1.2) na počítačích s Windows | Vytvoří přiřazení konfigurace hosta pro konfiguraci zadané verze zabezpečeného protokolu (TLS 1.1 nebo TLS 1.2) na počítači s Windows. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace služby SQL Virtual Machines pro automatickou instalaci agenta Služby Azure Monitor | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na virtuálních počítačích s Windows SQL. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.4.0 |
| Konfigurace virtuálních počítačů SQL pro automatickou instalaci Microsoft Defenderu pro SQL | Nakonfigurujte službu Windows SQL Virtual Machines tak, aby automaticky nainstalovala rozšíření Microsoft Defender for SQL. Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). | DeployIfNotExists, zakázáno | 1.4.0 |
| Konfigurace virtuálních počítačů SQL pro automatickou instalaci Microsoft Defenderu pro SQL a DCR s pracovním prostorem služby Log Analytics | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků, pravidlo shromažďování dat a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. | DeployIfNotExists, zakázáno | 1.5.0 |
| Konfigurace služby SQL Virtual Machines tak, aby automaticky nainstalovala Microsoft Defender pro SQL a DCR s uživatelsky definovaným pracovním prostorem LA | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a pravidlo shromažďování dat ve stejné oblasti jako uživatelsky definovaný pracovní prostor služby Log Analytics. | DeployIfNotExists, zakázáno | 1.6.0 |
| Konfigurace pracovního prostoru Microsoft Defenderu pro SQL Log Analytics | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. | DeployIfNotExists, zakázáno | 1.3.0 |
| Nakonfigurujte časové pásmo na počítačích s Windows. | Tato zásada vytvoří přiřazení konfigurace hosta pro nastavení zadaného časového pásma na virtuálních počítačích s Windows. | deployIfNotExists | 2.1.0 |
| Konfigurace nasazení virtuálních počítačů do služby Azure Automanage | Azure Automanage registruje, konfiguruje a monitoruje virtuální počítače s osvědčeným postupem definovaným v rozhraní Microsoft Cloud Adoption Framework pro Azure. Tuto zásadu použijte k použití automatické správy u vybraného oboru. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Konfigurace nasazení virtuálních počítačů do služby Azure Automanage s využitím vlastního konfiguračního profilu | Azure Automanage registruje, konfiguruje a monitoruje virtuální počítače s osvědčeným postupem definovaným v rozhraní Microsoft Cloud Adoption Framework pro Azure. Tuto zásadu použijte k použití automatické správy s vlastním přizpůsobeným konfiguračním profilem pro vybraný obor. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurace počítačů s Windows tak, aby byly přidružené k pravidlu shromažďování dat nebo ke koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení virtuálních počítačů s Windows, škálovacích sad virtuálních počítačů a počítačů Arc se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 4.5.0 |
| Konfigurace škálovacích sad virtuálních počítačů s Windows pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení škálovacích sad virtuálních počítačů s Windows se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 3.3.0 |
| Konfigurace škálovacích sad virtuálních počítačů s Windows pro spuštění agenta Služby Azure Monitor pomocí spravované identity přiřazené systémem | Automatizujte nasazení rozšíření agenta Azure Monitoru ve škálovacích sadách virtuálních počítačů s Windows pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření, pokud je podporovaný operační systém a oblast a je povolená spravovaná identita přiřazená systémem, a jinak tuto instalaci přeskočí. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 3.4.0 |
| Konfigurace škálovacích sad virtuálních počítačů s Windows pro spuštění agenta služby Azure Monitor s ověřováním na základě spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Azure Monitoru ve škálovacích sadách virtuálních počítačů s Windows pro shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.5.0 |
| Konfigurace virtuálních počítačů s Windows pro přidružení k pravidlu shromažďování dat nebo koncovému bodu shromažďování dat | Nasaďte přidružení pro propojení virtuálních počítačů s Windows se zadaným pravidlem shromažďování dat nebo zadaným koncovým bodem shromažďování dat. Seznam umístění a imagí operačního systému se průběžně aktualizuje, protože se zvyšuje podpora. | DeployIfNotExists, zakázáno | 3.3.0 |
| Konfigurace virtuálních počítačů s Windows pro spouštění agenta Služby Azure Monitor pomocí spravované identity přiřazené systémem | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na virtuálních počítačích s Windows za účelem shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření, pokud je podporovaný operační systém a oblast a je povolená spravovaná identita přiřazená systémem, a jinak tuto instalaci přeskočí. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 4.4.0 |
| Konfigurace virtuálních počítačů s Windows pro spuštění agenta Služby Azure Monitor s ověřováním na základě spravované identity přiřazené uživatelem | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na virtuálních počítačích s Windows za účelem shromažďování telemetrických dat z hostovaného operačního systému. Tato zásada nainstaluje rozšíření a nakonfiguruje ho tak, aby používala zadanou spravovanou identitu přiřazenou uživatelem, pokud je podporovaný operační systém a oblast, a jinak přeskočit instalaci. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.5.0 |
| Vytvoření a přiřazení předdefinované spravované identity přiřazené uživatelem | Vytvoření a přiřazení předdefinované spravované identity přiřazené uživatelem ve velkém měřítku virtuálním počítačům SQL | AuditIfNotExists, DeployIfNotExists, Disabled | 1.6.0 |
| U uvedených imagí virtuálních počítačů by měl být povolený agent závislostí. | Hlásí virtuální počítače jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaném a agent není nainstalovaný. Seznam imagí operačního systému se průběžně aktualizuje, protože se aktualizuje podpora. | AuditIfNotExists, zakázáno | 2.0.0 |
| Ve škálovacích sadách virtuálních počítačů by měl být povolený agent závislostí pro uvedené image virtuálních počítačů. | Hlásí škálovací sady virtuálních počítačů jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaném a agent není nainstalovaný. Seznam imagí operačního systému se průběžně aktualizuje, protože se aktualizuje podpora. | AuditIfNotExists, zakázáno | 2.0.0 |
| Nasazení – Konfigurace agenta závislostí pro povolení ve škálovacích sadách virtuálních počítačů s Windows | Nasaďte agenta závislostí pro škálovací sady virtuálních počítačů s Windows, pokud je image virtuálního počítače v seznamu definovaná a agent není nainstalovaný. Pokud je upgrade škálovací sady nastavený na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě aktualizací. | DeployIfNotExists, zakázáno | 3.1.0 |
| Nasazení – Konfigurace agenta závislostí pro povolení na virtuálních počítačích s Windows | Nasaďte agenta závislostí pro virtuální počítače s Windows, pokud je image virtuálního počítače v seznamu definovaném a agent není nainstalovaný. | DeployIfNotExists, zakázáno | 3.1.0 |
| Nasazení – Konfigurace rozšíření Log Analytics pro povolení ve škálovacích sadách virtuálních počítačů s Windows | Nasaďte rozšíření Log Analytics pro škálovací sady virtuálních počítačů s Windows, pokud je image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. Pokud je upgrade škálovací sady nastaven na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě aktualizací. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Azure Monitoru. | DeployIfNotExists, zakázáno | 3.1.0 |
| Nasazení – Konfigurace rozšíření Log Analytics pro povolení na virtuálních počítačích s Windows | Nasaďte rozšíření Log Analytics pro virtuální počítače s Windows, pokud je image virtuálního počítače v seznamu definovaném a rozšíření není nainstalované. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Azure Monitoru. | DeployIfNotExists, zakázáno | 3.1.0 |
| Nasazení výchozího rozšíření Microsoft IaaSAntimalware pro Windows Server | Tato zásada nasadí rozšíření Microsoft IaaSAntimalware s výchozí konfigurací, pokud virtuální počítač není nakonfigurovaný s antimalwarovým rozšířením. | deployIfNotExists | 1.1.0 |
| Nasazení agenta závislostí pro škálovací sady virtuálních počítačů s Linuxem | Nasaďte agenta závislostí pro škálovací sady virtuálních počítačů s Linuxem, pokud je image virtuálního počítače (OS) v seznamu definovaném a agent není nainstalovaný. Poznámka: Pokud je upgrade škálovací sady nastaven na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě voláním upgradu na ně. V rozhraní příkazového řádku by to bylo az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Nasazení agenta závislostí pro škálovací sady virtuálních počítačů s Linuxem pomocí nastavení agenta monitorování Azure | Nasaďte agenta závislostí pro škálovací sady virtuálních počítačů s Linuxem s nastavením agenta monitorování Azure, pokud je image virtuálního počítače (OS) v seznamu definovaná a agent není nainstalovaný. Poznámka: Pokud je upgrade škálovací sady nastaven na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě voláním upgradu na ně. V rozhraní příkazového řádku by to bylo az vmss update-instances. | DeployIfNotExists, zakázáno | 3.1.1 |
| Nasazení agenta závislostí pro virtuální počítače s Linuxem | Nasaďte agenta závislostí pro virtuální počítače s Linuxem, pokud je image virtuálního počítače (OS) v seznamu definovaném a agent není nainstalovaný. | deployIfNotExists | 5.0.0 |
| Nasazení agenta závislostí pro virtuální počítače s Linuxem s nastavením agenta monitorování Azure | Nasaďte agenta závislostí pro virtuální počítače s Linuxem s nastavením agenta monitorování Azure, pokud je image virtuálního počítače (OS) v seznamu definovaná a agent není nainstalovaný. | DeployIfNotExists, zakázáno | 3.1.1 |
| Nasazení agenta závislostí, který se má povolit ve škálovacích sadách virtuálních počítačů s Windows s nastavením agenta monitorování Azure | Nasaďte agenta závislostí pro škálovací sady virtuálních počítačů s Windows s nastavením agenta monitorování Azure, pokud je image virtuálního počítače v seznamu definovaná a agent není nainstalovaný. Pokud je upgrade škálovací sady nastavený na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě aktualizací. | DeployIfNotExists, zakázáno | 1.2.2 |
| Nasazení agenta závislostí, který se má povolit na virtuálních počítačích s Windows s nastavením agenta monitorování Azure | Nasaďte agenta závislostí pro virtuální počítače s Windows s nastavením agenta monitorování Azure, pokud je image virtuálního počítače v seznamu definovaná a agent není nainstalovaný. | DeployIfNotExists, zakázáno | 1.2.2 |
| Nasaďte rozšíření Log Analytics pro škálovací sady virtuálních počítačů s Linuxem. Viz níže uvedené oznámení o vyřazení | Nasazení rozšíření Log Analytics pro škálovací sady virtuálních počítačů s Linuxem, pokud je image virtuálního počítače (OS) v seznamu definovaná a rozšíření není nainstalované. Poznámka: Pokud je upgrade škálovací sady nastaven na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě voláním upgradu na ně. V rozhraní příkazového řádku by to bylo az vmss update-instances. Oznámení o vyřazení: Agent Log Analytics se po 31. srpnu 2024 nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Služby Azure Monitor. | deployIfNotExists | 3.0.0 |
| Nasazení rozšíření Log Analytics pro virtuální počítače s Linuxem Viz níže uvedené oznámení o vyřazení | Nasaďte rozšíření Log Analytics pro virtuální počítače s Linuxem, pokud je image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Služby Azure Monitor. | deployIfNotExists | 3.0.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Disky a image operačního systému by měly podporovat TrustedLaunch | TrustedLaunch zlepšuje zabezpečení virtuálního počítače, který vyžaduje podporu image disku a operačního systému operačního systému (Gen 2). Další informace o TrustedLaunch najdete na stránce https://aka.ms/trustedlaunch | Audit, zakázáno | 1.0.0 |
| Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Podporovaná řešení ochrany koncových bodů ve službě Azure Security Center jsou zdokumentovaná zde – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení ochrany koncových bodů je zdokumentované zde - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, zakázáno | 1.0.0 |
| Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | Pokud chcete chránit počítače před hrozbami a ohroženími zabezpečení, nainstalujte podporované řešení ochrany koncových bodů. | AuditIfNotExists, zakázáno | 1.0.0 |
| Řešení endpoint protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Auditujte existenci a stav řešení ochrany koncových bodů ve škálovacích sadách virtuálních počítačů, abyste je ochránili před hrozbami a ohroženími zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
| Pro virtuální počítače Se systémem Windows Server Azure Edition by se měla povolit funkce Hotpatch. | Minimalizujte restartování a rychle nainstalujte aktualizace pomocí funkce hotpatch. Další informace najdete na adrese https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Odepřít, Zakázáno | 1.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.2.0 |
| Počítače s Linuxem by měly mít jenom místní účty, které jsou povolené. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Správa uživatelských účtů pomocí Azure Active Directory je osvědčeným postupem pro správu identit. Omezení účtů místních počítačů pomáhá zabránit šíření identit spravovaných mimo centrální systém. Počítače nedodržují předpisy, pokud existují místní uživatelské účty, které jsou povolené a nejsou uvedené v parametru zásad. | AuditIfNotExists, zakázáno | 2.2.0 |
| Škálovací sady virtuálních počítačů s Linuxem by měly mít nainstalovaného agenta služby Azure Monitor. | Škálovací sady virtuálních počítačů s Linuxem by se měly monitorovat a zabezpečit prostřednictvím nasazeného agenta služby Azure Monitor. Agent Služby Azure Monitor shromažďuje telemetrická data z hostovaného operačního systému. Tato zásada audituje škálovací sady virtuálních počítačů s podporovanými imagemi operačního systému v podporovaných oblastech. Další informace: https://aka.ms/AMAOverview. | AuditIfNotExists, zakázáno | 3.2.0 |
| Virtuální počítače s Linuxem by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost. | I když jsou disky s operačním systémem a datovými disky virtuálního počítače ve výchozím nastavení šifrované pomocí klíčů spravovaných platformou; Disky prostředků (dočasné disky), mezipaměti dat a tok dat mezi výpočetními prostředky a prostředky úložiště nejsou šifrované. K nápravě použijte Azure Disk Encryption nebo EncryptionAtHost. Navštivte https://aka.ms/diskencryptioncomparison stránku s porovnáním nabídek šifrování. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.2.1 |
| Virtuální počítače s Linuxem by měly mít nainstalovaného agenta Služby Azure Monitor. | Virtuální počítače s Linuxem by se měly monitorovat a zabezpečit prostřednictvím nasazeného agenta služby Azure Monitor. Agent Služby Azure Monitor shromažďuje telemetrická data z hostovaného operačního systému. Tato zásada bude auditovat virtuální počítače s podporovanými imagemi operačního systému v podporovaných oblastech. Další informace: https://aka.ms/AMAOverview. | AuditIfNotExists, zakázáno | 3.2.0 |
| Místní metody ověřování by měly být na počítačích s Linuxem zakázané. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud servery s Linuxem nemají zakázané místní metody ověřování. Tím ověříte, že k linuxovým serverům může přistupovat jenom účet AAD (Azure Active Directory) nebo seznam explicitně povolených uživatelů pomocí této zásady, což zlepšuje celkový stav zabezpečení. | AuditIfNotExists, zakázáno | 1.2.0-preview |
| Místní metody ověřování by měly být na Windows Serverech zakázané. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud servery s Windows nemají zakázané místní metody ověřování. Tím ověříte, že k Windows Serverům může přistupovat jenom účet AAD (Azure Active Directory) nebo seznam explicitně povolených uživatelů pomocí této zásady, což zlepšuje celkový stav zabezpečení. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| Na instance rolí cloudových služeb (rozšířená podpora) by se měl nainstalovat agent Log Analytics. | Security Center shromažďuje data z instancí rolí Cloud Services (rozšířená podpora) za účelem monitorování ohrožení zabezpečení a hrozeb. | AuditIfNotExists, zakázáno | 2.0.0 |
| Agent Log Analytics by měl být nainstalovaný na virtuálním počítači pro monitorování služby Azure Security Center. | Tato zásada provede audit všech virtuálních počítačů s Windows nebo Linuxem, pokud není nainstalovaný agent Log Analytics, který Security Center používá k monitorování ohrožení zabezpečení a hrozeb. | AuditIfNotExists, zakázáno | 1.0.0 |
| Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů pro monitorování služby Azure Security Center. | Security Center shromažďuje data z virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb. | AuditIfNotExists, zakázáno | 1.0.0 |
| Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | Sestavuje škálovací sady virtuálních počítačů jako nevyhovující, pokud není image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. | AuditIfNotExists, zakázáno | 2.0.1 |
| Počítače by měly být nakonfigurované tak, aby pravidelně kontrolovaly chybějící aktualizace systému. | Aby se zajistilo, že se pravidelná hodnocení chybějících aktualizací systému aktivují automaticky každých 24 hodin, měla by být vlastnost AssessmentMode nastavená na AutomaticByPlatform. Další informace o vlastnosti AssessmentMode pro Windows: https://aka.ms/computevm-windowspatchassessmentmode, pro Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Odepřít, Zakázáno | 3.7.0 |
| Počítače by měly mít vyřešené tajné závěry. | Audituje virtuální počítače, aby zjistil, jestli obsahují tajné závěry z řešení pro kontrolu tajných kódů na vašich virtuálních počítačích. | AuditIfNotExists, zakázáno | 1.0.2 |
| Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. | Zákazníci s vysokou úrovní zabezpečení, kteří se týkají rizika spojeného s jakýmkoli konkrétním šifrovacím algoritmem, implementací nebo klíčem, se mohou rozhodnout pro další vrstvu šifrování pomocí jiného šifrovacího algoritmu nebo režimu ve vrstvě infrastruktury pomocí šifrovacích klíčů spravovaných platformou. K použití dvojitého šifrování se vyžadují sady šifrování disků. Další informace najdete na adrese https://aka.ms/disks-doubleEncryption. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Spravované disky by měly zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že spravovaný disk není přístupný na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení spravovaných disků. Další informace najdete tady: https://aka.ms/disksprivatelinksdoc. | Audit, zakázáno | 2.0.0 |
| Spravované disky by měly pro šifrování klíče spravovaného zákazníkem používat konkrétní sadu šifrovacích sad disků. | Vyžadování konkrétní sady šifrování disků, které se mají používat se spravovanými disky, vám umožňují řídit klíče používané k šifrování neaktivních uložených dat. Můžete vybrat povolené šifrované sady a všechny ostatní se při připojení k disku zamítnou. Další informace najdete na adrese https://aka.ms/disks-cmk. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | Tyto zásady auditují všechny virtuální počítače s Windows, které nejsou nakonfigurované s automatickou aktualizací podpisů ochrany Antimalwaru společnosti Microsoft. | AuditIfNotExists, zakázáno | 1.0.0 |
| Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | Tyto zásady auditují všechny virtuální počítače s Windows Serverem bez nasazených rozšíření Microsoft IaaSAntimalware. | AuditIfNotExists, zakázáno | 1.1.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. | Tato zásada řídí rozšíření virtuálních počítačů, která nejsou schválena. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Disky s operačním systémem a datovými disky by měly být šifrované pomocí klíče spravovaného zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování zbývajícího obsahu spravovaných disků. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných platformou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/disks-cmk. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Privátní koncové body pro přiřazení konfigurace hosta by měly být povolené. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke konfiguraci hosta pro virtuální počítače. Virtuální počítače nebudou kompatibilní, pokud nemají značku EnablePrivateNetworkGC. Tato značka vynucuje zabezpečenou komunikaci prostřednictvím privátního připojení ke konfiguraci hosta pro virtuální počítače. Privátní připojení omezuje přístup k provozu přicházejícímu jenom ze známých sítí a brání přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Chraňte svá data pomocí požadavků na ověřování při exportu nebo nahrání na disk nebo snímek. | Při použití adresy URL pro export/nahrání systém zkontroluje, jestli má uživatel identitu v Azure Active Directory a má potřebná oprávnění k exportu a nahrání dat. Projděte si aka.ms/DisksAzureADAuth. | Upravit, zakázáno | 1.0.0 |
| Vyžadování automatických oprav imagí operačního systému ve škálovacích sadách virtuálních počítačů | Tato zásada vynucuje povolení automatických oprav imagí operačního systému ve škálovacích sadách virtuálních počítačů, aby se vždy zajistilo zabezpečení virtuálních počítačů bezpečným použitím nejnovějších oprav zabezpečení každý měsíc. | deny | 1.0.0 |
| Plánování opakovaných aktualizací pomocí Azure Update Manageru | Pomocí Azure Update Manageru v Azure můžete ukládat opakované plány nasazení k instalaci aktualizací operačního systému pro počítače s Windows Serverem a Linuxem v Azure, v místních prostředích a v jiných cloudových prostředích připojených pomocí serverů s podporou Azure Arc. Tato zásada také změní režim oprav virtuálního počítače Azure na AutomaticByPlatform. Další informace: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, zakázáno | 3.10.0 |
| Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. | Umožňuje auditovat, jestli chybí nějaké aktualizace zabezpečení systému nebo důležité aktualizace, které by se měly nainstalovat, aby bylo jisté, že škálovací sady virtuálních počítačů s Windows a Linuxem jsou zabezpečené. | AuditIfNotExists, zakázáno | 3.0.0 |
| Na počítačích by se měly nainstalovat aktualizace systému. | Azure Security Center bude monitorovat chybějící aktualizace systému zabezpečení na vašich serverech jako doporučení. | AuditIfNotExists, zakázáno | 4.0.0 |
| Starší rozšíření Log Analytics by se nemělo instalovat ve škálovacích sadách virtuálních počítačů s Linuxem. | Automatické zabránění instalaci starší verze agenta Log Analytics jako poslední krok migrace ze starších agentů na agenta Azure Monitor. Po odinstalaci stávajících starších rozšíření tato zásada zakáže všechny budoucí instalace starší verze rozšíření agenta ve škálovacích sadách virtuálních počítačů s Linuxem. Víc se uč: https://aka.ms/migratetoAMA | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Starší verze rozšíření Log Analytics by neměla být nainstalovaná na virtuálních počítačích s Linuxem. | Automatické zabránění instalaci starší verze agenta Log Analytics jako poslední krok migrace ze starších agentů na agenta Azure Monitor. Po odinstalaci existujících starších rozšíření tato zásada zakáže všechny budoucí instalace starší verze rozšíření agenta na virtuálních počítačích s Linuxem. Víc se uč: https://aka.ms/migratetoAMA | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Starší rozšíření Log Analytics by se nemělo instalovat do škálovacích sad virtuálních počítačů. | Automatické zabránění instalaci starší verze agenta Log Analytics jako poslední krok migrace ze starších agentů na agenta Azure Monitor. Po odinstalaci stávajících starších rozšíření tato zásada zakáže všechny budoucí instalace starší verze rozšíření agenta ve škálovacích sadách virtuálních počítačů s Windows. Víc se uč: https://aka.ms/migratetoAMA | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Starší verze rozšíření Log Analytics by neměla být nainstalovaná na virtuálních počítačích. | Automatické zabránění instalaci starší verze agenta Log Analytics jako poslední krok migrace ze starších agentů na agenta Azure Monitor. Po odinstalaci existujících starších rozšíření tato zásada zakáže všechny budoucí instalace starší verze rozšíření agenta na virtuálních počítačích s Windows. Víc se uč: https://aka.ms/migratetoAMA | Odepřít, Auditovat, Zakázáno | 1.0.0 |
| Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Tato zásada audituje všechny škálovací sady virtuálních počítačů s Windows/Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
| Virtuální počítač by měl mít povolenou funkci TrustedLaunch. | Povolte na virtuálním počítači trustedLaunch pro lepší zabezpečení, použijte skladovou položku virtuálního počítače (Gen 2), která podporuje TrustedLaunch. Další informace o TrustedLaunch najdete na stránce https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, zakázáno | 1.0.0 |
| Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. | Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | Hlásí virtuální počítače jako nevyhovující, pokud se nepřihlašují do pracovního prostoru služby Log Analytics zadaného v přiřazení zásad nebo iniciativ. | AuditIfNotExists, zakázáno | 1.1.0 |
| Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
| Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | Tato zásada audituje všechny virtuální počítače s Windows nebo Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
| Chyby zabezpečení v konfiguracích zabezpečení kontejnerů by se měly napravit. | Auditujte ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s nainstalovaným Dockerem a zobrazují se jako doporučení ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 3.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. | Auditujte ohrožení zabezpečení operačního systému ve škálovacích sadách virtuálních počítačů, abyste je ochránili před útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
| Počítače s Windows by měly nakonfigurovat Program Windows Defender tak, aby aktualizoval podpisy ochrany do jednoho dne. | Aby bylo možné zajistit odpovídající ochranu proti nově vydanému malwaru, musí být podpisy ochrany v programu Windows Defender pravidelně aktualizovány tak, aby odpovídaly nově vydanému malwaru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.0 |
| Počítače s Windows by měly povolit ochranu v reálném čase v programu Windows Defender. | Počítače s Windows by měly v programu Windows Defender povolit ochranu v reálném čase, aby poskytovaly odpovídající ochranu proti nově vydanému malwaru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.0 |
| Počítače s Windows by měly splňovat požadavky na "Správa istrativní šablony – Ovládací panely" | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii "Správa istrativní šablony – Ovládací panely" pro přizpůsobení vstupu a prevenci povolení zamykací obrazovky. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na "Správa istrativní šablony – MSS (starší verze) | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii "Správa istrativní šablony – MSS (starší verze) pro automatické přihlášení, spořič obrazovky, chování sítě, bezpečnou knihovnu DLL a protokol událostí. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky pro "Správa istrativní šablony – síť" | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii "Správa istrativní šablony – síť" pro přihlášení hostů, souběžná připojení, síťový most, ICS a překlad názvů vícesměrového vysílání. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na "Správa istrativní šablony – Systém" | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii "Správa istrativní šablony – systém" pro nastavení, která řídí možnosti správy a vzdálenou pomoc. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Účty. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Účty pro omezení použití prázdných hesel a stavu účtu hosta. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Audit | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Audit pro vynucení podkategorie zásad auditu a vypnutí, pokud se nedaří protokolovat audity zabezpečení. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zařízení | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zařízení pro zrušení připojení bez přihlášení, instalace ovladačů tisku a formátování/vysunutí média. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Interaktivní přihlášení | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Interaktivní přihlášení pro zobrazení příjmení a vyžadování ctrl-alt-del. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Klient sítě Microsoftu. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Klient sítě Microsoft pro síťového klienta nebo serveru Microsoft a smb v1. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Microsoft Network Server. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Microsoft Network Server pro zakázání serveru SMB v1. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Přístup k síti pro zahrnutí přístupu anonymních uživatelů, místních účtů a vzdáleného přístupu k registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – konzola pro zotavení. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – konzola pro zotavení, aby bylo možné povolit kopírování diskety a přístup ke všem jednotkám a složkám. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Vypnutí | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Vypnutí pro povolení vypnutí bez přihlášení a vymazání stránkovacího souboru virtuální paměti. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Systémové objekty. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Systémové objekty pro případ necitlivost pro subsystémy a oprávnění interních systémových objektů. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Nastavení systému. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Nastavení systému pro pravidla certifikátů pro spustitelné soubory pro SRP a volitelné subsystémy. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Řízení uživatelských účtů pro správce, chování výzvy ke zvýšení oprávnění a virtualizaci selhání zápisu do souboru a registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zabezpečení Nastavení – Zásady účtu. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zabezpečení Nastavení – Zásady účtu pro historii hesel, věk, délku, složitost a ukládání hesel pomocí reverzibilního šifrování. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditování systému – přihlášení k účtu. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Přihlášení k účtu pro auditování ověření přihlašovacích údajů a dalších událostí přihlášení k účtu. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditování systému – Správa účtů. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Správa účtů pro auditování aplikací, zabezpečení a správy skupin uživatelů a dalších událostí správy. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Podrobné sledování pro auditování rozhraní DPAPI, vytváření/ukončení procesů, událostí RPC a aktivit PNP. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Přihlášení | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Přihlášení pro auditování IPSec, zásad sítě, deklarací identity, uzamčení účtu, členství ve skupině a událostí přihlášení/odhlášení. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Přístup k objektům. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Přístup k objektům pro auditování souborů, registru, SAM, úložiště, filtrování, jádra a dalších typů systému. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Změna zásad. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Změna zásad pro auditování změn v zásadách auditu systému. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – použití oprávnění. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Použití oprávnění k auditování nesmyslů a dalších použití oprávnění. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Systém. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Systém pro auditování ovladače IPsec, integrity systému, rozšíření systému, změny stavu a dalších systémových událostí. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na přiřazení uživatelských práv. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Přiřazení uživatelských práv pro povolení místního přihlášení, protokolu RDP, přístupu ze sítě a mnoha dalších aktivit uživatelů. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na součásti systému Windows. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Součásti systému Windows pro základní ověřování, nešifrovaný provoz, účty Microsoft, telemetrii, Cortanu a další chování systému Windows. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na vlastnosti brány Windows Firewall. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Vlastnosti brány firewall systému Windows pro stav brány firewall, připojení, správu pravidel a oznámení. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.0.0 |
| Počítače s Windows by měly mít jenom místní účty, které jsou povolené. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Tato definice není podporována ve Windows Serveru 2012 nebo 2012 R2. Správa uživatelských účtů pomocí Azure Active Directory je osvědčeným postupem pro správu identit. Omezení účtů místních počítačů pomáhá zabránit šíření identit spravovaných mimo centrální systém. Počítače nedodržují předpisy, pokud existují místní uživatelské účty, které jsou povolené a nejsou uvedené v parametru zásad. | AuditIfNotExists, zakázáno | 2.0.0 |
| Počítače s Windows by měly naplánovat, aby Program Windows Defender prováděl naplánovanou kontrolu každý den. | Pokud chcete zajistit detekci malwaru a minimalizovat jeho dopad na váš systém, doporučuje se, aby počítače s Windows Defenderem plánovala denní kontrolu. Ujistěte se, že je program Windows Defender podporovaný, předinstalovaný na zařízení a že jsou nasazené požadavky na konfiguraci hosta. Splnění těchto požadavků může vést k nepřesným výsledkům vyhodnocení. Další informace o konfiguraci hosta najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.2.0 |
| Počítače s Windows by měly používat výchozí server NTP. | Nastavte "time.windows.com" jako výchozí server NTP pro všechny počítače s Windows, aby se zajistilo, že protokoly ve všech systémech mají systémové hodiny, které jsou všechny synchronizované. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.0 |
| Škálovací sady virtuálních počítačů s Windows by měly mít nainstalovaného agenta služby Azure Monitor. | Škálovací sady virtuálních počítačů s Windows by se měly monitorovat a zabezpečit prostřednictvím nasazeného agenta služby Azure Monitor. Agent Služby Azure Monitor shromažďuje telemetrická data z hostovaného operačního systému. Škálovací sady virtuálních počítačů s podporovaným operačním systémem a v podporovaných oblastech se monitorují pro nasazení agenta služby Azure Monitor. Další informace: https://aka.ms/AMAOverview. | AuditIfNotExists, zakázáno | 3.2.0 |
| Virtuální počítače s Windows by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost. | I když jsou disky s operačním systémem a datovými disky virtuálního počítače ve výchozím nastavení šifrované pomocí klíčů spravovaných platformou; Disky prostředků (dočasné disky), mezipaměti dat a tok dat mezi výpočetními prostředky a prostředky úložiště nejsou šifrované. K nápravě použijte Azure Disk Encryption nebo EncryptionAtHost. Navštivte https://aka.ms/diskencryptioncomparison stránku s porovnáním nabídek šifrování. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.1.1 |
| Virtuální počítače s Windows by měly mít nainstalovaného agenta služby Azure Monitor. | Virtuální počítače s Windows by se měly monitorovat a zabezpečit prostřednictvím nasazeného agenta služby Azure Monitor. Agent Služby Azure Monitor shromažďuje telemetrická data z hostovaného operačního systému. Virtuální počítače s Windows s podporovaným operačním systémem a v podporovaných oblastech se monitorují pro nasazení agenta služby Azure Monitor. Další informace: https://aka.ms/AMAOverview. | AuditIfNotExists, zakázáno | 3.2.0 |
Microsoft.VirtualMachineImages
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
Microsoft.ClassicCompute
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. | Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Podporovaná řešení ochrany koncových bodů ve službě Azure Security Center jsou zdokumentovaná zde – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení ochrany koncových bodů je zdokumentované zde - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, zakázáno | 1.0.0 |
| Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | Pokud chcete chránit počítače před hrozbami a ohroženími zabezpečení, nainstalujte podporované řešení ochrany koncových bodů. | AuditIfNotExists, zakázáno | 1.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Agent Log Analytics by měl být nainstalovaný na virtuálním počítači pro monitorování služby Azure Security Center. | Tato zásada provede audit všech virtuálních počítačů s Windows nebo Linuxem, pokud není nainstalovaný agent Log Analytics, který Security Center používá k monitorování ohrožení zabezpečení a hrozeb. | AuditIfNotExists, zakázáno | 1.0.0 |
| Počítače by měly mít vyřešené tajné závěry. | Audituje virtuální počítače, aby zjistil, jestli obsahují tajné závěry z řešení pro kontrolu tajných kódů na vašich virtuálních počítačích. | AuditIfNotExists, zakázáno | 1.0.2 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Na počítačích by se měly nainstalovat aktualizace systému. | Azure Security Center bude monitorovat chybějící aktualizace systému zabezpečení na vašich serverech jako doporučení. | AuditIfNotExists, zakázáno | 4.0.0 |
| Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
| Chyby zabezpečení v konfiguracích zabezpečení kontejnerů by se měly napravit. | Auditujte ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s nainstalovaným Dockerem a zobrazují se jako doporučení ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 3.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.