Azure Arc 지원 서버를 위한 Azure Policy 기본 제공 정의
이 페이지는 Azure Arc 지원 서버에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Azure Arc 지원 서버
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 컴퓨터에서 관리 ID를 사용하도록 설정해야 합니다. | Automanage로 관리하는 리소스에는 관리 ID가 있어야 합니다. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Automanage 구성 프로필 할당이 Conformant여야 함 | Automanage에서 관리하는 리소스는 Conformant 또는 ConformantCorrected 상태여야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure 보안 에이전트를 Linux Arc 머신에 설치해야 함 | 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Linux Arc 컴퓨터에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure 보안 에이전트를 Windows Arc 머신에 설치해야 함 | 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Windows Arc 컴퓨터에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Linux Arc 머신에 ChangeTracking 확장을 설치해야 함 | Linux Arc 머신에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Windows Arc 머신에 ChangeTracking 확장을 설치해야 함 | Windows Arc 머신에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 기본 Log Analytics 작업 영역에 연결된 Log Analytics 에이전트를 사용하여 Azure Arc 지원 Linux 머신 구성 | 클라우드용 Microsoft Defender에서 만든 기본 Log Analytics 작업 영역으로 데이터를 보내는 Log Analytics 에이전트를 설치하여 클라우드용 Microsoft Defender 기능으로 Azure Arc 지원 Linux 머신을 보호합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 기본 Log Analytics 작업 영역에 연결된 Log Analytics 에이전트를 사용하여 Azure Arc 지원 Windows 머신 구성 | 클라우드용 Microsoft Defender에서 만든 기본 Log Analytics 작업 영역으로 데이터를 보내는 Log Analytics 에이전트를 설치하여 클라우드용 Microsoft Defender 기능으로 Azure Arc 지원 Windows 머신을 보호합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: Linux Arc 머신용 ChangeTracking 확장 구성 | Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하기 위해 ChangeTracking 확장을 자동으로 설치하도록 Linux Arc 머신을 구성합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Windows Arc 머신용 ChangeTracking 확장 구성 | Azure Security Center에 FIM(파일 무결성 모니터링)을 사용하기 위해 ChangeTracking 확장을 자동으로 설치하도록 Windows Arc 머신을 구성합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: ChangeTracking 및 인벤토리에 대한 데이터 수집 규칙과 연결되도록 Linux Arc 지원 컴퓨터 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux Arc 지원 컴퓨터를 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 목록은 시간이 지남에 따라 지원이 증가하면서 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: ChangeTracking 및 인벤토리에 대한 AMA를 설치하도록 Linux Arc 지원 컴퓨터 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux Arc 지원 컴퓨터에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 해당 지역이 지원되는 경우 확장을 설치합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.3.0-preview |
| [미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux Arc 머신 구성 | Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux Arc 컴퓨터를 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 Linux Arc 컴퓨터는 지원되는 위치에 있어야 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows Arc 머신 구성 | Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows Arc 컴퓨터를 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 Windows Arc 컴퓨터는 지원되는 위치에 있어야 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: ChangeTracking 및 인벤토리에 대한 데이터 수집 규칙과 연결되도록 Windows Arc 지원 컴퓨터 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Windows Arc 지원 컴퓨터를 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 목록은 시간이 지남에 따라 지원이 증가하면서 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: ChangeTracking 및 인벤토리에 대한 AMA를 설치하도록 Windows Arc 지원 컴퓨터 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Windows Arc 지원 컴퓨터에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 로컬 사용자를 사용하지 않도록 Windows Server 구성 | Windows Server에서 로컬 사용자 사용 안 함을 구성하기 위한 게스트 구성 할당을 만듭니다. 이렇게 하면 이 정책에서 명시적으로 허용된 사용자 목록이나 AAD(Azure Active Directory) 계정에서만 Windows Server에 액세스할 수 있으므로 전반적인 보안 태세가 향상됩니다. | DeployIfNotExists, 사용 안 함 | 1.2.0-preview |
| [미리 보기]: ESU(확장 보안 업데이트) 라이선스 만들기 또는 수정을 거부합니다. | 이 정책을 사용하면 Windows Server 2012 Arc 컴퓨터에 대한 ESU 라이선스 만들기 또는 수정을 제한할 수 있습니다. 가격 책정에 대한 자세한 내용을 보려면 https://aka.ms/ArcWS2012ESUPricing을 방문하세요. | 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Linux 하이브리드 머신에 엔드포인트용 Microsoft Defender 에이전트 배포 | Linux 하이브리드 머신에 엔드포인트용 Microsoft Defender 에이전트를 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [미리 보기]: Windows Azure Arc 머신에 엔드포인트용 Microsoft Defender 에이전트 배포 | Windows Azure Arc 컴퓨터에 엔드포인트용 Microsoft Defender를 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [미리 보기]: 지원 수명 주기가 종료된 후에도 Windows 2012 컴퓨터를 보호하려면 ESU(확장 보안 업데이트) 라이선스를 사용하도록 설정합니다. | 지원 수명 주기가 종료된 후에도 Windows 2012 컴퓨터를 보호하려면 ESU(확장 보안 업데이트) 라이선스를 사용하도록 설정합니다. AzureArc를 통해 Windows Server 2012용 확장 보안 업데이트 제공을 준비하는 방법을 알아보려면 https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates를 방문하세요. 가격 책정에 대한 자세한 내용을 보려면 https://aka.ms/ArcWS2012ESUPricing을 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Windows Server 2012 Arc 컴퓨터에는 확장 보안 업데이트를 설치해야 합니다. | Windows Server 2012 Arc 컴퓨터에는 Microsoft에서 릴리스한 모든 확장 보안 업데이트가 설치되어 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Linux 머신은 Docker 호스트에 대한 Azure 보안 기준 요구 사항을 충족해야 합니다. | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Docker 호스트에 대한 Azure 보안 기준의 권장 사항 중 하나에 대해 컴퓨터가 올바르게 구성되지 않았습니다. | AuditIfNotExists, 사용 안 함 | 1.2.0-preview |
| [미리 보기]: Linux 머신이 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 컴퓨터가 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항의 권장 사항 중 하나에 대해 올바르게 구성되지 않은 경우 컴퓨터가 비준수입니다. DISA(국방정보체계국)는 DoD(국방부)에서 요구하는 컴퓨팅 OS 보안에 대한 기술 가이드인 STIG(보안 기술 구현 가이드)를 제공합니다. 자세한 내용은 https://public.cyber.mil/stigs/를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.2.0-preview |
| [미리 보기]: OMI가 설치된 Linux 컴퓨터에 버전 1.6.8-1 이상이 있어야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Linux용 OMI 패키지 버전 1.6.8-1에 포함된 보안 수정으로 인해 모든 컴퓨터를 최신 릴리스로 업데이트해야 합니다. OMI를 사용하는 앱/패키지를 업그레이드하여 문제를 해결합니다. 자세한 내용은 https://aka.ms/omiguidance를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.2.0-preview |
| [미리 보기]: Log Analytics 확장이 Linux Azure Arc 컴퓨터에 설치되어 있어야 함 | 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 Linux Azure Arc 컴퓨터를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: Log Analytics 확장이 Windows Azure Arc 컴퓨터에 설치되어 있어야 함 | 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 Windows Azure Arc 컴퓨터를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: Nexus Compute Machine은 보안 기준을 충족해야 합니다. | 감사를 위해 Azure Policy 게스트 구성 에이전트를 활용합니다. 이 정책은 다양한 취약성 및 안전하지 않은 구성(Linux에만 해당)으로부터 컴퓨터를 강화하도록 설계된 다양한 권장 사항을 포함하여 컴퓨터가 Nexus 컴퓨팅 보안 기준을 준수하도록 보장합니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: 머신에 시스템 업데이트를 설치해야 함(업데이트 센터에서 제공) | 머신에 누락된 시스템, 보안 및 중요 업데이트가 있습니다. 소프트웨어 업데이트에는 보안 허점을 메우기 위한 중요한 패치가 포함된 경우가 많습니다. 이러한 허점은 맬웨어 공격에 자주 악용되므로 소프트웨어를 업데이트된 상태로 유지하는 것이 중요합니다. 미적용 패치를 모두 설치하고 머신을 보호하려면 수정 단계를 수행합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Windows 컴퓨터가 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 컴퓨터가 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항의 권장 사항 중 하나에 대해 올바르게 구성되지 않은 경우 컴퓨터가 비준수입니다. DISA(국방정보체계국)는 DoD(국방부)에서 요구하는 컴퓨팅 OS 보안에 대한 기술 가이드인 STIG(보안 기술 구현 가이드)를 제공합니다. 자세한 내용은 https://public.cyber.mil/stigs/를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. passwd 파일 권한이 0644로 설정되지 않은 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| 지정된 애플리케이션이 설치되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Chef InSpec 리소스에서 매개 변수에서 제공하는 하나 이상의 패키지가 설치되지 않았음을 나타내는 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 4.2.0 |
| 암호가 없는 계정이 있는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호가 없는 계정이 있는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| 지정된 애플리케이션이 설치되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 하나 이상의 패키지가 설치되었음을 Chef InSpec 리소스가 나타내는 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 4.2.0 |
| 관리자 그룹에 지정된 구성원이 없는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 로컬 관리자 그룹에 정책 매개 변수에 나열된 구성원이 하나 이상 포함되어 있지 않은 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| Windows 머신 네트워크 연결 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. IP 및 TCP 포트에 대한 네트워크 연결 상태가 정책 매개 변수와 일치하지 않는 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 비규격 DSC 구성의 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows PowerShell 명령 Get-DSCConfigurationStatus가 머신의 DSC 구성이 비규격으로 반환되는 경우 머신이 비규격입니다. | auditIfNotExists | 3.0.0 |
| Log Analytics 에이전트가 예상대로 연결되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 에이전트가 설치되지 않았거나 설치되었지만 정책 매개 변수에 지정된 ID 이외의 작업 영역에 등록된 COM 개체 AgentConfigManager.MgmtSvcCfg가 반환되는 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 지정된 서비스가 설치되어 '실행 중'이지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows PowerShell 명령 Get-Service의 결과가 정책 매개 변수에 지정된 것과 일치하는 상태로 서비스 이름을 포함하지 않는 경우 머신은 비규격입니다. | auditIfNotExists | 3.0.0 |
| Windows 직렬 콘솔이 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 머신에 직렬 콘솔 소프트웨어가 설치되어 있지 않거나 EMS 포트 번호 또는 전송 속도가 정책 매개 변수와 동일한 값으로 구성되지 않은 경우 머신은 비규격입니다. | auditIfNotExists | 3.0.0 |
| 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있도록 허용하는 경우 머신은 비규격입니다. 고유 암호의 기본값은 24입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 지정한 도메인에 조인하지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. WMI 클래스 win32_computersystem의 도메인 속성 값이 정책 매개 변수의 값과 일치하지 않는 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 지정한 표준 시간대로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. WMI 클래스 Win32_TimeZone의 StandardName 속성 값이 정책 매개 변수의 선택한 표준 시간대와 일치하지 않는 경우 머신은 비규격입니다. | auditIfNotExists | 3.0.0 |
| 지정한 기간(일) 내에 만료되는 인증서가 포함된 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 지정된 저장소에 있는 인증서의 만료 날짜가 매개 변수로 지정된 일 수에 대한 범위를 벗어나는 경우 머신은 비규격입니다. 또한 이 정책은 특정 인증서를 확인하거나 특정 인증서를 제외하는 옵션 및 만료된 인증서를 보고할지 여부를 제공합니다. | auditIfNotExists | 2.0.0 |
| 신뢰할 수 있는 루트에 지정한 인증서가 포함되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 머신의 신뢰할 수 있는 루트 인증서 저장소(Cert:\LocalMachine\Root)에 정책 매개 변수에 나열된 인증서 중 하나 이상이 포함되어 있지 않으면 머신은 비규격입니다. | auditIfNotExists | 3.0.0 |
| 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최대 암호 사용 기간의 기본값은 70일입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최소 암호 사용 기간의 기본값은 1일입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 암호 복잡성 설정이 활성화되지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 복잡성 설정이 활성화되지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 지정한 Windows PowerShell 실행 정책이 없는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows PowerShell 명령 Get-ExecutionPolicy가 정책 매개 변수에서 선택한 값과 다른 값을 반환하는 경우 머신은 비준수입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 지정한 Windows PowerShell 모듈이 설치되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 환경 변수 PSModulePath에 지정된 위치에서 모듈을 사용할 수 없는 경우 머신은 비준수입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 암호 최소 길이를 지정된 문자 수로 제한하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 길이를 지정된 문자 수로 제한하지 않는 경우 머신은 비규격입니다. 최소 암호 길이에 대한 기본값은 14자입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 지정된 애플리케이션이 설치되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 다음 레지스트리 경로에서 애플리케이션 이름을 찾을 수 없는 경우 컴퓨터가 비준수입니다. HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall | auditIfNotExists | 2.0.0 |
| 관리자 그룹에 추가 계정이 있는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 로컬 관리자 그룹에 정책 매개 변수에 나열되지 않은 구성원이 포함된 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 지정한 기간(일) 내에 다시 시작되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 클래스 Win32_Operatingsystem의 LastBootUpTime WMI 속성이 정책 매개 변수에서 제공하는 일 범위를 벗어나는 경우 머신이 비규격입니다. | auditIfNotExists | 2.0.0 |
| 지정된 애플리케이션이 설치된 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 애플리케이션 이름이 다음 레지스트리 경로 중 하나에 있으면 컴퓨터가 비준수입니다. HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall | auditIfNotExists | 2.0.0 |
| 관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 로컬 관리자 그룹에 정책 매개 변수에 나열된 구성원이 하나 이상 포함된 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 재부팅을 대기 중인 Windows VM 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 구성 요소 기반 서비스, Windows 업데이트, 보류 중인 파일 이름 바꾸기, 보류 중인 컴퓨터 이름 바꾸기, 구성 관리자의 다시 부팅 보류 중 등의 이유로 머신이 다시 부팅을 보류 중인 경우 머신은 비규격입니다. 각 검색에는 고유한 레지스트리 경로가 있습니다. | auditIfNotExists | 2.0.0 |
| Linux 머신에 대한 인증에 SSH 키가 필요함 | SSH 자체에서 암호화된 연결을 제공하지만 SSH와 함께 암호를 사용하면 VM은 여전히 무차별 암호 대입 공격에 취약합니다. SSH를 통해 Azure Linux 가상 머신에 인증하는 가장 안전한 옵션은 SSH 키라고도 하는 퍼블릭-프라이빗 키 쌍을 사용하는 것입니다. https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.2.0 |
| Azure Arc 프라이빗 링크 범위는 프라이빗 엔드포인트로 구성해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Monitor Private Link 범위에 매핑하면 데이터 유출 위험을 감소합니다. https://aka.ms/arc/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Arc 프라이빗 링크 범위가 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Arc 리소스가 퍼블릭 인터넷을 통해 연결할 수 없으므로 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Azure Arc 리소스의 노출을 제한할 수 있습니다. https://aka.ms/arc/privatelink에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Arc 지원 서버는 Azure Arc 프라이빗 링크 범위로 구성해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. Azure Arc 지원 서버를 프라이빗 엔드포인트로 구성된 Azure Arc 프라이빗 링크 범위에 매핑하면 데이터 유출 위험이 감소합니다. https://aka.ms/arc/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| SQL 모범 사례 평가를 사용하거나 사용하지 않도록 설정하려면 SQL Server 확장이 설치된 Arc 지원 서버를 구성합니다. | 모범 사례를 평가하려면 Arc 지원 서버의 SQL 서버 인스턴스에서 SQL 모범 사례 평가를 사용하거나 사용하지 않도록 설정합니다. https://aka.ms/azureArcBestPracticesAssessment에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| Azure Monitor 에이전트를 자동으로 설치하도록 Arc 지원 SQL Server 구성 | Windows Arc 지원 SQL Server에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.3.0 |
| Microsoft Defender for SQL를 자동으로 설치하도록 Arc 지원 SQL Server 구성 | SQL용 Microsoft Defender 에이전트를 자동으로 설치하도록 Windows Arc 지원 SQL Server를 구성합니다. SQL용 Microsoft Defender는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업을 제공합니다(권장 사항). | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| Log Analytics 작업 영역을 사용하여 Microsoft Defender for SQL 및 DCR을 자동으로 설치하도록 Arc 지원 SQL Server 구성 | Microsoft Defender for SQL은 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 리소스 그룹, 데이터 수집 규칙, Log Analytics 작업 영역을 컴퓨터와 동일한 지역에 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.4.0 |
| 사용자 지정 LA 작업 영역을 사용하여 Microsoft Defender for SQL 및 DCR을 자동으로 설치하도록 Arc 지원 SQL Server 구성 | Microsoft Defender for SQL은 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 사용자 지정 Log Analytics 작업 영역과 동일한 지역에 리소스 그룹 및 데이터 수집 규칙을 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.5.0 |
| Microsoft Defender for SQL DCR에 대한 데이터 수집 규칙 연결을 사용하여 Arc 지원 SQL Server 구성 | Arc 지원 SQL Server와 SQL DCR용 Microsoft Defender 간의 연결을 구성합니다. 이 연결을 삭제하면 이 Arc 지원 SQL Server에 대한 보안 취약성 검색이 중단됩니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| Microsoft Defender for SQL 사용자 지정 DCR에 대한 데이터 수집 규칙 연결을 사용하여 Arc 지원 SQL Server 구성 | Arc 지원 SQL Server와 SQL용 Microsoft Defender 사용자 지정 DCR 간의 연결을 구성합니다. 이 연결을 삭제하면 이 Arc 지원 SQL Server에 대한 보안 취약성 검색이 중단됩니다. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Arc 프라이빗 링크 범위 구성 | 연결된 Azure Arc 리소스가 퍼블릭 인터넷을 통해 Azure Arc 서비스에 연결할 수 없도록 Azure Arc 프라이빗 링크 범위에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/arc/privatelink에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Arc 프라이빗 링크 범위 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Arc 프라이빗 링크 범위에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/arc/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Azure Arc 프라이빗 링크 범위를 사용하도록 Azure Arc 지원 서버 구성 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. Azure Arc 지원 서버를 프라이빗 엔드포인트로 구성된 Azure Arc 프라이빗 링크 범위에 매핑하면 데이터 유출 위험이 감소합니다. https://aka.ms/arc/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 모든 리소스에 대해 서버용 Azure Defender가 사용하지 않도록 설정되도록 구성(리소스 수준) | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 범위(구독 또는 리소스 그룹)의 모든 리소스(VM, VMSS 및 ARC 컴퓨터)에 대해 서버용 Defender 계획을 사용하지 않도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 선택한 태그가 있는 리소스(리소스 수준)에 대해 서버용 Azure Defender가 사용하지 않도록 설정되도록 구성 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 태그 이름과 태그 값이 있는 모든 리소스(VM, VMSS 및 ARC 컴퓨터)에 대해 서버용 Defender 계획을 사용하지 않도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 선택한 태그가 있는 모든 리소스(리소스 수준)에 대해 서버용 Azure Defender가 사용되도록('P1' 하위 계획) 구성 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 태그 이름과 태그 값이 있는 모든 리소스(VM 및 ARC 컴퓨터)에 대해 서버용 Defender 계획('P1' 하위 계획 포함)을 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 모든 리소스(리소스 수준)에 대해('P1' 하위 계획 사용) 사용하도록 서버용 Azure Defender 구성 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 범위(구독 또는 리소스 그룹)의 모든 리소스(VM 및 ARC 컴퓨터)에 대해 서버용 Defender 계획('P1' 하위 계획 포함)을 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Arc 지원 Linux 서버에서 종속성 에이전트 구성 | 종속성 에이전트 가상 머신 확장을 설치하여 Arc 지원 서버를 통해 Azure에 연결된 서버 및 머신에서 VM 인사이트를 사용하도록 설정합니다. VM 인사이트는 종속성 에이전트를 사용하여 네트워크 메트릭과 머신에서 실행되는 프로세스 및 외부 프로세스 종속성에 대한 검색된 데이터를 수집합니다. 자세히 보기 - https://aka.ms/vminsightsdocs. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Azure Monitoring Agent 설정을 사용하여 Azure Arc 사용 가능한 Linux 서버에서 종속성 에이전트 구성 | Azure Monitoring Agent 설정을 사용하여 종속성 에이전트 가상 머신 확장을 설치하여 Arc 지원 서버를 통해 Azure에 연결된 서버 및 머신에서 VM 인사이트를 사용하도록 설정합니다. VM 인사이트는 종속성 에이전트를 사용하여 네트워크 메트릭과 머신에서 실행되는 프로세스 및 외부 프로세스 종속성에 대한 검색된 데이터를 수집합니다. 자세히 보기 - https://aka.ms/vminsightsdocs. | DeployIfNotExists, 사용 안 함 | 1.1.2 |
| Azure Arc 사용 Windows 서버에서 종속성 에이전트 구성 | 종속성 에이전트 가상 머신 확장을 설치하여 Arc 지원 서버를 통해 Azure에 연결된 서버 및 머신에서 VM 인사이트를 사용하도록 설정합니다. VM 인사이트는 종속성 에이전트를 사용하여 네트워크 메트릭과 머신에서 실행되는 프로세스 및 외부 프로세스 종속성에 대한 검색된 데이터를 수집합니다. 자세히 보기 - https://aka.ms/vminsightsdocs. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Azure Monitoring Agent 설정을 사용하여 Azure Arc 지원 Windows 서버에서 종속성 에이전트 구성 | Azure Monitoring Agent 설정을 사용하여 종속성 에이전트 가상 머신 확장을 설치하여 Arc 지원 서버를 통해 Azure에 연결된 서버 및 머신에서 VM 인사이트를 사용하도록 설정합니다. VM 인사이트는 종속성 에이전트를 사용하여 네트워크 메트릭과 머신에서 실행되는 프로세스 및 외부 프로세스 종속성에 대한 검색된 데이터를 수집합니다. 자세히 보기 - https://aka.ms/vminsightsdocs. | DeployIfNotExists, 사용 안 함 | 1.1.2 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Linux Arc 머신 구성 | Linux Arc 컴퓨터를 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결하기 위해 연결을 배포합니다. 위치 목록은 시간이 지남에 따라 지원이 증가하면서 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 2.2.0 |
| Azure Monitor 에이전트를 실행하도록 Linux Arc 지원 머신 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux Arc 지원 머신에 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 해당 지역이 지원되는 경우 확장을 설치합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 2.4.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Linux 머신 구성 | 연결을 배포하여 Linux Virtual Machines, 가상 머신 확장 집합 및 Arc 컴퓨터를 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 6.3.0 |
| 로컬 사용자를 사용하지 않도록 Linux Server를 구성합니다. | 게스트 구성 할당을 만들어 Linux 서버에서 로컬 사용자를 사용하지 않도록 설정을 구성합니다. 이렇게 하면 이 정책에서 명시적으로 허용된 사용자 목록이나 AAD(Azure Active Directory) 계정에서만 Linux Server에 액세스할 수 있으므로 전반적인 보안 태세가 향상됩니다. | DeployIfNotExists, 사용 안 함 | 1.3.0-preview |
| Azure Arc 지원 Linux 서버에서 Log Analytics 확장을 구성합니다. 아래 사용 중단 알림을 참조하세요. | Log Analytics 가상 머신 확장을 설치하여 Arc 지원 서버를 통해 Azure에 연결된 서버와 머신에서 VM 인사이트를 사용하도록 설정합니다. VM 인사이트는 Log Analytics 에이전트를 사용하여 게스트 OS 성능 데이터를 수집하고 성능에 대한 인사이트를 제공합니다. 자세히 보기 - https://aka.ms/vminsightsdocs. 사용 중단 알림: Log Analytics 에이전트는 사용 중단 과정에 있으며 2024년 8월 31일 이후에는 지원되지 않습니다. 이 날짜가 되기 전에 대체 'Azure Monitor 에이전트'로 마이그레이션해야 합니다. | DeployIfNotExists, 사용 안 함 | 2.1.1 |
| Azure Arc 지원 Windows 서버에서 Log Analytics 확장 구성 | Log Analytics 가상 머신 확장을 설치하여 Arc 지원 서버를 통해 Azure에 연결된 서버와 머신에서 VM 인사이트를 사용하도록 설정합니다. VM 인사이트는 Log Analytics 에이전트를 사용하여 게스트 OS 성능 데이터를 수집하고 성능에 대한 인사이트를 제공합니다. 자세히 보기 - https://aka.ms/vminsightsdocs. 사용 중단 알림: Log Analytics 에이전트는 사용 중단 과정에 있으며 2024년 8월 31일 이후에는 지원되지 않습니다. 이 날짜가 되기 전에 대체 'Azure Monitor 에이전트'로 마이그레이션해야 합니다. | DeployIfNotExists, 사용 안 함 | 2.1.1 |
| 취약성 평가 공급자를 받도록 컴퓨터 구성 | Azure Defender는 추가 비용 없이 머신의 취약성을 검사합니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 Security Center 내에서 원활하게 처리됩니다. 이 정책을 사용하도록 설정하면 Azure Defender에서 아직 설치되지 않은 모든 지원되는 컴퓨터에 Qualys 취약성 평가 공급자를 자동으로 배포합니다. | DeployIfNotExists, 사용 안 함 | 4.0.0 |
| Azure Arc 지원 서버에서 누락된 시스템 업데이트에 대한 정기 검사 구성 | Azure Arc 지원 서버에서 OS 업데이트에 대한 자동 평가(24시간마다)를 구성합니다. 컴퓨터 구독, 리소스 그룹, 위치 또는 태그에 따라 할당 범위를 제어할 수 있습니다. Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux: https://aka.ms/computevm-linuxpatchassessmentmode에 대해 자세히 알아봅니다. | 수정 | 2.2.1 |
| Windows 컴퓨터에서 보안 통신 프로토콜(TLS 1.1 또는 TLS 1.2) 구성 | Windows 컴퓨터에서 지정된 보안 프로토콜 버전(TLS 1.1 또는 TLS 1.2)을 구성하는 게스트 구성 할당을 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| Microsoft Defender for SQL Log Analytics 작업 영역 구성 | Microsoft Defender for SQL은 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 컴퓨터와 동일한 지역에서 리소스 그룹과 Log Analytics 작업 영역을 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.3.0 |
| Windows 머신에서 표준 시간대를 구성합니다. | 이 정책은 Windows 가상 머신에서 지정된 표준 시간대를 설정하기 위한 게스트 구성 할당을 만듭니다. | deployIfNotExists | 2.1.0 |
| Azure Automanage에 온보딩할 가상 머신 구성 | Azure Automanage는 Azure용 Microsoft Cloud Adoption Framework에 정의된 모범 사례를 사용하여 가상 머신을 등록, 구성 및 모니터링합니다. 이 정책을 사용하여 선택한 범위에 자동 관리를 적용합니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 2.4.0 |
| 사용자 지정 구성 프로필을 사용하여 Azure Automanage에 온보딩할 가상 머신 구성 | Azure Automanage는 Azure용 Microsoft Cloud Adoption Framework에 정의된 모범 사례를 사용하여 가상 머신을 등록, 구성 및 모니터링합니다. 이 정책을 사용하여 고유한 사용자 지정 구성 프로필이 있는 Automanage를 선택한 범위에 적용합니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.4.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Windows Arc 머신 구성 | 연결을 배포하여 Windows Arc 컴퓨터를 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 목록은 시간이 지남에 따라 지원이 증가하면서 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 2.2.0 |
| Azure Monitor 에이전트를 실행하도록 Windows Arc 지원 머신 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows Arc 지원 머신에 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 2.4.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Windows 머신 구성 | 연결을 배포하여 Windows Virtual Machines, 가상 머신 확장 집합 및 Arc 컴퓨터를 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 4.5.0 |
| 머신에서 엔드포인트 보호 상태 문제를 해결해야 함 | 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center 지원 엔드포인트 보호 솔루션은 여기(https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions)에 설명되어 있습니다. 엔드포인트 보호 평가는 여기(https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection)에 설명되어 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 머신에 Endpoint Protection을 설치해야 함 | 위협 및 취약성으로부터 머신을 보호하려면 지원되는 엔드포인트 보호 솔루션을 설치합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Linux Arc 지원 머신에는 Azure Monitor 에이전트가 설치되어 있어야 함 | 배포된 Azure Monitor 에이전트를 통해 Linux Arc 지원 머신을 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 이 정책은 지원되는 지역의 Arc 지원 머신을 감사합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.2.0 |
| Linux 컴퓨터는 Azure Arc에 Log Analytics 에이전트가 설치되어 있어야 함 | Log Analytics 에이전트가 Azure Arc 지원 Linux 서버에 설치되어 있지 않으면 머신이 호환되지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.2.0 |
| Linux 머신에는 허용되는 로컬 계정만 있어야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure Active Directory를 사용한 사용자 계정 관리는 ID 관리의 모범 사례입니다. 로컬 머신 계정을 줄이면 중앙 시스템 외부에서 관리되는 ID의 확산을 방지할 수 있습니다. 정책 매개 변수에 나열되지 않고 사용하도록 설정된 로컬 사용자 계정이 있는 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.2.0 |
| Linux 머신에서 로컬 인증 방법을 사용하지 않도록 설정해야 합니다. | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Linux 서버에서 로컬 인증 방법을 사용하지 않도록 설정하지 않은 경우 컴퓨터는 호환되지 않습니다. 이는 AAD(Azure Active Directory) 계정 또는 이 정책에 의해 명시적으로 허용된 사용자 목록에서만 Linux 서버에 액세스할 수 있는지 유효성을 검사하여 전반적인 보안 태세를 개선합니다. | AuditIfNotExists, 사용 안 함 | 1.2.0-preview |
| Windows 서버에서 로컬 인증 방법을 사용하지 않도록 설정해야 합니다. | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 서버에서 로컬 인증 방법을 사용하지 않도록 설정하지 않은 경우 컴퓨터는 호환되지 않습니다. 이는 AAD(Azure Active Directory) 계정 또는 이 정책에 의해 명시적으로 허용된 사용자 목록에서만 Windows 서버에 액세스할 수 있는지 유효성을 검사하여 전반적인 보안 태세를 개선합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| 누락된 시스템 업데이트가 있는지 주기적으로 확인하도록 컴퓨터를 구성해야 함 | 누락된 시스템 업데이트에 대한 정기 평가가 24시간마다 자동으로 트리거되도록 하려면 AssessmentMode 속성을 'AutomaticByPlatform'으로 설정해야 합니다. Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux: https://aka.ms/computevm-linuxpatchassessmentmode의 AssessmentMode 속성에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 3.7.0 |
| Azure 업데이트 관리자를 사용하여 되풀이 업데이트 예약 | Azure에서 Azure 업데이트 관리자를 사용하여 반복적인 배포 일정을 저장하여 Azure, 온-프레미스 환경, Azure Arc 지원 서버를 사용하여 연결된 다른 클라우드 환경에서 Windows Server 및 Linux 컴퓨터에 대한 운영 체제 업데이트를 설치할 수 있습니다. 또한 이 정책은 Azure Virtual Machine의 패치 모드도 ‘AutomaticByPlatform’으로 변경합니다. 자세히 보기: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, 사용 안 함 | 3.10.0 |
| 컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함 | SQL 취약성 평가는 데이터베이스를 검사하여 보안 취약성을 찾아내고, 구성 오류, 과도한 권한, 보호되지 않는 중요한 데이터 등과 같이 모범 사례를 따르지 않는 부분을 공개합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 적합한 Arc 지원 SQL Server 인스턴스에 확장 보안 업데이트 구독 | 라이선스 유형이 유료 또는 확장 보안 업데이트에 대한 PAYG로 설정된 적합 Arc 지원 SQL Server 인스턴스를 구독합니다. 확장된 보안 업데이트에 대해 자세히 알아봅니다. https://go.microsoft.com/fwlink/?linkid=2239401 | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 레거시 Log Analytics 확장을 Azure Arc 지원 Linux 서버에 설치하면 안 됨 | 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Azure Arc 지원 Linux 서버에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA | 거부, 감사, 사용 안 함 | 1.0.0 |
| 레거시 Log Analytics 확장을 Azure Arc 지원 Windows 서버에 설치하면 안 됨 | 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Azure Arc 사용 Windows 서버에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA | 거부, 감사, 사용 안 함 | 1.0.0 |
| Windows Arc 지원 머신에는 Azure Monitor 에이전트가 설치되어 있어야 함 | 배포된 Azure Monitor 에이전트를 통해 Windows Arc 지원 머신을 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 지원되는 지역의 Windows Arc 지원 머신은 Azure Monitor 에이전트 배포를 위해 모니터링됩니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.2.0 |
| Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists, 사용 안 함 | 4.1.1 |
| Windows 머신은 하루 안에 보호 서명을 업데이트하도록 Windows Defender를 구성해야 함 | 새로 릴리스된 맬웨어를 적절하게 보호하려면 새로 릴리스된 맬웨어를 고려하도록 Windows Defender 보호 서명을 정기적으로 업데이트해야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Windows 시스템은 Windows Defender 실시간 보호를 사용해야 함 | Windows 머신은 새로 릴리스된 맬웨어를 적절하게 보호하도록 Windows Defender의 실시간 보호를 사용해야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Windows 컴퓨터는 Azure Arc에 Log Analytics 에이전트가 설치되어 있어야 함 | Log Analytics 에이전트가 Azure Arc 지원 Windows 서버에 설치되어 있지 않으면 머신이 호환되지 않습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Windows 머신은 '관리 템플릿 - 제어판'에 대한 요구 사항을 충족해야 함 | Windows 머신에는 입력 개인 설정 및 잠금 화면 활성화 방지를 위해 '관리 템플릿 - 제어판' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '관리 템플릿 - MSS(레거시)'에 대한 요구 사항을 충족해야 함 | Windows 머신에는 자동 로그온, 화면 보호기, 네트워크 동작, 안전 DLL 및 이벤트 로그를 위해 '관리 템플릿 - MSS(레거시)' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '관리 템플릿 - 네트워크'에 대한 요구 사항을 충족해야 함 | Windows 머신에는 게스트 로그온, 동시 연결, 네트워크 브리지, ICS 및 멀티캐스트 이름 확인을 위해 '관리 템플릿 - 네트워크' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '관리 템플릿 - 시스템'에 대한 요구 사항을 충족해야 함 | Windows 머신에는 관리 환경과 원격 지원을 제어하는 설정을 위해 '관리 템플릿 - 시스템' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 계정'에 대한 요구 사항을 충족해야 함 | Windows 컴퓨터에는 빈 암호 및 게스트 계정 상태의 로컬 계정 사용을 제한하는 그룹 정책 설정이 '보안 옵션 - 계정' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 컴퓨터는 '보안 옵션 - 감사' 요구 사항을 충족해야 함 | Windows 컴퓨터에는 감사 정책 하위 범주를 강제로 적용하고 보안 감사를 기록할 수 없는 경우 종료하는 그룹 정책 설정이 '보안 옵션 - 감사' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 디바이스'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 로그온하지 않고 도킹 해제, 프린트 드라이버 설치 및 미디어 포맷/꺼내기를 사용하려면 '보안 옵션 - 디바이스' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 대화형 로그온'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 마지막 사용자 이름을 표시하고 ctrl-alt-del을 요구하려면 '보안 옵션 - 대화형 로그온' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되었어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - Microsoft 네트워크 클라이언트'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 Microsoft 네트워크 클라이언트/서버 및 SMB v1을 사용하려면 '보안 옵션 - Microsoft 네트워크 클라이언트' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 컴퓨터는 '보안 옵션 - Microsoft 네트워크 서버' 요구 사항을 충족해야 함 | Windows 컴퓨터에는 SMB v1 서버를 사용하지 않도록 설정하는 그룹 정책 설정이 '보안 옵션 - Microsoft 네트워크 서버' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 컴퓨터는 '보안 옵션 - 네트워크 액세스' 요구 사항을 충족해야 함 | Windows 컴퓨터에는 익명 사용자, 로컬 계정 및 레지스트리에 대한 원격 액세스에 대한 액세스를 포함하는 그룹 정책 설정이 '보안 옵션 - 네트워크 액세스' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | Windows 머신에는 로컬 시스템 동작, PKU2U, LAN Manager, LDAP 클라이언트 및 NTLM SSP를 포함하는 '보안 옵션 - 네트워크 보안' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 컴퓨터는 '보안 옵션 - 복구 콘솔' 요구 사항을 충족해야 함 | Windows 컴퓨터에는 모든 드라이브와 폴더에 대한 플로피 복사 및 액세스를 허용하는 그룹 정책 설정이 '보안 옵션 - 복구 콘솔' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 종료'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 로그온하거나 가상 메모리 페이지 파일을 지우지 않은 상태에서 종료를 허용하려면 '보안 옵션 - 종료' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 시스템 개체'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 비 Windows 하위 시스템의 대/소문자 비구분 및 내부 시스템 개체의 권한을 얻으려면 '보안 옵션 - 시스템 개체' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 시스템 설정'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 SRP 및 선택적 하위 시스템의 실행 파일에 대한 인증서 규칙을 사용하려면 '보안 옵션 - 시스템 설정' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 컴퓨터는 '보안 옵션 - 사용자 계정 컨트롤' 요구 사항을 충족해야 함 | Windows 컴퓨터에는 관리자 모드, 권한 상승 프롬프트 동작, 파일 및 레지스트리 쓰기 오류 가상화에 대한 그룹 정책 설정이 '보안 옵션 - 사용자 계정 컨트롤' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 설정 - 계정 정책'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 암호 기록, 사용 기간, 길이, 복잡성 및 해독 가능한 암호화를 사용한 암호를 저장하려면 '보안 설정 - 계정 정책' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 계정 로그온'의 요구 사항을 충족해야 함 | Windows 머신에서 자격 증명 유효성 검사 및 기타 계정 로그온 이벤트를 감사하려면 '시스템 감사 정책 - 계정 로그온' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 계정 관리'의 요구 사항을 충족해야 함 | Windows 컴퓨터에는 애플리케이션, 보안, 사용자 그룹 관리 및 기타 관리 이벤트를 감사하는 그룹 정책 설정이 '시스템 감사 정책 - 계정 관리' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 | Windows 컴퓨터에는 DPAPI, 프로세스 만들기/종료, RPC 이벤트 및 PNP 활동을 감사하는 그룹 정책 설정이 '시스템 감사 정책 - 세부 추적' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 로그온-로그오프'의 요구 사항을 충족해야 함 | Windows 머신에서 IPSec, 네트워크 정책, 클레임, 계정 잠금, 그룹 멤버 자격 및 로그온/로그오프 이벤트를 감사하려면 '시스템 감사 정책 - 로그온-로그오프' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 개체 액세스'의 요구 사항을 충족해야 함 | Windows 머신에서 파일, 레지스트리, SAM, 스토리지, 필터링, 커널 및 기타 시스템 유형을 감사하려면 '시스템 감사 정책 - 개체 액세스' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 정책 변경'의 요구 사항을 충족해야 함 | Windows 머신에서 시스템 감사 정책에 대한 변경 내용을 감사하려면 '시스템 감사 정책 - 정책 변경' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 권한 사용'의 요구 사항을 충족해야 함 | Windows 머신에서 중요하지 않은 권한 사용 및 기타 권한 사용을 감사하려면 '시스템 감사 정책 - 권한 사용' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 시스템'의 요구 사항을 충족해야 함 | Windows 머신에서 IPsec 드라이버, 시스템 무결성, 시스템 확장, 상태 변경 및 기타 시스템 이벤트를 감사하려면 '시스템 감사 정책 - 시스템' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '사용자 권한 할당'에 대한 요구 사항을 충족해야 함 | Windows 컴퓨터에는 로컬 로그온, RDP, 네트워크 액세스 및 기타 다양한 사용자 활동을 허용하는 그룹 정책 설정이 '사용자 권한 할당' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 'Windows 구성 요소'의 요구 사항을 충족해야 함 | Windows 머신에서 기본 인증, 암호화된 트래픽, Microsoft 계정, 원격 분석, Cortana 및 기타 Windows 동작을 사용하려면 'Windows 구성 요소' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 컴퓨터는 'Windows 방화벽 속성' 요구 사항을 충족해야 함 | Windows 컴퓨터에는 방화벽 상태, 연결, 규칙 관리 및 알림에 대한 그룹 정책 설정이 'Windows 방화벽 속성' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Windows 머신에는 허용되는 로컬 계정만 있어야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 이 정의는 Windows Server 2012 또는 2012 R2에서 지원되지 않습니다. Azure Active Directory를 사용한 사용자 계정 관리는 ID 관리의 모범 사례입니다. 로컬 머신 계정을 줄이면 중앙 시스템 외부에서 관리되는 ID의 확산을 방지할 수 있습니다. 정책 매개 변수에 나열되지 않고 사용하도록 설정된 로컬 사용자 계정이 있는 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Windows 시스템은 Windows Defender가 매일 예약된 검사를 수행하도록 예약해야 함 | 맬웨어를 즉각적으로 검색하고 시스템에 미치는 영향을 최소화하려면 Windows Defender가 있는 Windows 시스템으로 매일 검사를 예약하는 것이 좋습니다. Windows Defender가 지원되고, 디바이스에 미리 설치되고, 게스트 구성 필수 구성 요소가 배포되었는지 확인하세요. 이러한 요구 사항을 충족하지 못하면 평가 결과가 부정확해질 수 있습니다. https://aka.ms/gcpol에서 게스트 구성에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.2.0 |
| Windows 시스템은 기본 NTP 서버를 사용해야 함 | 'time.windows.com'을 모든 Windows 시스템의 기본 NTP 서버로 설정하여 모든 시스템의 로그에 동기화된 시스템 시계가 있는지 확인합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.