In Azure Policy ingebouwde definities voor servers met Azure Arc
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor servers met Azure Arc. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Servers met Azure Arc
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Er moet een beheerde identiteit zijn ingeschakeld op uw computers | Resources die worden beheerd door Automanage moeten een beheerde identiteit hebben. | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: Toewijzing van automatisch beheerprofiel moet conform zijn | Resources die worden beheerd door Automanage moeten de status Conformant of ConformantCorrected hebben. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: De Azure-beveiligingsagent moet zijn geïnstalleerd op uw Linux Arc-machines | Installeer de Azure-beveiligingsagent op uw Linux Arc-machines om uw machines te bewaken op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden weergegeven en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: De Azure-beveiligingsagent moet zijn geïnstalleerd op uw Windows Arc-machines | Installeer de Azure-beveiligingsagent op uw Windows Arc-machines om uw machines te controleren op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden weergegeven en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw Linux Arc-computer | Installeer de ChangeTracking-extensie op Linux Arc-machines om Bewaking van bestandsintegriteit (FIM) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw Windows Arc-computer | Installeer de ChangeTracking-extensie op Windows Arc-machines om Bewaking van bestandsintegriteit (FIM) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Linux-machines met Azure Arc configureren met Log Analytics-agents die zijn verbonden met de standaard Log Analytics-werkruimte | Beveilig uw Linux-machines met Azure Arc met Microsoft Defender voor Cloud mogelijkheden door Log Analytics-agents te installeren die gegevens verzenden naar een standaard Log Analytics-werkruimte die is gemaakt door Microsoft Defender voor Cloud. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Windows-machines met Azure Arc configureren met Log Analytics-agents die zijn verbonden met de standaard Log Analytics-werkruimte | Beveilig uw Windows-machines met Azure Arc met Microsoft Defender voor Cloud mogelijkheden door Log Analytics-agents te installeren die gegevens verzenden naar een standaard Log Analytics-werkruimte die is gemaakt door Microsoft Defender voor Cloud. | DeployIfNotExists, uitgeschakeld | 1.1.0-preview |
| [Preview]: ChangeTracking-extensie configureren voor Linux Arc-machines | Configureer Linux Arc-machines om de ChangeTracking-extensie automatisch te installeren om FiM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door de Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: ChangeTracking-extensie configureren voor Windows Arc-machines | Configureer Windows Arc-machines om de ChangeTracking-extensie automatisch te installeren om FiM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door de Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: Linux Arc-machines configureren die zijn gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om linux Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties wordt na verloop van tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Linux Arc-machines configureren om AMA te installeren voor ChangeTracking en Inventory | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw Linux Arc-machines voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd als de regio wordt ondersteund. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.3.0-preview |
| [Preview]: Ondersteunde Linux Arc-machines configureren om de Azure-beveiligingsagent automatisch te installeren | Configureer ondersteunde Linux Arc-machines om de Azure Security-agent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Linux Arc-doelcomputers moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Ondersteunde Windows Arc-machines configureren om de Azure-beveiligingsagent automatisch te installeren | Configureer ondersteunde Windows Arc-machines om de Azure Security-agent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Windows Arc-doelcomputers moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Windows Arc-machines configureren die zijn gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om Windows Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties wordt na verloop van tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Windows Arc-machines configureren om AMA te installeren voor ChangeTracking en Inventory | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw Windows Arc-machines voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Configureer Windows Server om lokale gebruikers uit te schakelen. | Hiermee maakt u een toewijzing van een gastenconfiguratie om het uitschakelen van lokale gebruikers op Windows Server te configureren. Dit zorgt ervoor dat Windows-servers alleen kunnen worden geopend door een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor het algehele beveiligingspostuur wordt verbeterd. | DeployIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Uitgebreide beveiligingsupdates (EES's) licentie maken of wijzigen weigeren. | Met dit beleid kunt u het maken of wijzigen van ESU-licenties voor Windows Server 2012 Arc-machines beperken. Ga naar voor meer informatie over prijzen https://aka.ms/ArcWS2012ESUPricing | Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Microsoft Defender voor Eindpunt-agent implementeren op hybride Linux-machines | Implementeert Microsoft Defender voor Eindpunt-agent op hybride Linux-machines | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.1-preview |
| [Preview]: Microsoft Defender voor Eindpunt-agent implementeren op Windows Azure Arc-machines | Implementeert Microsoft Defender voor Eindpunt op Windows Azure Arc-machines. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.1-preview |
| [Preview]: Schakel de licentie voor uitgebreide beveiligingsupdates (EKU's) in om Windows 2012-machines te beschermen nadat hun ondersteuningslevenscyclus is beëindigd. | Schakel de licentie voor uitgebreide beveiligingsupdates (ESU's) in om Windows 2012-machines beveiligd te houden, zelfs nadat hun ondersteuningslevenscyclus is beëindigd. Meer informatie over het voorbereiden van uitgebreide beveiligingsupdates voor Windows Server 2012 via AzureArc https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Ga naar voor meer informatie over prijzen https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Uitgebreide beveiligingsupdates moeten worden geïnstalleerd op Windows Server 2012 Arc-machines. | Windows Server 2012 Arc-computers moeten alle uitgebreide beveiligingsupdates hebben geïnstalleerd die door Microsoft zijn uitgebracht. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Linux-machines moeten voldoen aan de vereisten voor de Azure-beveiligingsbasislijn voor Docker-hosts | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. De machine is niet juist geconfigureerd voor een van de aanbevelingen in de Azure-beveiligingsbasislijn voor Docker-hosts. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Linux-machines moeten voldoen aan de STIG-nalevingsvereiste voor Azure Compute | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in STIG-nalevingsvereisten voor Azure Compute. DISA (Defense Information Systems Agency) biedt technische handleidingen STIG (Security Technical Implementation Guide) voor het beveiligen van het rekenbesturingssystemen zoals vereist door Department of Defense (DoD). Voor meer informatie. https://public.cyber.mil/stigs/ | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Linux-machines waarop OMI is geïnstalleerd, moeten versie 1.6.8-1 of hoger hebben | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Vanwege een beveiligingsoplossing die is opgenomen in versie 1.6.8-1 van het OMI-pakket voor Linux, moeten alle computers worden bijgewerkt naar de nieuwste versie. Upgrade apps/pakketten die GEBRUIKMAKEN van OMI om het probleem op te lossen. Zie https://aka.ms/omiguidance voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: De Log Analytics-extensie moet worden geïnstalleerd op uw Linux Azure Arc-machines | Met dit beleid worden Linux Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1-preview |
| [Preview]: De Log Analytics-extensie moet zijn geïnstalleerd op uw Windows Azure Arc-machines | Met dit beleid worden Windows Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1-preview |
| [Preview]: Nexus Compute Machines moeten voldoen aan de beveiligingsbasislijn | Maakt gebruik van de Azure Policy-gastconfiguratieagent voor controle. Dit beleid zorgt ervoor dat machines voldoen aan de Nexus-beveiligingsbasislijn voor compute, met verschillende aanbevelingen die zijn ontworpen om machines te versterken tegen een reeks beveiligingsproblemen en onveilige configuraties (alleen Linux). | AuditIfNotExists, uitgeschakeld | 1.1.0-preview |
| [Preview]: Systeemupdates moeten worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center) | Op uw machines ontbreken systeem, beveiligings- en essentiële updates. Software-updates bevatten vaak essentiële patches voor beveiligingslekken. Dergelijke lekken worden vaak misbruikt in malware-aanvallen, zodat het essentieel is om uw software bijgewerkt te worden. Als u alle openstaande patches wilt installeren en uw computers wilt beveiligen, volgt u de herstelstappen. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Windows-machines moeten voldoen aan de STIG-nalevingsvereisten voor Azure Compute | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in STIG-nalevingsvereisten voor Azure Compute. DISA (Defense Information Systems Agency) biedt technische handleidingen STIG (Security Technical Implementation Guide) voor het beveiligen van het rekenbesturingssystemen zoals vereist door Department of Defense (DoD). Voor meer informatie. https://public.cyber.mil/stigs/ | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarop de opgegeven toepassingen niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de resource Chef InSpec aangeeft dat een of meer van de pakketten van de parameter niet zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 4.2.0 |
| Linux-machines controleren met accounts zonder wachtwoorden | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoorden | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarop de opgegeven toepassingen zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de resource Chef InSpec aangeeft dat een of meer van de pakketten van de parameter zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 4.2.0 |
| Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbreken | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators niet een of meer leden bevat die worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Netwerkverbinding van Windows-machines controleren | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als een netwerkverbindingstatus met een IP- en TCP-poort niet overeenkomt met de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren waarvoor de DSC-configuratie niet compatibel is | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als de Windows PowerShell-opdracht Get-DSCConfigurationStatus retourneert dat de DSC-configuratie voor de machine niet compatibel is. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren waarop de Log Analytics-agent niet is verbonden zoals verwacht | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de agent niet is geïnstalleerd, of als deze wel is geïnstalleerd, maar door het COM-object AgentConfigManager.MgmtSvcCfg wordt geretourneerd dat deze is geregistreerd bij een andere werkruimte dan de id die is opgegeven in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren waarvoor de opgegeven services niet zijn geïnstalleerd en niet worden uitgevoerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als het resultaat van de Windows PowerShell-opdracht Get-service niet de servicenaam met de overeenkomende status bevat, zoals opgegeven door de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren waarvoor Seriële console van Windows niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als op de machine geen Seriële consolesoftware is geïnstalleerd of als het EMS-poortnummer of de baudrate niet zijn geconfigureerd met dezelfde waarden als de beleidsparameters. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows-machines die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan. De standaardwaarde voor unieke wachtwoorden is 24 | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Windows-machines controleren die niet aan het opgegeven domein worden toegevoegd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de waarde van de domeineigenschap in de WMI-klasse win32_computersystem niet overeenkomt met de waarde in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren die niet zijn ingesteld op de opgegeven tijdzone | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de waarde van het kenmerk StandardName in de WMI-klasse Win32_TimeZone niet overeenkomt met de geselecteerde tijdszone van de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren die certificaten bevatten die binnen het opgegeven aantal dagen verlopen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als certificaten in de opgegeven opslag een verloopdatum hebben die buiten het bereik van het aantal dagen in de parameter vallen. Het beleid biedt ook de optie om alleen te controleren op specifieke certificaten of om specifieke certificaten uit te sluiten, en of er moet worden gerapporteerd over verlopen certificaten. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren die niet de opgegeven certificaten in Vertrouwde Hoofdmap bevatten | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als het certificaatarchief in de Vertrouwde hoofdmap van de machine (CERT:\LocalMachine\Root) niet één of meer certificaten bevat die zijn opgegeven in de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Windows-computers controleren waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de maximale wachtwoordduur is 70 dagen | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Windows-computers controleren waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de minimale wachtwoordduur is 1 dag | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeld | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers controleren die niet het opgegeven Windows PowerShell-uitvoeringsbeleid bevatten | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de Windows PowerShell-opdracht Get-ExecutionPolicy een andere waarde retourneert dan wat is geselecteerd in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers controleren waarop de opgegeven Windows PowerShell-modules niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als er geen module beschikbaar is op een locatie die is opgegeven via de omgevingsvariabele PSModulePath. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers controleren die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens. De standaardwaarde voor de minimale wachtwoordlengte is 14 tekens | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-machines controleren waarop de opgegeven toepassingen niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de naam van de toepassing niet wordt gevonden in een van de volgende registerpaden: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren met extra accounts in de groep Beheerders | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators leden bevat die niet worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren die niet binnen het opgegeven aantal dagen opnieuw zijn opgestart | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als het WMI-kenmerk LastBootUpTime in klasse Win32_Operatingsystem buiten het bereik van de opgegeven dagen in de beleidsparameter valt. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren waarop de opgegeven toepassingen zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de naam van de toepassing wordt gevonden in een van de volgende registerpaden: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren die opgegeven leden van de groep Beheerders bevatten | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators een of meer leden bevat die worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-VM's controleren waarvoor opnieuw opstarten in behandeling is | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine in afwachting is van opnieuw opstarten voor een van de volgende redenen: onderhoud op basis van onderdelen, Windows Update, naamswijziging van bestand in behandeling, naamswijziging van computer in behandeling, configuratiemanager in afwachting van opnieuw opstarten. Elke detectie heeft een uniek registerpad. | auditIfNotExists | 2.0.0 |
| Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist | Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| Azure Arc Private Link-bereiken moeten worden geconfigureerd met een privé-eindpunt | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Arc Private Link-bereiken, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Controle, uitgeschakeld | 1.0.0 |
| Bereiken van Azure Arc Private Link moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat Azure Arc-resources geen verbinding kunnen maken via het openbare internet. Het maken van privé-eindpunten kan de blootstelling van Azure Arc-resources beperken. Zie voor meer informatie: https://aka.ms/arc/privatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Servers met Azure Arc moeten worden geconfigureerd met een Azure Arc Private Link-bereik | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door servers met Azure Arc toe te staan aan een Azure Arc Private Link-bereik dat is geconfigureerd met een privé-eindpunt, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Configureer Servers met Arc-functionaliteit waarop de SQL Server-extensie is geïnstalleerd om de evaluatie van best practices voor SQL in of uit te schakelen. | Schakel de evaluatie van best practices voor SQL-procedures in of uit op de SQL Server-exemplaren op uw servers met Arc om best practices te evalueren. Meer informatie op https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| SQL-servers met Arc configureren om Azure Monitor Agent automatisch te installeren | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw SQL-servers met Windows Arc. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| SQL-servers met Arc configureren om Microsoft Defender voor SQL automatisch te installeren | Configureer SQL-servers met Windows Arc om de Microsoft Defender voor SQL-agent automatisch te installeren. Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| SQL-servers met Arc configureren om Microsoft Defender voor SQL en DCR automatisch te installeren met een Log Analytics-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep, een regel voor gegevensverzameling en Log Analytics-werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.4.0 |
| SQL-servers met Arc configureren om Microsoft Defender voor SQL en DCR automatisch te installeren met een door de gebruiker gedefinieerde LA-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en een regel voor gegevensverzameling in dezelfde regio als de door de gebruiker gedefinieerde Log Analytics-werkruimte. | DeployIfNotExists, uitgeschakeld | 1.5.0 |
| SQL-servers met Arc configureren met gegevensverzamelingsregelkoppeling naar Microsoft Defender voor SQL DCR | Configureer de koppeling tussen SQL-servers met Arc en microsoft Defender voor SQL DCR. Als u deze koppeling verwijdert, wordt de detectie van beveiligingsproblemen voor sql-servers met Arc verbroken. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| SQL-servers met Arc configureren met gegevensverzamelingsregelkoppeling naar Microsoft Defender voor door de gebruiker gedefinieerde DCR van SQL | Configureer de koppeling tussen SQL-servers met Arc-functionaliteit en de door de gebruiker gedefinieerde DCR van Microsoft Defender voor SQL. Als u deze koppeling verwijdert, wordt de detectie van beveiligingsproblemen voor sql-servers met Arc verbroken. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Azure Arc Private Link-bereiken configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Azure Arc Private Link-bereik uit, zodat gekoppelde Azure Arc-resources geen verbinding kunnen maken met Azure Arc-services via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/arc/privatelink. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Arc Private Link-bereiken configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te laten aan Azure Arc Private Link-bereiken, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Servers met Azure Arc configureren voor het gebruik van een Azure Arc Private Link-bereik | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door servers met Azure Arc toe te staan aan een Azure Arc Private Link-bereik dat is geconfigureerd met een privé-eindpunt, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Wijzigen, uitgeschakeld | 1.0.0 |
| Configureren dat Azure Defender voor servers moet worden uitgeschakeld voor alle resources (resourceniveau) | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender for Servers-plan uitgeschakeld voor alle resources (VM's, VMSS's en ARC-machines) in het geselecteerde bereik (abonnement of resourcegroep). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureren dat Azure Defender voor Servers moet worden uitgeschakeld voor resources (resourceniveau) met de geselecteerde tag | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender for Servers-plan uitgeschakeld voor alle resources (VM's, VMSS's en ARC-machines) met de geselecteerde tagnaam en tagwaarde(s). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureren dat Azure Defender voor Servers moet worden ingeschakeld (subplan P1) voor alle resources (resourceniveau) met de geselecteerde tag | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender for Servers-plan (met het subplan P1) ingeschakeld voor alle resources (VM's en ARC-machines) met de geselecteerde tagnaam en tagwaarde(s). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureren dat Azure Defender voor servers moet worden ingeschakeld (met het subplan P1) voor alle resources (resourceniveau) | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender for Servers-plan (met het subplan P1) ingeschakeld voor alle resources (VM's en ARC-machines) in het geselecteerde bereik (abonnement of resourcegroep). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Afhankelijkheidsagent configureren op Linux-servers met Azure Arc | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via servers met Arc door de extensie voor de virtuele machine van de afhankelijkheidsagent te installeren. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gedetecteerde gegevens over processen die worden uitgevoerd op de computer en afhankelijkheden van externe processen. Zie meer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Afhankelijkheidsagent configureren op Linux-servers met Azure Arc met Azure Monitoring Agent-instellingen | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via Arc-servers door de vm-extensie van de afhankelijkheidsagent te installeren met azure Monitoring Agent-instellingen. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gedetecteerde gegevens over processen die worden uitgevoerd op de computer en afhankelijkheden van externe processen. Zie meer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, uitgeschakeld | 1.1.2 |
| Afhankelijkheidsagent configureren op Windows-servers met Azure Arc | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via servers met Arc door de extensie voor de virtuele machine van de afhankelijkheidsagent te installeren. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gedetecteerde gegevens over processen die worden uitgevoerd op de computer en afhankelijkheden van externe processen. Zie meer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Afhankelijkheidsagent configureren op Windows-servers met Azure Arc met Azure Monitoring Agent-instellingen | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via Arc-servers door de vm-extensie van de afhankelijkheidsagent te installeren met azure Monitoring Agent-instellingen. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gedetecteerde gegevens over processen die worden uitgevoerd op de computer en afhankelijkheden van externe processen. Zie meer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, uitgeschakeld | 1.1.2 |
| Linux Arc-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om Linux Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties wordt na verloop van tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 2.2.0 |
| Linux Arc-machines configureren om Azure Monitor Agent uit te voeren | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw Linux Arc-machines voor het verzamelen van telemetriegegevens van het gastbesturingssysteem. Met dit beleid wordt de extensie geïnstalleerd als de regio wordt ondersteund. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 2.4.0 |
| Linux-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om virtuele Linux-machines, virtuele-machineschaalsets en Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 6.3.0 |
| Configureer Linux Server om lokale gebruikers uit te schakelen. | Hiermee maakt u een toewijzing van een gastenconfiguratie om het uitschakelen van lokale gebruikers op Linux Server te configureren. Dit zorgt ervoor dat Linux-servers alleen toegankelijk zijn via een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor de algehele beveiligingspostuur wordt verbeterd. | DeployIfNotExists, uitgeschakeld | 1.3.0-preview |
| Configureer de Log Analytics-extensie op Linux-servers met Azure Arc. Zie de afschaffingsmelding hieronder | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via Arc-servers door de Log Analytics-extensie voor virtuele machines te installeren. VM-inzichten maken gebruik van de Log Analytics-agent om de prestatiegegevens van het gastbesturingssystemen te verzamelen en geeft inzicht in hun prestaties. Zie meer - https://aka.ms/vminsightsdocs. Afschaffingsmelding: De Log Analytics-agent bevindt zich op een afschaffingspad en wordt niet ondersteund na 31 augustus 2024. U moet vóór die datum migreren naar de vervangende Azure Monitor-agent | DeployIfNotExists, uitgeschakeld | 2.1.1 |
| Log Analytics-extensie configureren op Windows-servers met Azure Arc | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via Arc-servers door de Log Analytics-extensie voor virtuele machines te installeren. VM-inzichten maken gebruik van de Log Analytics-agent om de prestatiegegevens van het gastbesturingssystemen te verzamelen en geeft inzicht in hun prestaties. Zie meer - https://aka.ms/vminsightsdocs. Afschaffingsmelding: De Log Analytics-agent bevindt zich op een afschaffingspad en wordt niet ondersteund na 31 augustus 2024. U moet vóór die datum migreren naar de vervangende Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.1.1 |
| Machines configureren voor het ontvangen van een provider voor evaluatie van beveiligingsproblemen | Azure Defender omvat het scannen van beveiligingsproblemen op uw computers zonder extra kosten. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center. Wanneer u dit beleid inschakelt, implementeert Azure Defender automatisch de Qualys-provider voor evaluatie van beveiligingsproblemen op alle ondersteunde computers waarop het beleid nog niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 4.0.0 |
| Periodieke controle configureren voor ontbrekende systeemupdates op servers met Azure Arc | Configureer automatische evaluatie (elke 24 uur) voor updates van het besturingssysteem op servers met Azure Arc. U kunt het toewijzingsbereik beheren op basis van het machineabonnement, de resourcegroep, de locatie of de tag. Meer informatie over dit voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | wijzigen | 2.2.1 |
| Beveiligde communicatieprotocollen (TLS 1.1 of TLS 1.2) configureren op Windows-computers | Hiermee maakt u een toewijzing van een gastenconfiguratie voor het configureren van de opgegeven versie van het beveiligde protocol (TLS 1.1 of TLS 1.2) op een Windows-computer. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| De Microsoft Defender voor SQL Log Analytics-werkruimte configureren | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en Log Analytics-werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| De tijdzone op Windows-computers configureren. | Met dit beleid maakt u een gastconfiguratietoewijzing om een bepaalde tijdzone in te stellen op Windows-VM's. | deployIfNotExists | 2.1.0 |
| Virtuele machines configureren voor onboarding naar Azure Automanage | Azure Automanage registreert, configureert en bewaakt virtuele machines met aanbevolen procedures zoals gedefinieerd in het Microsoft Cloud Adoption Framework voor Azure. Gebruik dit beleid om Automanage op uw geselecteerde bereik toe te passen. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 2.4.0 |
| Virtuele machines configureren voor onboarding naar Azure Automanage met aangepast configuratieprofiel | Azure Automanage registreert, configureert en bewaakt virtuele machines met aanbevolen procedures zoals gedefinieerd in het Microsoft Cloud Adoption Framework voor Azure. Gebruik dit beleid om Automanage toe te passen met uw eigen aangepaste configuratieprofiel op uw geselecteerde bereik. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.4.0 |
| Windows Arc-machines configureren die worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om Windows Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties wordt na verloop van tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 2.2.0 |
| Windows Arc-machines configureren om Azure Monitor Agent uit te voeren | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw Windows Arc-machines voor het verzamelen van telemetriegegevens van het gastbesturingssysteem. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 2.4.0 |
| Windows-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om virtuele Windows-machines, virtuele-machineschaalsets en Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 4.5.0 |
| Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Ondersteunde eindpuntbeveiligingsoplossingen van Azure Security Center worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions De eindpuntbeveiligingsevaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Endpoint Protection moet worden geïnstalleerd op uw computers | Installeer een ondersteunde oplossing voor eindpuntbeveiliging om uw machines tegen bedreigingen en beveiligingsproblemen te beschermen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Op Linux Arc-machines moet Azure Monitor Agent zijn geïnstalleerd | Linux Arc-machines moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor-agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Met dit beleid worden machines met Arc in ondersteunde regio's gecontroleerd. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
| Op Linux-machines moet de Log Analytics-agent zijn geïnstalleerd in Azure Arc | Machines voldoen niet als de Log Analytics-agent niet is geïnstalleerd op de Linux-server met Azure Arc. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.2.0 |
| Linux-machines mogen alleen lokale accounts hebben die zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Het beheren van gebruikersaccounts met behulp van Azure Active Directory is een best practice voor het beheer van identiteiten. Het verminderen van lokale computeraccounts helpt de verspreiding van identiteiten die buiten een centraal systeem worden beheerd, te voorkomen. Machines zijn niet-compatibel als lokale gebruikersaccounts bestaan die zijn ingeschakeld en niet worden vermeld in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 2.2.0 |
| Lokale verificatiemethoden moeten worden uitgeschakeld op Linux-machines | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als linux-servers geen lokale verificatiemethoden hebben uitgeschakeld. Dit is om te controleren of Linux-servers alleen toegankelijk zijn voor een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor de algehele beveiligingsstatus wordt verbeterd. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| Lokale verificatiemethoden moeten worden uitgeschakeld op Windows-servers | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als Windows-servers geen lokale verificatiemethoden hebben uitgeschakeld. Dit is om te controleren of Windows-servers alleen toegankelijk zijn via een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor het algehele beveiligingspostuur wordt verbeterd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| Machines moeten worden geconfigureerd om periodiek te controleren op ontbrekende systeemupdates | Om ervoor te zorgen dat periodieke evaluaties voor ontbrekende systeemupdates elke 24 uur automatisch worden geactiveerd, moet de eigenschap AssessmentMode worden ingesteld op 'AutomaticByPlatform'. Meer informatie over de eigenschap AssessmentMode voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Controleren, Weigeren, Uitgeschakeld | 3.7.0 |
| Terugkerende updates plannen met Azure Update Manager | U kunt Azure Update Manager in Azure gebruiken om terugkerende implementatieschema's op te slaan voor het installeren van besturingssysteemupdates voor uw Windows Server- en Linux-machines in Azure, in on-premises omgevingen en in andere cloudomgevingen die zijn verbonden met azure Arc-servers. Met dit beleid wordt ook de patchmodus voor de virtuele Azure-machine gewijzigd in 'AutomaticByPlatform'. Meer informatie: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, uitgeschakeld | 3.10.0 |
| SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost | Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Abonneer in aanmerking komende SQL Servers-exemplaren met Arc voor uitgebreide beveiligingsupdates. | Abonneer in aanmerking komende SQL Servers-exemplaren met Arc waarvoor het licentietype is ingesteld op Betaald of BETALEND op uitgebreide beveiligingsupdates. Meer informatie over uitgebreide beveiligingsupdates https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op Linux-servers met Azure Arc | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als de laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op Linux-servers met Azure Arc. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op Windows-servers met Azure Arc | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als de laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op Windows-servers met Azure Arc. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| Op Windows Arc-machines moet Azure Monitor Agent zijn geïnstalleerd | Windows Arc-machines moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor-agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Windows Arc-machines in ondersteunde regio's worden bewaakt voor implementatie van Azure Monitor Agent. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 4.1.1 |
| Windows-computers moeten Windows Defender configureren om beveiligingshandtekeningen binnen één dag bij te werken | Windows Defender-beveiligingshandtekeningen moeten regelmatig worden bijgewerkt om rekening te houden met nieuw uitgebrachte malware om voldoende bescherming te bieden tegen nieuw uitgebrachte malware. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows-computers moeten Realtime-beveiliging van Windows Defender inschakelen | Windows-computers moeten de realtime-beveiliging in windows Defender inschakelen om voldoende bescherming te bieden tegen nieuw uitgebrachte malware. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Op Windows-computers moet de Log Analytics-agent zijn geïnstalleerd in Azure Arc | Machines zijn niet compatibel als de Log Analytics-agent niet is geïnstalleerd op Windows Server met Azure Arc. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - Configuratiescherm' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Configuratiescherm voor het personaliseren van invoer en het inschakelen van vergrendelingsschermen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - MSS (verouderd)' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - MSS (verouderd) voor automatische aanmelding, schermbeveiliging, netwerkgedrag, veilige DLL en gebeurtenislogboek. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - Netwerk' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Netwerk voor aanmeldingen van gasten, gelijktijdige verbindingen, netwerkbrug, ICS en multicast-naamomzetting. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beheersjablonen - Systeem' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Systeem voor instellingen waarmee de beheerervaring en hulp op afstand worden beheerd. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Accounts' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Accounts voor het beperken van het gebruik van een leeg wachtwoord en de status van het gastaccount voor lokale accounts. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Beveiligingsopties - Controle' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Controle voor de subcategorie voor het afdwingen van controlebeleid en het afsluiten van de computer als beveiligingslogboekregistratie niet mogelijk is. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Apparaten' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Apparaten voor ontkoppelen zonder aanmelding, het installeren van printerstuurprogramma's en het formatteren/uitwerpen van media. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Interactieve aanmelding' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie 'Beveiligingsopties - Interactieve aanmelding' voor het weergeven van achternaam en het vereisen van Ctrl-alt-del. Dit beleid vereist dat de vereisten voor gastconfiguratie zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Microsoft-netwerkclient' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Microsoft-netwerkclient voor de client/server in het Microsoft-netwerk en SMB v1. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Microsoft-netwerkserver' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Microsoft-netwerkserver voor het uitschakelen van de SMB v1-server. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerktoegang voor onder meer toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Herstelconsole' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Herstelconsole om het kopiëren van bestanden en de toegang tot alle stations en mappen toe te staan. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Afsluiten' | Windows-computers moeten over de opgegeven groepsbeleidinstellingen beschikken in de categorie Beveiligingsopties - Afsluiten om afsluiten zonder aanmelding en het wissen van het wisselbestand voor virtueel geheugen toe te staan. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Systeemobjecten' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Systeemobjecten voor het negeren van hoofd- en kleine letters voor niet-Windows-subsystemen en machtigingen van interne systeemobjecten. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Systeeminstellingen' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Systeeminstellingen voor certificaatregels voor uitvoerbare bestanden voor SRP en optionele subsystemen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Gebruikersaccountbeheer' | Windows-computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Gebruikersaccountbeheer voor de modus voor beheerders, het gedrag van verhoogde bevoegdheden en het virtualiseren van schrijffouten in bestanden en registers. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsinstellingen - Accountbeleid' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsinstellingen - Accountbeleid voor de geschiedenis, leeftijd, lengte, complexiteit en opslag van wachtwoorden met omkeerbare versleuteling. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Aanmelding met account' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Aanmelding met account om validatie van referenties en andere aanmeldingsgebeurtenissen voor accounts te controleren. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Accountbeheer' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Accountbeheer voor het controleren van de toepassing, de beveiliging en het beheer van gebruikersgroepen en andere beheergebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Uitvoerige tracering' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Uitvoerige tracering voor het controleren van DPAPI, het maken/beëindigen van processen, RPC-gebeurtenissen en PNP-activiteit. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Aanmelden/afmelden' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Aanmelden/afmelden voor het controleren van IPSec, netwerkbeleid, claims, accountvergrendeling, groepslidmaatschap en aan- en afmeldingsgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Toegang tot object' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Toegang tot object voor het controleren van een bestand, register, SAM, opslag, filters, kernel en andere systeemtypen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Beleidswijziging' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Beleidswijziging voor het controleren van wijzigingen in systeemcontrolebeleidsregels. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Gebruik van bevoegdheden' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Gebruik van bevoegdheden om het gebruik van niet-gevoelige en andere bevoegdheden te controleren. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Systeem' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Systeem voor het controleren van IPsec-stuurprogramma, systeemintegriteit, systeemuitbreiding, statuswijziging en andere systeemgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Toewijzing van gebruikersrechten' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Toewijzing van gebruikersrechten, waarmee lokaal aanmelden, RDP, toegang vanaf het netwerk en talloze overige gebruikersactiviteiten mogelijk zijn. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Windows-onderdelen' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Windows-onderdelen voor basisverificatie, niet-versleuteld verkeer, Microsoft-accounts, telemetrie, Cortana en ander Windows-gedrag. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Eigenschappen van Windows Firewall' | Windows-computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Eigenschappen van Windows Firewall voor de firewallstatus, de verbindingen, het regelbeheer en meldingen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers mogen alleen lokale accounts hebben die zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Deze definitie wordt niet ondersteund in Windows Server 2012 of 2012 R2. Het beheren van gebruikersaccounts met behulp van Azure Active Directory is een best practice voor het beheer van identiteiten. Het verminderen van lokale computeraccounts helpt de verspreiding van identiteiten die buiten een centraal systeem worden beheerd, te voorkomen. Machines zijn niet-compatibel als lokale gebruikersaccounts bestaan die zijn ingeschakeld en niet worden vermeld in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten Windows Defender plannen om elke dag een geplande scan uit te voeren | Om te zorgen voor promptdetectie van malware en het minimaliseren van de impact op uw systeem, wordt aanbevolen dat Windows-computers met Windows Defender een dagelijkse scan plannen. Zorg ervoor dat Windows Defender wordt ondersteund, vooraf is geïnstalleerd op het apparaat en dat de vereisten voor gastconfiguratie zijn geïmplementeerd. Als u niet aan deze vereisten voldoet, kan dit leiden tot onjuiste evaluatieresultaten. Meer informatie over gastconfiguratie vindt u op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
| Windows-computers moeten de standaard-NTP-server gebruiken | Stel de 'time.windows.com' in als de standaard NTP-server voor alle Windows-computers om ervoor te zorgen dat logboeken op alle systemen systeemklokken hebben die allemaal gesynchroniseerd zijn. Dit beleid vereist dat de vereisten voor gastconfiguratie zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.