Definiciones integradas de Azure Policy para servidores habilitados para Azure Arc
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para servidores habilitados para Azure Arc. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Servidores habilitados para Azure Arc
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar las máquinas Linux que no tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro no están instalados. | auditIfNotExists | 3.0.0 |
| Auditar las máquinas Linux que tengan cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar las máquinas Linux que tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro están instalados. | auditIfNotExists | 3.0.0 |
| Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales no contiene uno o más miembros de los que se enumeran en el parámetro de la directiva. | auditIfNotExists | 1.0.0 |
| Auditar la conectividad de red de máquinas Windows | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el estado de una conexión de red con una IP y un puerto TCP no coincide con el parámetro de la directiva. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas Windows en las que la configuración de DSC no sea compatible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el comando de Windows PowerShell Get-DSCConfigurationStatus devuelve que la configuración de DSC de la máquina no es compatible. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el agente no está instalado o si está instalado, pero el objeto COM AgentConfigManager.MgmtSvcCfg devuelve que está registrado en un área de trabajo distinta del identificador especificado en el parámetro de la directiva. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas Windows en que los servicios especificados no estén instalados y en ejecución | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el resultado del comando de Windows PowerShell Get-Service no incluye el nombre del servicio con el estado de coincidencia tal y como se especifica en el parámetro de la directiva. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas Windows donde no esté habilitado Serial Console de Windows | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no tiene instalado el software de la consola serie o si el número de puerto de EMS o la velocidad en baudios no están configurados con los mismos valores que los parámetros de la directiva. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas Windows que permitan volver a usar las 24 contraseñas anteriores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows permiten volver a usar las 24 contraseñas anteriores. | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar las máquinas Windows que no estén unidas al dominio especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad de dominio en la clase WMI win32_computersystem no coincide con el valor del parámetro de directiva. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas Windows que no estén establecidas en la zona horaria especificada | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad StandardName en la clase WMI Win32_TimeZone no coincide con la zona horaria seleccionada para el parámetro de directiva. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas Windows que contengan certificados que expirarán en el plazo de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo durante el número de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas Windows que no contengan los certificados especificados en la raíz de confianza | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el almacén de certificados raíz de confianza de la máquina (Cert:\LocalMachine\Root) no contiene uno o varios de los certificados enumerados por el parámetro de directiva. | auditIfNotExists | 1.0.1 |
| Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia máxima de 70 días | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen una contraseña cuya duración máxima sea 70 días. | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar las máquinas Windows cuyas contraseñas no tengan una vigencia mínima de 1 día | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen una contraseña cuya duración mínima sea 1 día. | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen habilitada la configuración de complejidad de la contraseña. | AuditIfNotExists, Disabled | 1.0.0 |
| Realizar una auditoría de las máquinas Windows que no tengan instalada la directiva de ejecución específica de Windows PowerShell | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son conformes si el comando de Windows PowerShell Get-ExecutionPolicy devuelve un valor distinto al seleccionado en el parámetro de directiva. | AuditIfNotExists, Disabled | 1.0.0 |
| Realizar una auditoría de las máquinas Windows que no tengan instalados los módulos específicos de Windows PowerShell | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son conformes si un módulo no está disponible en la ubicación especificada por la variable de entorno PSModulePath. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a 14 caracteres | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no restringen la longitud mínima de la contraseña a 14 caracteres. | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. | AuditIfNotExists, Disabled | 1.0.0 |
| Auditar las máquinas Windows que no tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación no se encuentra en ninguna de las siguientes rutas de acceso del registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas Windows que tengan cuentas adicionales en el grupo de administradores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene miembros que no se enumeran en el parámetro de la directiva. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas Windows que no se reiniciaron en el plazo de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si la propiedad de WMI LastBootUpTime en la clase Win32_Operatingsystem está fuera del intervalo de días proporcionado por el parámetro de la directiva. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas Windows que tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación se encuentra en cualquiera de las siguientes rutas de acceso del registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. | auditIfNotExists | 1.0.0 |
| Auditar las VM Windows con un reinicio pendiente | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina está pendiente de reinicio por alguno de los siguientes motivos: servicio basado en componentes, Windows Update, cambio de nombre de archivo pendiente, cambio de nombre de máquina pendiente o reinicio de Configuration Manager pendiente. Cada detección tiene una ruta de acceso del registro única. | auditIfNotExists | 1.0.0 |
| La autenticación en máquinas Linux debe requerir claves SSH. | Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 2.0.1 |
| [Vista previa]: El agente de seguridad de Azure debe estar instalado en las máquinas de Linux Arc | Instale el agente de seguridad de Azure en las máquinas virtuales Linux Arc con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vista previa]: El agente de seguridad de Azure debe estar instalado en las máquinas de Windows Arc | Instale el agente de seguridad de Azure en las máquinas virtuales Windows Arc con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Configure las máquinas habilitadas para Arc que ejecutan SQL Server para tener instalada la extensión de SQL Server. | Para asegurarse de que los recursos de SQL Server: Azure Arc se crean de forma predeterminada cuando la instancia de SQL Server se encuentra en un servidor de Windows con Azure Arc habilitado, este último debe tener instalada la extensión de SQL Server y la identidad administrada del servidor debe configurarse con el rol de incorporación de Azure Connected SQL Server. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurar el agente de dependencias en servidores Linux con Azure Arc habilitados | Habilite la información de las VM en servidores y máquinas conectadas a Azure a través de servidores habilitados para Arc mediante la instalación de la extensión Dependency Agent para máquinas virtuales. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurar el agente de dependencias en servidores Windows con Microsoft Azure Arc habilitados | Habilite la información de las VM en servidores y máquinas conectadas a Azure a través de servidores habilitados para Arc mediante la instalación de la extensión Dependency Agent para máquinas virtuales. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurar el agente de Log Analytics en servidores Linux con Azure Arc habilitado | Habilite la información de las VM en servidores y máquinas conectadas a Azure a través de servidores habilitados para Arc mediante la instalación de la extensión del agente de Log Analytics para máquinas virtuales. La información de las VM usa el agente de Log Analytics para recopilar los datos de rendimiento del sistema operativo invitado, y proporciona información sobre su rendimiento. Más información: https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurar el agente de Log Analytics en servidores Windows con Microsoft Azure Arc habilitado | Habilite la información de las VM en servidores y máquinas conectadas a Azure a través de servidores habilitados para Arc mediante la instalación de la extensión del agente de Log Analytics para máquinas virtuales. La información de las VM usa el agente de Log Analytics para recopilar los datos de rendimiento del sistema operativo invitado, y proporciona información sobre su rendimiento. Más información: https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| [Versión preliminar]: Configuración las máquinas para recibir un agente de evaluación de vulnerabilidad | Azure Defender incluye el examen de vulnerabilidades de las máquinas sin costo adicional. No se necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Security Center. Al habilitar esta directiva, Azure Defender implementa automáticamente el proveedor de evaluación de vulnerabilidades Qualys en todas las máquinas compatibles que todavía no lo tengan instalado. | DeployIfNotExists, Disabled | 2.2.0-preview |
| [Vista previa]: Configure las máquinas de Linux Arc para instalar automáticamente el agente de seguridad de Azure. | Configure las máquinas compatibles con Linux Arc para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas Linux Arc de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vista previa]: Configure las máquinas Windows Arc admitidas para instalar automáticamente el agente de seguridad de Azure | Configure las máquinas Windows Arc admitidas para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas Windows Arc de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Configure la zona horaria en las máquinas de Windows. | Esta directiva crea una asignación de configuración de invitado para establecer la zona horaria especificada en Windows Virtual Machines. | deployIfNotExists | 1.1.0 |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección de puntos de conexión que admite Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| La protección de los puntos de conexión debe instalarse en las máquinas | Para proteger las máquinas frente a amenazas y vulnerabilidades, instale una solución Endpoint Protection compatible. | AuditIfNotExists, Disabled | 1.0.0 |
| [Versión preliminar]: las máquinas Linux deben cumplir los requisitos de línea base de seguridad de proceso de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. | AuditIfNotExists, Disabled | 1.1.1-preview |
| Las máquinas Linux solo deben tener cuentas locales permitidas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Administrar cuentas de usuario mediante Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. | AuditIfNotExists, Disabled | 1.0.0 |
| [Vista previa]: El agente de Log Analytics debe estar instalado en las máquinas Linux de Azure Arc | Esta directiva audita las máquinas Linux de Azure Arc si el agente de Log Analytics no está instalado. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Vista previa]: El agente de Log Analytics debe estar instalado en las máquinas Windows de Azure Arc | Esta directiva audita las máquinas Windows de Azure Arc si el agente de Log Analytics no está instalado. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. | AuditIfNotExists, Disabled | 1.0.0 |
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Disabled | 1.1.1 |
| Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Panel de control" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Panel de control" para la personalización de entrada y para evitar que se habiliten pantallas de bloqueo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - MSS (heredado)" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - MSS (heredado)" para el inicio de sesión automático, el protector de pantalla, el comportamiento de la red, el archivo DLL seguro y el registro de eventos. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Red" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Red" para los inicios de sesión de invitado, las conexiones simultáneas, el puente de red, ICS y la resolución de nombres de multidifusión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Sistema" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Sistema" para la configuración que determina la experiencia administrativa y la asistencia remota. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cuentas" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cuentas" para limitar el uso de contraseñas en blanco por parte de cuentas locales y el estado de la cuenta de invitado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Auditoría" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Auditar" para aplicar la subcategoría de la directiva de auditoría y apagar si no es posible registrar las auditorías de seguridad. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Dispositivos" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Dispositivos" para desacoplar sin iniciar sesión, instalar controladores de impresión, así como formatear o expulsar medios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Inicio de sesión interactivo" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Inicio de sesión interactivo" para mostrar el último nombre de usuario y solicitar el uso de Ctrl-Alt-Supr. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cliente de redes de Microsoft" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cliente de redes de Microsoft" para el cliente/servidor de red de Microsoft y SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Servidor de red Microsoft" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Servidor de red Microsoft" para deshabilitar el servidor SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Acceso a la red" para incluir el acceso de usuarios anónimos, cuentas locales y acceso remoto al Registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de la red" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Seguridad de la red" para incluir el comportamiento del sistema local, PKU2U, LAN Manager, el cliente LDAP y el portal de autoservicio (SSP) de NTLM. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Consola de recuperación" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Consola de recuperación" para permitir la copia de disquetes y el acceso a todas las unidades y carpetas. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Apagar" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Apagar" para permitir el apagado sin iniciar sesión y borrar el archivo de paginación de la memoria virtual. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos para "Opciones de seguridad - Objetos del sistema" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Objetos del sistema" sin distinción de mayúsculas y minúsculas para los subsistemas que no son de Windows y los permisos de objetos internos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Configuración del sistema" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Configuración del sistema" para las reglas de certificado en archivos ejecutables del SRP y los subsistemas opcionales. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Control de cuentas de usuario" para el modo de administradores, el comportamiento de la petición de elevación y la virtualización de errores de escritura de archivos y del registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para el historial de contraseñas, la antigüedad, la longitud, la complejidad y el almacenamiento de contraseñas mediante cifrado reversible. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para auditar la validación de credenciales y otros eventos de inicio de sesión de cuenta. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Administración de cuentas" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Administración de cuentas" para auditar la aplicación, la seguridad y la administración de grupos de usuarios, así como otros eventos de administración. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Iniciar sesión/Cerrar sesión" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Iniciar sesión/Cerrar sesión" para auditar IPSec, la directiva de red, las notificaciones, el bloqueo de cuentas, la pertenencia a grupos y los eventos de inicio o cierre de sesión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Acceso a objetos" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Acceso a objetos" para auditar los sistemas de archivo, registro, SAM, almacenamiento, filtrado, kernel y de otro tipo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Cambio en directivas" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Cambio en directivas" para auditar los cambios en las directivas de auditoría del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Uso de privilegios" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Uso de privilegios" para auditar el uso no confidencial y de otros privilegios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Sistema" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Sistema" para auditar el controlador IPsec, la integridad del sistema, la extensión del sistema, el cambio de estado y otros eventos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Asignación de derechos de usuario" para permitir el inicio de sesión local, el protocolo RDP, el acceso desde la red y muchas otras actividades de usuario. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Componentes de Windows" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Componentes de Windows" para la autenticación básica, el tráfico no cifrado, las cuentas de Microsoft, la telemetría, Cortana y otros comportamientos de Windows. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Propiedades de Firewall de Windows" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Propiedades de Firewall de Windows" para el estado del firewall, las conexiones, la administración de reglas y las notificaciones. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| [Versión preliminar]: las máquinas Windows deben cumplir los requisitos de línea base de seguridad de proceso de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. | AuditIfNotExists, Disabled | 1.0.1-preview |
| Las máquinas Windows solo deben tener cuentas locales permitidas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, consulte https://aka.ms/gcpol. Esta definición no se admite en Windows Server 2012 o 2012 R2. Administrar cuentas de usuario mediante Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. | AuditIfNotExists, Disabled | 1.0.0 |
| Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, los servidores web deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red mediante el uso de certificados de seguridad para cifrar una conexión entre máquinas. | AuditIfNotExists, Disabled | 3.0.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.