Azure Policy ingebouwde definities voor Azure Arc-servers
Deze pagina is een index van Azure Policy ingebouwde beleidsdefinities voor Azure Arc-servers. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken in de Azure Policy GitHub-opslagplaats.
Azure Arc-servers
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Linux-machines controleren waarop de opgegeven toepassingen niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de resource Chef InSpec aangeeft dat een of meer van de pakketten van de parameter niet zijn geïnstalleerd. | auditIfNotExists | 3.0.0 |
| Linux-machines controleren met accounts zonder wachtwoorden | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoorden | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Linux-machines controleren waarop de opgegeven toepassingen zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de resource Chef InSpec aangeeft dat een of meer van de pakketten van de parameter zijn geïnstalleerd. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbreken | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de lokale groep Beheerders niet één of meer leden bevat die worden vermeld in de beleidsparameter. | auditIfNotExists | 1.0.0 |
| Netwerkverbinding van Windows-machines controleren | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als een netwerkverbindingstatus met een IP- en TCP-poort niet overeenkomt met de beleidsparameter. | auditIfNotExists | 1.0.0 |
| Windows-machines controleren waarvoor de DSC-configuratie niet compatibel is | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als de Windows PowerShell-opdracht Get-DSCConfigurationStatus retourneert dat de DSC-configuratie voor de machine niet compatibel is. | auditIfNotExists | 1.0.0 |
| Windows-machines controleren waarop de Log Analytics-agent niet is verbonden zoals verwacht | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de agent niet is geïnstalleerd, of als deze wel is geïnstalleerd, maar door het COM-object AgentConfigManager.MgmtSvcCfg wordt geretourneerd dat de agent is geregistreerd bij een andere werkruimte dan de ID die is opgegeven in de beleidsparameter. | auditIfNotExists | 1.0.0 |
| Windows-machines controleren waarvoor de opgegeven services niet zijn geïnstalleerd en niet worden uitgevoerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als het resultaat van de Windows PowerShell-opdracht Get-service niet de servicenaam met de overeenkomende status bevat, zoals opgegeven door de beleidsparameter. | auditIfNotExists | 1.0.0 |
| Windows-machines controleren waarvoor Seriële console van Windows niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als op de machine geen Seriële consolesoftware is geïnstalleerd of als het EMS-poortnummer of de baudrate niet zijn geconfigureerd met dezelfde waarden als de beleidsparameters. | auditIfNotExists | 1.0.0 |
| Windows-machines controleren waarvoor de voorgaande 24 wachtwoorden opnieuw kunnen worden gebruikt | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines de voorgaande 24 wachtwoorden opnieuw kunnen gebruiken | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows-machines controleren die niet aan het opgegeven domein worden toegevoegd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de waarde van de domeineigenschap in de WMI-klasse win32_computersystem niet overeenkomt met de waarde in de beleidsparameter. | auditIfNotExists | 1.0.0 |
| Windows-machines controleren die niet zijn ingesteld op de opgegeven tijdzone | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de waarde van het kenmerk StandardName in de WMI-klasse Win32_TimeZone niet overeenkomt met de geselecteerde tijdszone van de beleidsparameter. | auditIfNotExists | 1.0.0 |
| Windows-machines controleren die certificaten bevatten die binnen het opgegeven aantal dagen verlopen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als certificaten in de opgegeven opslag een verloopdatum hebben die buiten het bereik van het aantal dagen in de parameter vallen. Het beleid biedt ook de optie om alleen te controleren op specifieke certificaten of om specifieke certificaten uit te sluiten, en of er moet worden gerapporteerd over verlopen certificaten. | auditIfNotExists | 1.0.0 |
| Windows-machines controleren die niet de opgegeven certificaten in Vertrouwde Hoofdmap bevatten | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als het certificaatarchief in de Vertrouwde hoofdmap van de machine (CERT:\LocalMachine\Root) niet één of meer certificaten bevat die zijn opgegeven in de beleidsparameter. | auditIfNotExists | 1.0.1 |
| Windows-machines controleren waarvoor geen maximale wachtwoordduur van 70 dagen is ingesteld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines geen maximale wachtwoordduur van 70 dagen hebben | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows-machines controleren waarvoor geen minimale wachtwoordduur van 1 dag is ingesteld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines geen minimale wachtwoordduur van 1 dag hebben | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeld | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows-computers controleren die niet het opgegeven Windows PowerShell-uitvoeringsbeleid bevatten | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de Windows PowerShell-opdracht Get-ExecutionPolicy een andere waarde retourneert dan wat is geselecteerd in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows-computers controleren waarop de opgegeven Windows PowerShell-modules niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als er geen module beschikbaar is op een locatie die is opgegeven via de omgevingsvariabele PSModulePath. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-machines controleren waarvoor de minimale wachtwoordlengte niet wordt beperkt tot 14 tekens | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines de minimale wachtwoordlengte niet beperken tot 14 tekens | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows-machines controleren waarop de opgegeven toepassingen niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de toepassingsnaam niet is gevonden in een van de volgende registerpaden: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 1.0.0 |
| Windows-machines controleren met extra accounts in de groep Administrators | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de lokale groep Beheerders leden bevat die niet worden vermeld in de beleidsparameter. | auditIfNotExists | 1.0.0 |
| Windows-machines controleren die niet binnen het opgegeven aantal dagen opnieuw zijn opgestart | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als het WMI-kenmerk LastBootUpTime in klasse Win32_Operatingsystem buiten het bereik van de opgegeven dagen in de beleidsparameter valt. | auditIfNotExists | 1.0.0 |
| Windows-machines controleren waarop de opgegeven toepassingen zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de toepassingsnaam is gevonden in een van de volgende registerpaden: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 1.0.0 |
| Windows-machines controleren die opgegeven leden van de groep Beheerders bevatten | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de lokale groep Beheerders één of meer leden bevat die worden vermeld in de beleidsparameter. | auditIfNotExists | 1.0.0 |
| Windows-VM's controleren waarvoor opnieuw opstarten in behandeling is | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine in afwachting is van opnieuw opstarten voor een van de volgende redenen: onderhoud op basis van onderdelen, Windows Update, naamswijziging van bestand in behandeling, naamswijziging van computer in behandeling, configuratiemanager in afwachting van opnieuw opstarten. Elke detectie heeft een uniek registerpad. | auditIfNotExists | 1.0.0 |
| Voor verificatie met Linux-machines moeten SSH-sleutels zijn vereist | Hoewel SSH zelf een versleutelde verbinding biedt, maakt het gebruik van wachtwoorden met SSH de VM nog steeds kwetsbaar voor brute-force-aanvallen. De veiligste optie voor het authenticeren bij een virtuele Linux-machine in Azure via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel bekend als SSH-sleutels. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed . | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| [Preview: ] Azure Security Agent moet worden geïnstalleerd op uw Linux Arc-machines | Installeer de Azure-beveiligingsagent op uw Linux Arc-machines om uw computers te controleren op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden gezien en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview: ] Azure Security Agent moet worden geïnstalleerd op uw Windows Arc-machines | Installeer de Azure-beveiligingsagent op uw Windows Arc-machines om uw computers te controleren op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden gezien en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| Configureer machines met Arc met SQL Server om de extensie SQL Server installeren. | Om ervoor te zorgen dat SQL Server - Azure Arc-resources standaard worden gemaakt wanneer SQL Server-exemplaar wordt gevonden op windows-server met Azure Arc-functie, moet voor de SQL Server-extensie een SQL Server-extensie zijn geïnstalleerd en moet de beheerde identiteit van de server worden geconfigureerd met de onboarding-rol van Azure Connected SQL Server | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Afhankelijkheidsagent configureren op Azure Arc Linux-servers | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via Servers met Arc door de extensie voor virtuele machines van de afhankelijkheidsagent te installeren. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gegevens over processen die worden uitgevoerd op de computer en externe procesafhankelijkheden. Zie meer - https://aka.ms/vminsightsdocs . | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Afhankelijkheidsagent configureren op Azure Arc ingeschakelde Windows servers | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via Servers met Arc door de extensie voor virtuele machines van de afhankelijkheidsagent te installeren. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gegevens over processen die worden uitgevoerd op de computer en externe procesafhankelijkheden. Zie meer - https://aka.ms/vminsightsdocs . | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Log Analytics-agent configureren op Azure Arc Linux-servers | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via Servers met Arc door de extensie voor virtuele machines van de Log Analytics-agent te installeren. VM-inzichten maken gebruik van de Log Analytics-agent voor het verzamelen van de prestatiegegevens van het gastbesturingssysteem en bieden inzicht in de prestaties. Zie meer - https://aka.ms/vminsightsdocs . | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Log Analytics-agent configureren op Azure Arc ingeschakelde Windows servers | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via Servers met Arc door de extensie voor virtuele machines van de Log Analytics-agent te installeren. VM-inzichten maken gebruik van de Log Analytics-agent voor het verzamelen van de prestatiegegevens van het gastbesturingssysteem en bieden inzicht in de prestaties. Zie meer - https://aka.ms/vminsightsdocs . | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| [Preview: ] Computers configureren voor het ontvangen van een provider voor evaluatie van beveiligingsleed | Azure Defender omvat het scannen van beveiligingsleed voor uw machines, zonder extra kosten. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center. Wanneer u dit beleid inschakelen, Azure Defender implementeert de Qualys-provider voor evaluatie van beveiligingslely's automatisch op alle ondersteunde computers waarop het nog niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 2.2.0-preview |
| [Preview: ] Ondersteunde Linux Arc-machines configureren om de Azure-beveiligingsagent automatisch te installeren | Configureer ondersteunde Linux Arc-machines om de Azure-beveiligingsagent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Linux Arc-doelmachines moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview: ] Ondersteunde Arc Windows machines configureren om de Azure-beveiligingsagent automatisch te installeren | Configureer ondersteunde Windows Arc-machines om de Azure-beveiligingsagent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. De Windows Arc-machines moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| De tijdzone op Windows-computers configureren. | Met dit beleid maakt u een gastconfiguratietoewijzing om een bepaalde tijdzone in te stellen op Windows-VM's. | deployIfNotExists | 1.1.0 |
| Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Azure Security Center ondersteunde oplossingen voor eindpuntbeveiliging worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows . Endpoint Protection-evaluatie wordt hier beschreven - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Eindpuntbeveiliging moet op uw machines worden geïnstalleerd | Installeer een ondersteunde oplossing voor eindpuntbeveiliging om uw machines tegen bedreigingen en beveiligingsproblemen te beschermen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| [Preview: ] Linux-machines moeten voldoen aan de vereisten voor de Azure-basislijn voor rekenbeveiliging | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure-basislijn voor rekenbeveiliging. | AuditIfNotExists, uitgeschakeld | 1.1.1-preview |
| Linux-machines mogen alleen lokale accounts hebben die zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Het beheren van gebruikersaccounts Azure Active Directory is een best practice voor het beheer van identiteiten. Het verminderen van lokale computeraccounts helpt voorkomen dat er steeds meer identiteiten worden beheerd buiten een centraal systeem. Machines voldoen niet als er lokale gebruikersaccounts bestaan die zijn ingeschakeld en niet worden vermeld in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| [Preview: ] Log Analytics-agent moet worden geïnstalleerd op uw Linux-Azure Arc machines | Met dit beleid worden Linux Azure Arc-machines gecontroleerd als de Log Analytics-agent niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview: ] Log Analytics-agent moet worden geïnstalleerd op uw Windows Azure Arc machines | Met dit beleid worden Windows Azure Arc-machines gecontroleerd als de Log Analytics-agent niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| SQL servers op computers moeten de bevindingen van beveiligingsleed hebben opgelost | SQL evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 1.1.1 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - Configuratiescherm' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Configuratiescherm voor het personaliseren van invoer en het inschakelen van vergrendelingsschermen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - MSS (verouderd)' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - MSS (verouderd) voor automatische aanmelding, schermbeveiliging, netwerkgedrag, veilige DLL en gebeurtenislogboek. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - Netwerk' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Netwerk voor aanmeldingen van gasten, gelijktijdige verbindingen, netwerkbrug, ICS en multicast-naamomzetting. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beheersjablonen - Systeem' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Systeem voor instellingen waarmee de beheerervaring en hulp op afstand worden beheerd. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Accounts' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Accounts voor het beperken van het gebruik van een leeg wachtwoord en de status van het gastaccount voor lokale accounts. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Beveiligingsopties - Controle' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Controle voor de subcategorie voor het afdwingen van controlebeleid en het afsluiten van de computer als beveiligingslogboekregistratie niet mogelijk is. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Apparaten' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Apparaten voor ontkoppelen zonder aanmelding, het installeren van printerstuurprogramma's en het formatteren/uitwerpen van media. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Interactieve aanmelding' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Interactieve aanmelding voor het weergeven van de laatste gebruikersnaam en het vereisen van Ctrl+Alt+Delete. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Microsoft-netwerkclient' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Microsoft-netwerkclient voor de client/server in het Microsoft-netwerk en SMB v1. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Microsoft-netwerkserver' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Microsoft-netwerkserver voor het uitschakelen van de SMB v1-server. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerktoegang voor onder meer toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Herstelconsole' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Herstelconsole om het kopiëren van bestanden en de toegang tot alle stations en mappen toe te staan. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Afsluiten' | Windows-computers moeten over de opgegeven groepsbeleidinstellingen beschikken in de categorie Beveiligingsopties - Afsluiten om afsluiten zonder aanmelding en het wissen van het wisselbestand voor virtueel geheugen toe te staan. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Systeemobjecten' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Systeemobjecten voor het negeren van hoofd- en kleine letters voor niet-Windows-subsystemen en machtigingen van interne systeemobjecten. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Systeeminstellingen' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Systeeminstellingen voor certificaatregels voor uitvoerbare bestanden voor SRP en optionele subsystemen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Gebruikersaccountbeheer' | Windows-computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Gebruikersaccountbeheer voor de modus voor beheerders, het gedrag van verhoogde bevoegdheden en het virtualiseren van schrijffouten in bestanden en registers. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsinstellingen - Accountbeleid' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsinstellingen - Accountbeleid voor de geschiedenis, leeftijd, lengte, complexiteit en opslag van wachtwoorden met omkeerbare versleuteling. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Aanmelding met account' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Aanmelding met account om validatie van referenties en andere aanmeldingsgebeurtenissen voor accounts te controleren. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Accountbeheer' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Accountbeheer voor het controleren van de toepassing, de beveiliging en het beheer van gebruikersgroepen en andere beheergebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Uitvoerige tracering' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Uitvoerige tracering voor het controleren van DPAPI, het maken/beëindigen van processen, RPC-gebeurtenissen en PNP-activiteit. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Aanmelden/afmelden' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Aanmelden/afmelden voor het controleren van IPSec, netwerkbeleid, claims, accountvergrendeling, groepslidmaatschap en aan- en afmeldingsgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Toegang tot object' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Toegang tot object voor het controleren van een bestand, register, SAM, opslag, filters, kernel en andere systeemtypen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Beleidswijziging' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Beleidswijziging voor het controleren van wijzigingen in systeemcontrolebeleidsregels. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Gebruik van bevoegdheden' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Gebruik van bevoegdheden om het gebruik van niet-gevoelige en andere bevoegdheden te controleren. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Systeem' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Systeem voor het controleren van IPsec-stuurprogramma, systeemintegriteit, systeemuitbreiding, statuswijziging en andere systeemgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Toewijzing van gebruikersrechten' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Toewijzing van gebruikersrechten, waarmee lokaal aanmelden, RDP, toegang vanaf het netwerk en talloze overige gebruikersactiviteiten mogelijk zijn. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Windows-onderdelen' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Windows-onderdelen voor basisverificatie, niet-versleuteld verkeer, Microsoft-accounts, telemetrie, Cortana en ander Windows-gedrag. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Eigenschappen van Windows Firewall' | Windows-computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Eigenschappen van Windows Firewall voor de firewallstatus, de verbindingen, het regelbeheer en meldingen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| [Preview: ] Windows machines moeten voldoen aan de vereisten van de Azure-basislijn voor rekenbeveiliging | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure-basislijn voor rekenbeveiliging. | AuditIfNotExists, uitgeschakeld | 1.0.1-preview |
| Windows mogen alleen lokale accounts hebben die zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Deze definitie wordt niet ondersteund op Windows Server 2012 of 2012 R2. Het beheren van gebruikersaccounts Azure Active Directory is een best practice voor het beheer van identiteiten. Het verminderen van lokale computeraccounts voorkomt de verspreiding van identiteiten die buiten een centraal systeem worden beheerd. Machines voldoen niet als er lokale gebruikersaccounts bestaan die zijn ingeschakeld en niet worden vermeld in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows webservers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers gebruikmaken van de nieuwste versie van het cryptografische protocol volgens de industriestandaard, Transport Layer Security (TLS). TLS beveiligt communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen computers te versleutelen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.