Compartir a través de

Extensión de configuración de invitado de Azure Policy

  • Artículo

La extensión de configuración de invitado de Azure Policy se puede usar para auditar la configuración en una máquina virtual. La configuración de invitado admite máquinas virtuales de Azure de forma nativa y que no son servidores físicos y virtuales de Azure a través de servidores habilitados para Azure Arc.

Para encontrar la lista de directivas de configuración de invitado, busque Configuración de invitado en la página del portal de Azure Policy o ejecute este cmdlet en una ventana de PowerShell para buscar la lista:

Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Guest Configuration"}

Nota

La funcionalidad de configuración de invitado se actualiza periódicamente para admitir conjuntos de directivas adicionales. Compruebe periódicamente si hay nuevas directivas admitidas y evalúe si le resultarán útiles.

Implementación

Utilice el siguiente script de ejemplo de PowerShell para implementar estas directivas para llevar a cabo lo siguiente:

  • Compruebe que la configuración de seguridad de las contraseñas en equipos Windows y Linux está establecida correctamente.
  • Compruebe que los certificados no están próximos a expirar en máquinas virtuales Windows.

Antes de ejecutar este script, utilice el cmdlet Connect-AzAccount para iniciar sesión. Al ejecutar el script, debe proporcionar el nombre de la suscripción a la que quiere aplicar las directivas.


    # Assign guest configuration policy.

    param (
        [Parameter(Mandatory=$true)]
        [string] $SubscriptionName
    )

    $Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
    $scope = "/subscriptions/" + $Subscription.Id

    $PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
    $CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"

    New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus

    New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus

Pasos siguientes

Aprenda a Habilitar el seguimiento y las alertas de los cambios críticos de archivos, servicios, software y el registro.

Habilitar el seguimiento y las alertas de los cambios críticos