Ingebouwde Azure Policy-definities voor Azure Virtual Machines
Van toepassing op: ✔️ Virtuele Linux-machines voor Windows-VM's ✔️ ✔️ Flexibele schaalsets Uniform-schaalsets ✔️
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Virtual Machines. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Microsoft.Compute
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Er moet een beheerde identiteit zijn ingeschakeld op uw computers | Resources die worden beheerd door Automanage moeten een beheerde identiteit hebben. | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: Door de gebruiker toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguratie in te schakelen op virtuele machines | Met dit beleid wordt een door de gebruiker toegewezen beheerde identiteit toegevoegd aan virtuele machines die worden gehost in Azure die worden ondersteund door gastconfiguratie. Een door de gebruiker toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties en moet worden toegevoegd aan computers voordat u beleidsdefinities voor gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 2.1.0-preview |
| [Preview]: Ingebouwde door de gebruiker toegewezen beheerde identiteit toewijzen aan virtuele-machineschaalsets | Maak en wijs een ingebouwde door de gebruiker toegewezen beheerde identiteit toe of wijs een vooraf gemaakte door de gebruiker toegewezen beheerde identiteit op schaal toe aan virtuele-machineschaalsets. Ga naar aka.ms/managedidentitypolicy voor meer gedetailleerde documentatie. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.6-preview |
| [Preview]: Ingebouwde door de gebruiker toegewezen beheerde identiteit toewijzen aan virtuele machines | Maak en wijs een ingebouwde door de gebruiker toegewezen beheerde identiteit toe of wijs een vooraf gemaakte door de gebruiker toegewezen beheerde identiteit op schaal toe aan virtuele machines. Ga naar aka.ms/managedidentitypolicy voor meer gedetailleerde documentatie. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.6-preview |
| [Preview]: Toewijzing van automatisch beheerprofiel moet conform zijn | Resources die worden beheerd door Automanage moeten de status Conformant of ConformantCorrected hebben. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Backup moet zijn ingeschakeld voor beheerde schijven | Zorg voor beveiliging van uw beheerde schijven door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Security Agent moet worden geïnstalleerd op uw virtuele Linux-machineschaalsets | Installeer de Azure-beveiligingsagent op uw virtuele-machineschaalsets van Linux om uw machines te bewaken op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden weergegeven en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: De Azure-beveiligingsagent moet zijn geïnstalleerd op uw virtuele Linux-machines | Installeer de Azure-beveiligingsagent op uw virtuele Linux-machines om uw machines te bewaken op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden weergegeven en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: De Azure-beveiligingsagent moet worden geïnstalleerd op uw virtuele-machineschaalsets van Windows | Installeer de Azure-beveiligingsagent op uw virtuele-machineschaalsets van Windows om uw machines te bewaken op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden weergegeven en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 2.1.0-preview |
| [Preview]: De Azure-beveiligingsagent moet zijn geïnstalleerd op uw virtuele Windows-machines | Installeer de Azure-beveiligingsagent op uw virtuele Windows-machines om uw machines te bewaken op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden weergegeven en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 2.1.0-preview |
| [Preview]: Diagnostische gegevens over opstarten moeten zijn ingeschakeld op virtuele machines | Virtuele Azure-machines moeten opstartdiagniostiek hebben ingeschakeld. | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw virtuele Linux-machine | Installeer de ChangeTracking-extensie op virtuele Linux-machines om Bewaking van bestandsintegriteit (FIM) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: De ChangeTracking-extensie moet worden geïnstalleerd op uw virtuele Linux-machineschaalsets | Installeer de ChangeTracking-extensie op virtuele-machineschaalsets van Linux om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw virtuele Windows-machine | Installeer de ChangeTracking-extensie op virtuele Windows-machines om Bewaking van bestandsintegriteit (FIM) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: ChangeTracking-extensie moet worden geïnstalleerd op uw virtuele-machineschaalsets van Windows | Installeer de ChangeTracking-extensie op virtuele-machineschaalsets van Windows om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: Azure Defender voor SQL-agent configureren op virtuele machine | Configureer Windows-machines om de Azure Defender voor SQL-agent automatisch te installeren waarop de Azure Monitor Agent is geïnstalleerd. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Hiermee maakt u een resourcegroep en Log Analytics-werkruimte in dezelfde regio als de computer. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: ChangeTracking-extensie configureren voor virtuele Linux-machineschaalsets | Configureer virtuele-machineschaalsets voor Linux om de ChangeTracking-extensie automatisch te installeren om Bewaking van bestandsintegriteit (FIM) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door de Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: ChangeTracking-extensie configureren voor virtuele Linux-machines | Configureer virtuele Linux-machines om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door de Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: ChangeTracking-extensie configureren voor virtuele-machineschaalsets van Windows | Configureer virtuele-machineschaalsets van Windows om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door de Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: ChangeTracking-extensie configureren voor virtuele Windows-machines | Configureer virtuele Windows-machines om de ChangeTracking-extensie automatisch te installeren om Bewaking van bestandsintegriteit (FIM) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door de Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: Virtuele Linux-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om virtuele Linux-machines te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Virtuele Linux-machines configureren om AMA te installeren voor ChangeTracking en Inventory met door de gebruiker toegewezen beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Linux-machines voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.4.0-preview |
| [Preview]: Linux VMSS configureren om te worden gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om virtuele-machineschaalsets van Linux te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Linux VMSS configureren om AMA te installeren voor ChangeTracking en Inventory met door de gebruiker toegewezen beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Linux-machineschaalsets voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.3.0-preview |
| [Preview]: Ondersteunde virtuele-machineschaalsets voor Linux configureren om de Azure-beveiligingsagent automatisch te installeren | Configureer ondersteunde virtuele-machineschaalsets voor Linux om de Azure-beveiligingsagent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: Ondersteunde virtuele-machineschaalsets voor Linux configureren om automatisch de extensie gastverklaring te installeren | Configureer ondersteunde virtuele Linux-machinesschaalsets om de gastverklaringextensie automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 6.1.0-preview |
| [Preview]: Ondersteunde virtuele Linux-machines configureren om Beveiligd opstarten automatisch in te schakelen | Configureer ondersteunde virtuele Linux-machines om Beveiligd opstarten automatisch in te schakelen om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. | DeployIfNotExists, uitgeschakeld | 5.0.0-preview |
| [Preview]: Ondersteunde virtuele Linux-machines configureren om de Azure-beveiligingsagent automatisch te installeren | Configureer ondersteunde virtuele Linux-machines om de Azure Security-agent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 7.0.0-preview |
| [Preview]: Ondersteunde virtuele Linux-machines configureren om de gastattestextensie automatisch te installeren | Configureer ondersteunde virtuele Linux-machines om de gastverklaringextensie automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 7.1.0-preview |
| [Preview]: Ondersteunde virtuele machines configureren om vTPM automatisch in te schakelen | Configureer ondersteunde virtuele machines om vTPM automatisch in te schakelen voor het vergemakkelijken van gemeten opstarten en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: Ondersteunde Windows-machines configureren om de Azure-beveiligingsagent automatisch te installeren | Configureer ondersteunde Windows-machines om de Azure Security-agent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 5.1.0-preview |
| [Preview]: Ondersteunde virtuele-machineschaalsets van Windows configureren om de Azure Security-agent automatisch te installeren | Configureer ondersteunde virtuele-machineschaalsets van Windows om de Azure-beveiligingsagent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. De doelschaalsets voor virtuele Windows-machines moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 2.1.0-preview |
| [Preview]: Ondersteunde virtuele-machineschaalsets van Windows configureren om de extensie Gastverklaring automatisch te installeren | Configureer ondersteunde virtuele Windows-machinesschaalsets om automatisch de Gast attestation-extensie te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 4.1.0-preview |
| [Preview]: Ondersteunde virtuele Windows-machines configureren om beveiligd opstarten automatisch in te schakelen | Configureer ondersteunde virtuele Windows-machines om Beveiligd opstarten automatisch in te schakelen om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. | DeployIfNotExists, uitgeschakeld | 3.0.0-preview |
| [Preview]: Ondersteunde virtuele Windows-machines configureren om de extensie Gastat attestation automatisch te installeren | Configureer ondersteunde virtuele Windows-machines om de gastverklaringextensie automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 5.1.0-preview |
| [Preview]: Door het systeem toegewezen beheerde identiteit configureren om Azure Monitor-toewijzingen in te schakelen op VM's | Configureer door het systeem toegewezen beheerde identiteit voor virtuele machines die worden gehost in Azure die worden ondersteund door Azure Monitor en die geen door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle Azure Monitor-toewijzingen en moet worden toegevoegd aan machines voordat u een Azure Monitor-extensie gebruikt. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | Wijzigen, uitgeschakeld | 6.0.0-preview |
| [Preview]: VM's configureren die zijn gemaakt met installatiekopieën van de Shared Image Gallery om de extensie Guest Attestation te installeren | Configureer virtuele machines die zijn gemaakt met installatiekopieën van de Shared Image Gallery om automatisch de gastverklaringextensie te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: VMSS configureren die zijn gemaakt met installatiekopieën van de Shared Image Gallery om de extensie Guest Attestation te installeren | Configureer VMSS die zijn gemaakt met installatiekopieën van de Shared Image Gallery om de extensie Gastverklaring automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 2.1.0-preview |
| [Preview]: Configureer Windows Server om lokale gebruikers uit te schakelen. | Hiermee maakt u een toewijzing van een gastenconfiguratie om het uitschakelen van lokale gebruikers op Windows Server te configureren. Dit zorgt ervoor dat Windows-servers alleen kunnen worden geopend door een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor het algehele beveiligingspostuur wordt verbeterd. | DeployIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Virtuele Windows-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om virtuele Windows-machines te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Windows-VM's configureren om AMA te installeren voor ChangeTracking en Inventory met door de gebruiker toegewezen beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Windows-machines voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Windows VMSS configureren om te worden gekoppeld aan een gegevensverzamelingsregel voor ChangeTracking en Inventory | Implementeer koppeling om virtuele-machineschaalsets van Windows te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Windows VMSS configureren om AMA te installeren voor ChangeTracking en Inventory met door de gebruiker toegewezen beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele-machineschaalsets van Windows voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Microsoft Defender voor Eindpunt-agent implementeren op virtuele Linux-machines | Implementeert Microsoft Defender voor Eindpunt agent op toepasselijke Linux-VM-installatiekopieën. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 3.0.0-preview |
| [Preview]: Microsoft Defender voor Eindpunt-agent implementeren op virtuele Windows-machines | Implementeert Microsoft Defender voor Eindpunt op toepasselijke Windows-VM-installatiekopieën. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.1-preview |
| [Preview]: Door het systeem toegewezen identiteit inschakelen voor SQL-VM | Schakel door het systeem toegewezen identiteit op schaal in voor virtuele SQL-machines. U moet dit beleid toewijzen op abonnementsniveau. Toewijzen op resourcegroepsniveau werkt niet zoals verwacht. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines | Installeer de gastattestextensie op ondersteunde virtuele Linux-machines om Azure Security Center in staat te stellen proactief de opstartintegriteit te bevestigen en te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele Machines met vertrouwde start en vertrouwelijke Linux-machines. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
| [Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines-schaalsets | Installeer de gastattestextensie op ondersteunde virtuele Linux-machinesschaalsets om Azure Security Center proactief te laten attesteren en de opstartintegriteit te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele-machineschaalsets vertrouwde start en vertrouwelijke Linux-machines. | AuditIfNotExists, uitgeschakeld | 5.1.0-preview |
| [Preview]: De extensie gastverklaring moet worden geïnstalleerd op ondersteunde virtuele Windows-machines | Installeer de extensie Guest Attestation op ondersteunde virtuele machines zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele machines met vertrouwde start en vertrouwelijke Windows-machines. | AuditIfNotExists, uitgeschakeld | 4.0.0-preview |
| [Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Windows-machines-schaalsets | Installeer de Gast attestation-extensie op ondersteunde virtuele-machineschaalsets om Azure Security Center in staat te stellen proactief de opstartintegriteit te bevestigen en te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele-machineschaalsets met vertrouwde start en vertrouwelijke Windows-machines. | AuditIfNotExists, uitgeschakeld | 3.1.0-preview |
| [Preview]: Linux-machines moeten voldoen aan de vereisten voor de Azure-beveiligingsbasislijn voor Docker-hosts | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. De machine is niet juist geconfigureerd voor een van de aanbevelingen in de Azure-beveiligingsbasislijn voor Docker-hosts. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Linux-machines moeten voldoen aan de STIG-nalevingsvereiste voor Azure Compute | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in STIG-nalevingsvereisten voor Azure Compute. DISA (Defense Information Systems Agency) biedt technische handleidingen STIG (Security Technical Implementation Guide) voor het beveiligen van het rekenbesturingssystemen zoals vereist door Department of Defense (DoD). Voor meer informatie. https://public.cyber.mil/stigs/ | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Linux-machines waarop OMI is geïnstalleerd, moeten versie 1.6.8-1 of hoger hebben | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Vanwege een beveiligingsoplossing die is opgenomen in versie 1.6.8-1 van het OMI-pakket voor Linux, moeten alle computers worden bijgewerkt naar de nieuwste versie. Upgrade apps/pakketten die GEBRUIKMAKEN van OMI om het probleem op te lossen. Zie https://aka.ms/omiguidance voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: virtuele Linux-machines mogen alleen ondertekende en vertrouwde opstartonderdelen gebruiken | Alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) moeten worden ondertekend door vertrouwde uitgevers. Defender voor Cloud heeft niet-vertrouwde opstartonderdelen van het besturingssysteem geïdentificeerd op een of meer van uw Linux-machines. Als u uw computers wilt beschermen tegen mogelijk schadelijke onderdelen, voegt u deze toe aan uw acceptatielijst of verwijdert u de geïdentificeerde onderdelen. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: virtuele Linux-machines moeten Beveiligd opstarten gebruiken | Als u wilt beschermen tegen de installatie van rootkits en opstartkits op basis van malware, schakelt u Secure Boot in op ondersteunde virtuele Linux-machines. Beveiligd opstarten zorgt ervoor dat alleen ondertekende besturingssystemen en stuurprogramma's mogen worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor-agent is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Log Analytics-extensie moet zijn ingeschakeld voor vermelde installatiekopieën van virtuele machines | Rapporteert virtuele machines als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 2.0.1-preview |
| [Preview]: Machines moeten poorten hebben gesloten die aanvalsvectoren mogelijk blootstellen | De gebruiksvoorwaarden van Azure verbieden het gebruik van Azure-services op manieren die microsoft-servers of het netwerk kunnen beschadigen, uitschakelen, overbelasten of belemmeren. De weergegeven poorten die door deze aanbeveling worden geïdentificeerd, moeten worden gesloten voor uw continue beveiliging. Voor elke geïdentificeerde poort biedt de aanbeveling ook een uitleg van de mogelijke bedreiging. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Managed Disks moet Zone Resilient zijn | Beheerde schijven kunnen worden geconfigureerd als zone uitgelijnd, zone-redundant of geen van beide. Beheerde schijven met precies één zonetoewijzing zijn uitgelijnd op zone. Beheerde schijven met een sKU-naam die eindigt op ZRS, zijn zone-redundant. Dit beleid helpt bij het identificeren en afdwingen van deze tolerantieconfiguraties voor Beheerde schijven. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [Preview]: Beveiligd opstarten moet zijn ingeschakeld op ondersteunde virtuele Windows-machines | Schakel Beveiligd opstarten in op ondersteunde virtuele Windows-machines om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. Deze evaluatie is van toepassing op virtuele machines met vertrouwde start en vertrouwelijke Windows-machines. | Controle, uitgeschakeld | 4.0.0-preview |
| [Preview]: Systeemupdates moeten worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center) | Op uw machines ontbreken systeem, beveiligings- en essentiële updates. Software-updates bevatten vaak essentiële patches voor beveiligingslekken. Dergelijke lekken worden vaak misbruikt in malware-aanvallen, zodat het essentieel is om uw software bijgewerkt te worden. Als u alle openstaande patches wilt installeren en uw computers wilt beveiligen, volgt u de herstelstappen. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Virtuele-machineschaalsets moeten zone tolerant zijn | Virtuele-machineschaalsets kunnen worden geconfigureerd als zone uitgelijnd, zone-redundant of geen van beide. Virtuele-machineschaalsets met precies één vermelding in hun zonesmatrix worden beschouwd als zone uitgelijnd. Virtuele-machineschaalsets met daarentegen 3 of meer vermeldingen in hun zonesmatrix en een capaciteit van ten minste 3 worden herkend als zone-redundant. Dit beleid helpt bij het identificeren en afdwingen van deze tolerantieconfiguraties. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Status van gastattest voor virtuele machines moet in orde zijn | Gastverklaring wordt uitgevoerd door een vertrouwd logboek (TCGLog) naar een attestation-server te verzenden. De server gebruikt deze logboeken om te bepalen of opstartonderdelen betrouwbaar zijn. Deze evaluatie is bedoeld om inbreuk te detecteren van de opstartketen die het gevolg kan zijn van een bootkit- of rootkit-infectie. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden waarop de extensie Guest Attestation is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Virtuele machines moeten zijn uitgelijnd op zone | Virtuele machines kunnen worden geconfigureerd als zone uitgelijnd of niet. Ze worden beschouwd als zone uitgelijnd als ze slechts één vermelding hebben in hun zonesmatrix. Dit beleid zorgt ervoor dat ze zijn geconfigureerd voor gebruik binnen één beschikbaarheidszone. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: vTPM moet zijn ingeschakeld op ondersteunde virtuele machines | Schakel het virtuele TPM-apparaat in op ondersteunde virtuele machines om gemeten opstart en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist, mogelijk te maken. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden. | Controle, uitgeschakeld | 2.0.0-preview |
| [Preview]: Windows-machines moeten voldoen aan de STIG-nalevingsvereisten voor Azure Compute | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in STIG-nalevingsvereisten voor Azure Compute. DISA (Defense Information Systems Agency) biedt technische handleidingen STIG (Security Technical Implementation Guide) voor het beveiligen van het rekenbesturingssystemen zoals vereist door Department of Defense (DoD). Voor meer informatie. https://public.cyber.mil/stigs/ | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers | Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gericht | Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperken | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
| Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Toegestane SKU's voor de grootte van virtuele machines | Met dit beleid kunt u een set SKU's voor grootten van virtuele machines opgeven die uw organisatie mag implementeren. | Weigeren | 1.0.1 |
| De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt | Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarop de opgegeven toepassingen niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de resource Chef InSpec aangeeft dat een of meer van de pakketten van de parameter niet zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 4.2.0 |
| Linux-machines controleren met accounts zonder wachtwoorden | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoorden | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarop de opgegeven toepassingen zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de resource Chef InSpec aangeeft dat een of meer van de pakketten van de parameter zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 4.2.0 |
| Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerd | Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. | auditIfNotExists | 1.0.0 |
| Controleer virtuele machines die niet gebruikmaken van beheerde schijven | Dit beleid controleert virtuele machines die niet gebruikmaken van beheerde schijven | controleren | 1.0.0 |
| Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbreken | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators niet een of meer leden bevat die worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Netwerkverbinding van Windows-machines controleren | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als een netwerkverbindingstatus met een IP- en TCP-poort niet overeenkomt met de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren waarvoor de DSC-configuratie niet compatibel is | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als de Windows PowerShell-opdracht Get-DSCConfigurationStatus retourneert dat de DSC-configuratie voor de machine niet compatibel is. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren waarop de Log Analytics-agent niet is verbonden zoals verwacht | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de agent niet is geïnstalleerd, of als deze wel is geïnstalleerd, maar door het COM-object AgentConfigManager.MgmtSvcCfg wordt geretourneerd dat deze is geregistreerd bij een andere werkruimte dan de id die is opgegeven in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren waarvoor de opgegeven services niet zijn geïnstalleerd en niet worden uitgevoerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als het resultaat van de Windows PowerShell-opdracht Get-service niet de servicenaam met de overeenkomende status bevat, zoals opgegeven door de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren waarvoor Seriële console van Windows niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als op de machine geen Seriële consolesoftware is geïnstalleerd of als het EMS-poortnummer of de baudrate niet zijn geconfigureerd met dezelfde waarden als de beleidsparameters. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows-machines die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan. De standaardwaarde voor unieke wachtwoorden is 24 | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Windows-machines controleren die niet aan het opgegeven domein worden toegevoegd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de waarde van de domeineigenschap in de WMI-klasse win32_computersystem niet overeenkomt met de waarde in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren die niet zijn ingesteld op de opgegeven tijdzone | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de waarde van het kenmerk StandardName in de WMI-klasse Win32_TimeZone niet overeenkomt met de geselecteerde tijdszone van de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren die certificaten bevatten die binnen het opgegeven aantal dagen verlopen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als certificaten in de opgegeven opslag een verloopdatum hebben die buiten het bereik van het aantal dagen in de parameter vallen. Het beleid biedt ook de optie om alleen te controleren op specifieke certificaten of om specifieke certificaten uit te sluiten, en of er moet worden gerapporteerd over verlopen certificaten. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren die niet de opgegeven certificaten in Vertrouwde Hoofdmap bevatten | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als het certificaatarchief in de Vertrouwde hoofdmap van de machine (CERT:\LocalMachine\Root) niet één of meer certificaten bevat die zijn opgegeven in de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Windows-computers controleren waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de maximale wachtwoordduur is 70 dagen | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Windows-computers controleren waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de minimale wachtwoordduur is 1 dag | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeld | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers controleren die niet het opgegeven Windows PowerShell-uitvoeringsbeleid bevatten | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de Windows PowerShell-opdracht Get-ExecutionPolicy een andere waarde retourneert dan wat is geselecteerd in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers controleren waarop de opgegeven Windows PowerShell-modules niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als er geen module beschikbaar is op een locatie die is opgegeven via de omgevingsvariabele PSModulePath. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers controleren die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens. De standaardwaarde voor de minimale wachtwoordlengte is 14 tekens | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-machines controleren waarop de opgegeven toepassingen niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de naam van de toepassing niet wordt gevonden in een van de volgende registerpaden: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren met extra accounts in de groep Beheerders | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators leden bevat die niet worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren die niet binnen het opgegeven aantal dagen opnieuw zijn opgestart | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als het WMI-kenmerk LastBootUpTime in klasse Win32_Operatingsystem buiten het bereik van de opgegeven dagen in de beleidsparameter valt. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren waarop de opgegeven toepassingen zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de naam van de toepassing wordt gevonden in een van de volgende registerpaden: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren die opgegeven leden van de groep Beheerders bevatten | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators een of meer leden bevat die worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-VM's controleren waarvoor opnieuw opstarten in behandeling is | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine in afwachting is van opnieuw opstarten voor een van de volgende redenen: onderhoud op basis van onderdelen, Windows Update, naamswijziging van bestand in behandeling, naamswijziging van computer in behandeling, configuratiemanager in afwachting van opnieuw opstarten. Elke detectie heeft een uniek registerpad. | auditIfNotExists | 2.0.0 |
| Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist | Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Rolinstanties van Cloud Services (uitgebreide ondersteuning) moeten veilig worden geconfigureerd | Bescherm uw rolinstanties van cloudservices (uitgebreide ondersteuning) tegen aanvallen door ervoor te zorgen dat ze niet worden blootgesteld aan beveiligingsproblemen in het besturingssysteem. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor rolinstanties van Cloud Services (uitgebreide ondersteuning) moet een oplossing voor eindpuntbeveiliging zijn geïnstalleerd | Bescherm uw rolinstanties van Cloud Services (uitgebreide ondersteuning) tegen bedreigingen en beveiligingsproblemen door ervoor te zorgen dat er een oplossing voor eindpuntbeveiliging is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor rolinstanties van Cloud Services (uitgebreide ondersteuning) moeten systeemupdates zijn geïnstalleerd | Beveilig uw rolinstanties voor Cloud Services (uitgebreide ondersteuning) door ervoor te zorgen dat de meest recente beveiligings- en essentiële updates erop zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Configureren dat Azure Defender voor servers moet worden uitgeschakeld voor alle resources (resourceniveau) | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender for Servers-plan uitgeschakeld voor alle resources (VM's, VMSS's en ARC-machines) in het geselecteerde bereik (abonnement of resourcegroep). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureren dat Azure Defender voor Servers moet worden uitgeschakeld voor resources (resourceniveau) met de geselecteerde tag | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender for Servers-plan uitgeschakeld voor alle resources (VM's, VMSS's en ARC-machines) met de geselecteerde tagnaam en tagwaarde(s). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureren dat Azure Defender voor Servers moet worden ingeschakeld (subplan P1) voor alle resources (resourceniveau) met de geselecteerde tag | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender for Servers-plan (met het subplan P1) ingeschakeld voor alle resources (VM's en ARC-machines) met de geselecteerde tagnaam en tagwaarde(s). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureren dat Azure Defender voor servers moet worden ingeschakeld (met het subplan P1) voor alle resources (resourceniveau) | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender for Servers-plan (met het subplan P1) ingeschakeld voor alle resources (VM's en ARC-machines) in het geselecteerde bereik (abonnement of resourcegroep). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Back-up configureren op virtuele machines met een bepaalde tag naar een nieuwe Recovery Services-kluis met een standaardbeleid | Dwing het maken van een back-up af voor alle virtuele machines door een Recovery Services-kluis te implementeren op dezelfde locatie en in dezelfde resourcegroep als de virtuele machine. Dit is handig wanneer er aan verschillende toepassingsteams in uw organisatie afzonderlijke resourcegroepen zijn toegewezen die elk hun eigen back-up- en herstelbewerkingen moeten kunnen beheren. U kunt ervoor kiezen om virtuele machines met een opgegeven tag toe te voegen om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Back-up configureren op virtuele machines met een bepaalde tag naar een bestaande Recovery Services-kluis op dezelfde locatie | Dwing het maken van een back-up af voor alle virtuele machines door deze back-up uit te voeren naar een Recovery Services-kluis op dezelfde locatie en in hetzelfde abonnement als de virtuele machine. Dit is handig wanneer een centraal team in uw organisatie back-ups beheert voor alle resources in een abonnement. U kunt ervoor kiezen om virtuele machines met een opgegeven tag toe te voegen om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Back-up configureren op virtuele machines zonder een bepaalde tag naar een nieuwe Recovery Services-kluis met een standaardbeleid | Dwing het maken van een back-up af voor alle virtuele machines door een Recovery Services-kluis te implementeren op dezelfde locatie en in dezelfde resourcegroep als de virtuele machine. Dit is handig wanneer er aan verschillende toepassingsteams in uw organisatie afzonderlijke resourcegroepen zijn toegewezen die elk hun eigen back-up- en herstelbewerkingen moeten kunnen beheren. U kunt ervoor kiezen om virtuele machines met een opgegeven tag uit te sluiten om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Back-up configureren op virtuele machines zonder een bepaalde tag naar een bestaande Recovery Services-kluis op dezelfde locatie | Dwing het maken van een back-up af voor alle virtuele machines door deze back-up uit te voeren naar een Recovery Services-kluis op dezelfde locatie en in hetzelfde abonnement als de virtuele machine. Dit is handig wanneer een centraal team in uw organisatie back-ups beheert voor alle resources in een abonnement. U kunt ervoor kiezen om virtuele machines met een opgegeven tag uit te sluiten om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Herstel na noodgevallen configureren op virtuele machines door replicatie in te schakelen via Azure Site Recovery | Virtuele machines zonder configuraties voor herstel na noodgevallen zijn kwetsbaar voor storingen en andere onderbrekingen. Als de virtuele machine nog niet is geconfigureerd voor herstel na noodgevallen, zou dit hetzelfde initiëren door replicatie in te schakelen met vooraf ingestelde configuraties om bedrijfscontinuïteit te vergemakkelijken. U kunt eventueel virtuele machines met een opgegeven tag opnemen/uitsluiten om het toewijzingsbereik te bepalen. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Resources voor schijftoegang configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te brengen aan resources voor schijftoegang, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Linux-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om virtuele Linux-machines, virtuele-machineschaalsets en Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 6.3.0 |
| Configureer Linux Server om lokale gebruikers uit te schakelen. | Hiermee maakt u een toewijzing van een gastenconfiguratie om het uitschakelen van lokale gebruikers op Linux Server te configureren. Dit zorgt ervoor dat Linux-servers alleen toegankelijk zijn via een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor de algehele beveiligingspostuur wordt verbeterd. | DeployIfNotExists, uitgeschakeld | 1.3.0-preview |
| Virtuele-machineschaalsets voor Linux configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om virtuele-machineschaalsets van Linux te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 4.2.0 |
| Virtuele-machineschaalsets voor Linux configureren om Azure Monitor Agent uit te voeren met door het systeem toegewezen verificatie op basis van beheerde identiteiten | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Linux-machineschaalsets voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.5.0 |
| Virtuele-machineschaalsets voor Linux configureren om Azure Monitor Agent uit te voeren met door de gebruiker toegewezen verificatie op basis van beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Linux-machineschaalsets voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.6.0 |
| Virtuele Linux-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om virtuele Linux-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 4.2.0 |
| Virtuele Linux-machines configureren om Azure Monitor Agent uit te voeren met door het systeem toegewezen beheerde verificatie op basis van identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Linux-machines voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.5.0 |
| Virtuele Linux-machines configureren om Azure Monitor Agent uit te voeren met door de gebruiker toegewezen verificatie op basis van beheerde identiteiten | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Linux-machines voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.6.0 |
| Machines configureren voor het ontvangen van een provider voor evaluatie van beveiligingsproblemen | Azure Defender omvat het scannen van beveiligingsproblemen op uw computers zonder extra kosten. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center. Wanneer u dit beleid inschakelt, implementeert Azure Defender automatisch de Qualys-provider voor evaluatie van beveiligingsproblemen op alle ondersteunde computers waarop het beleid nog niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 4.0.0 |
| Beheerde schijven configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw beheerde schijfresource uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/disksprivatelinksdoc. | Wijzigen, uitgeschakeld | 2.0.0 |
| Periodieke controle configureren voor ontbrekende systeemupdates op virtuele Azure-machines | Configureer automatische evaluatie (elke 24 uur) voor updates van het besturingssysteem op systeemeigen virtuele Azure-machines. U kunt het toewijzingsbereik beheren op basis van het machineabonnement, de resourcegroep, de locatie of de tag. Meer informatie over dit voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | wijzigen | 4.8.0 |
| Beveiligde communicatieprotocollen (TLS 1.1 of TLS 1.2) configureren op Windows-computers | Hiermee maakt u een toewijzing van een gastenconfiguratie voor het configureren van de opgegeven versie van het beveiligde protocol (TLS 1.1 of TLS 1.2) op een Windows-computer. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Virtuele SQL-machines configureren om Azure Monitor Agent automatisch te installeren | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Windows SQL-machines. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| Virtuele SQL-machines configureren om Microsoft Defender voor SQL automatisch te installeren | Configureer Virtuele Windows SQL-machines om de Microsoft Defender voor SQL-extensie automatisch te installeren. Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| Virtuele SQL-machines configureren om Microsoft Defender voor SQL en DCR automatisch te installeren met een Log Analytics-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep, een regel voor gegevensverzameling en Log Analytics-werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.4.0 |
| Virtuele SQL-machines configureren om Microsoft Defender voor SQL en DCR automatisch te installeren met een door de gebruiker gedefinieerde LA-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en een regel voor gegevensverzameling in dezelfde regio als de door de gebruiker gedefinieerde Log Analytics-werkruimte. | DeployIfNotExists, uitgeschakeld | 1.4.0 |
| De Microsoft Defender voor SQL Log Analytics-werkruimte configureren | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en Log Analytics-werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| De tijdzone op Windows-computers configureren. | Met dit beleid maakt u een gastconfiguratietoewijzing om een bepaalde tijdzone in te stellen op Windows-VM's. | deployIfNotExists | 2.1.0 |
| Virtuele machines configureren voor onboarding naar Azure Automanage | Azure Automanage registreert, configureert en bewaakt virtuele machines met aanbevolen procedures zoals gedefinieerd in het Microsoft Cloud Adoption Framework voor Azure. Gebruik dit beleid om Automanage op uw geselecteerde bereik toe te passen. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 2.4.0 |
| Virtuele machines configureren voor onboarding naar Azure Automanage met aangepast configuratieprofiel | Azure Automanage registreert, configureert en bewaakt virtuele machines met aanbevolen procedures zoals gedefinieerd in het Microsoft Cloud Adoption Framework voor Azure. Gebruik dit beleid om Automanage toe te passen met uw eigen aangepaste configuratieprofiel op uw geselecteerde bereik. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.4.0 |
| Windows-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om virtuele Windows-machines, virtuele-machineschaalsets en Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 4.5.0 |
| Virtuele-machineschaalsets van Windows configureren die worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om virtuele-machineschaalsets van Windows te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 3.3.0 |
| Virtuele-machineschaalsets van Windows configureren om Azure Monitor Agent uit te voeren met behulp van door het systeem toegewezen beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele-machineschaalsets van Windows voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.4.0 |
| Virtuele-machineschaalsets van Windows configureren om Azure Monitor Agent uit te voeren met door de gebruiker toegewezen verificatie op basis van beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele-machineschaalsets van Windows voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.4.0 |
| Virtuele Windows-machines configureren die worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om virtuele Windows-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 3.3.0 |
| Virtuele Windows-machines configureren om Azure Monitor Agent uit te voeren met behulp van door het systeem toegewezen beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Windows-machines voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 4.4.0 |
| Virtuele Windows-machines configureren om Azure Monitor Agent uit te voeren met door de gebruiker toegewezen verificatie op basis van beheerde identiteiten | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Windows-machines voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.4.0 |
| Een ingebouwde door de gebruiker toegewezen beheerde identiteit maken en toewijzen | Maak en wijs een ingebouwde door de gebruiker toegewezen beheerde identiteit op schaal toe aan virtuele SQL-machines. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.4.0 |
| Afhankelijkheidsagent moet zijn ingeschakeld voor vermelde installatiekopieën van virtuele machines | Rapporteert virtuele machines als niet-compatibel als de installatiekopieën van de virtuele machine niet in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. De lijst met installatiekopieën van het besturingssysteem wordt na verloop van tijd bijgewerkt wanneer de ondersteuning wordt bijgewerkt. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Afhankelijkheidsagent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde installatiekopieën van virtuele machines | Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatiekopieën van de virtuele machine niet in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. De lijst met installatiekopieën van het besturingssysteem wordt na verloop van tijd bijgewerkt wanneer de ondersteuning wordt bijgewerkt. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Implementeren- Afhankelijkheidsagent configureren die moet worden ingeschakeld op virtuele-machineschaalsets van Windows | Implementeer afhankelijkheidsagent voor virtuele-machineschaalsets van Windows als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomen en de agent niet is geïnstalleerd. Als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door ze bij te werken. | DeployIfNotExists, uitgeschakeld | 3.1.0 |
| Implementeren- Afhankelijkheidsagent configureren die moet worden ingeschakeld op virtuele Windows-machines | Implementeer afhankelijkheidsagent voor virtuele Windows-machines als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomen en de agent niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 3.1.0 |
| Implementeren - Log Analytics-extensie configureren die moet worden ingeschakeld op virtuele-machineschaalsets van Windows | Implementeer de Log Analytics-extensie voor virtuele-machineschaalsets van Windows als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomt en de extensie niet is geïnstalleerd. Als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door ze bij te werken. Afschaffingsmelding: De Log Analytics-agent bevindt zich op een afschaffingspad en wordt niet ondersteund na 31 augustus 2024. U moet vóór die datum migreren naar de vervangende Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 3.1.0 |
| Implementeren - Log Analytics-extensie configureren die moet worden ingeschakeld op virtuele Windows-machines | Implementeer de Log Analytics-extensie voor virtuele Windows-machines als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomt en de extensie niet is geïnstalleerd. Afschaffingsmelding: De Log Analytics-agent bevindt zich op een afschaffingspad en wordt niet ondersteund na 31 augustus 2024. U moet vóór die datum migreren naar de vervangende Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 3.1.0 |
| Microsoft IaaSAntimalware-standaarduitbreiding voor Windows Server implementeren | Met dit beleid wordt een Microsoft IaaSAntimalware-uitbreiding met een standaardconfiguratie geïmplementeerd wanneer een VM niet is geconfigureerd met de antimalware-uitbreiding. | deployIfNotExists | 1.1.0 |
| Afhankelijkheidsagent implementeren voor virtuele-machineschaalsets van Linux | Implementeer Afhankelijkheidsagent voor virtuele-machineschaalsets voor Linux als de VM-installatiekopie (besturingssysteem) in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. Opmerking: als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door een upgrade voor deze virtuele machines aan te roepen. In CLI zou dit az vmss update-instances zijn. | deployIfNotExists | 5.0.0 |
| Afhankelijkheidsagent implementeren voor virtuele-machineschaalsets in Linux met azure Monitoring Agent-instellingen | Implementeer de afhankelijkheidsagent voor virtuele-machineschaalsets in Linux met azure Monitoring Agent-instellingen als de VM-installatiekopieën (OS) in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. Opmerking: als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door een upgrade voor deze virtuele machines aan te roepen. In CLI zou dit az vmss update-instances zijn. | DeployIfNotExists, uitgeschakeld | 3.1.1 |
| Dependency agent implementeren voor virtuele Linux-machines | Implementeer Dependency agent voor virtuele Linux-machines als de VM-installatiekopie (besturingssysteem) voorkomt in de gedefinieerde lijst en de agent niet is geïnstalleerd. | deployIfNotExists | 5.0.0 |
| Afhankelijkheidsagent implementeren voor virtuele Linux-machines met azure Monitoring Agent-instellingen | Implementeer de afhankelijkheidsagent voor virtuele Linux-machines met azure Monitoring Agent-instellingen als de VM-installatiekopieën (OS) in de gedefinieerde lijst staat en de agent niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 3.1.1 |
| Afhankelijkheidsagent implementeren die moet worden ingeschakeld op virtuele-machineschaalsets van Windows met azure Monitoring Agent-instellingen | Implementeer afhankelijkheidsagent voor virtuele-machineschaalsets van Windows met azure Monitoring Agent-instellingen als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. Als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door ze bij te werken. | DeployIfNotExists, uitgeschakeld | 1.2.2 |
| Afhankelijkheidsagent implementeren die moet worden ingeschakeld op virtuele Windows-machines met azure Monitoring Agent-instellingen | Implementeer de afhankelijkheidsagent voor virtuele Windows-machines met azure Monitoring Agent-instellingen als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomen en de agent niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 1.2.2 |
| Implementeer de Log Analytics-extensie voor virtuele-machineschaalsets voor Linux. Zie de afschaffingsmelding hieronder | Implementeer de Log Analytics-extensie voor virtuele-machineschaalsets voor Linux als de VM-installatiekopieën (OS) in de gedefinieerde lijst voorkomt en de extensie niet is geïnstalleerd. Opmerking: als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door een upgrade voor deze VM's aan te roepen. In CLI zou dit az vmss update-instances zijn. Afschaffingsmelding: De Log Analytics-agent wordt na 31 augustus 2024 niet ondersteund. U moet vóór die datum migreren naar de vervangende Azure Monitor-agent | deployIfNotExists | 3.0.0 |
| Implementeer de Log Analytics-extensie voor Linux-VM's. Zie de afschaffingsmelding hieronder | Implementeer de Log Analytics-extensie voor Linux-VM's als de VM-installatiekopieën (OS) in de gedefinieerde lijst voorkomt en de extensie niet is geïnstalleerd. Afschaffingsmelding: De Log Analytics-agent bevindt zich op een afschaffingspad en wordt niet ondersteund na 31 augustus 2024. U moet vóór die datum migreren naar de vervangende Azure Monitor-agent | deployIfNotExists | 3.0.0 |
| De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 3.1.0 |
| De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's | Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.2.0 |
| Resources voor schijftoegang moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Schijven en installatiekopieën van het besturingssysteem moeten trustedLaunch ondersteunen | TrustedLaunch verbetert de beveiliging van een virtuele machine waarvoor besturingssysteemschijf en installatiekopieën van het besturingssysteem moeten worden ondersteund (Gen 2). Ga voor meer informatie over TrustedLaunch naar https://aka.ms/trustedlaunch | Controle, uitgeschakeld | 1.0.0 |
| Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Ondersteunde eindpuntbeveiligingsoplossingen van Azure Security Center worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions De eindpuntbeveiligingsevaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Endpoint Protection moet worden geïnstalleerd op uw computers | Installeer een ondersteunde oplossing voor eindpuntbeveiliging om uw machines tegen bedreigingen en beveiligingsproblemen te beschermen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| De Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets | Controleer op de aanwezigheid en status van een oplossing voor eindpuntbeveiliging op virtuele-machineschaalsets, waarmee de schaalsets worden beschermd tegen bedreigingen en beveiligingsproblemen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Hotpatch moet zijn ingeschakeld voor virtuele Windows Server Azure Edition-machines | Minimaliseer opnieuw opstarten en installeer updates snel met hotpatch. Meer informatie vindt u op https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.2.0 |
| Linux-machines mogen alleen lokale accounts hebben die zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Het beheren van gebruikersaccounts met behulp van Azure Active Directory is een best practice voor het beheer van identiteiten. Het verminderen van lokale computeraccounts helpt de verspreiding van identiteiten die buiten een centraal systeem worden beheerd, te voorkomen. Machines zijn niet-compatibel als lokale gebruikersaccounts bestaan die zijn ingeschakeld en niet worden vermeld in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 2.2.0 |
| Voor virtuele Linux-machineschaalsets moet Azure Monitor Agent zijn geïnstalleerd | Virtuele-machineschaalsets van Linux moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor-agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Met dit beleid worden virtuele-machineschaalsets gecontroleerd met ondersteunde installatiekopieën van besturingssystemen in ondersteunde regio's. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen. | Hoewel het besturingssysteem en de gegevensschijven van een virtuele machine standaard versleuteld-at-rest zijn met behulp van door platform beheerde sleutels; resourceschijven (tijdelijke schijven), gegevenscaches en gegevensstromen tussen reken- en opslagresources worden niet versleuteld. Gebruik Azure Disk Encryption of EncryptionAtHost om te herstellen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.2.1 |
| Voor virtuele Linux-machines moet Azure Monitor Agent zijn geïnstalleerd | Virtuele Linux-machines moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor-agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Met dit beleid worden virtuele machines gecontroleerd met ondersteunde installatiekopieën van besturingssystemen in ondersteunde regio's. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| Lokale verificatiemethoden moeten worden uitgeschakeld op Linux-machines | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als linux-servers geen lokale verificatiemethoden hebben uitgeschakeld. Dit is om te controleren of Linux-servers alleen toegankelijk zijn voor een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor de algehele beveiligingsstatus wordt verbeterd. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| Lokale verificatiemethoden moeten worden uitgeschakeld op Windows-servers | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als Windows-servers geen lokale verificatiemethoden hebben uitgeschakeld. Dit is om te controleren of Windows-servers alleen toegankelijk zijn via een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor het algehele beveiligingspostuur wordt verbeterd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| De Log Analytics-agent moet zijn geïnstalleerd op uw rolinstanties van Cloud Services (uitgebreide ondersteuning) | Security Center verzamelt gegevens van uw rolinstanties van Cloud Services (uitgebreide ondersteuning) om te controleren op beveiligingsproblemen en bedreigingen. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Log Analytics-agent moet zijn geïnstalleerd op uw virtuele machine voor Azure Security Center-bewaking | Met dit beleid controleert elke willekeurige virtuele Windows-/Linux-machine of de Log Analytics-agent niet is geïnstalleerd, wat Security Center gebruikt om op beveiligingsproblemen te reageren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Log Analytics-agent moet worden geïnstalleerd op uw virtuele-machineschaalsets voor Azure Security Center-bewaking | Security Center verzamelt gegevens van uw Azure-VM's om te controleren op beveiligingsproblemen en bedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| De Log Analytics-extensie moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde installatiekopieën van virtuele machines | Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Machines moeten worden geconfigureerd om periodiek te controleren op ontbrekende systeemupdates | Om ervoor te zorgen dat periodieke evaluaties voor ontbrekende systeemupdates elke 24 uur automatisch worden geactiveerd, moet de eigenschap AssessmentMode worden ingesteld op 'AutomaticByPlatform'. Meer informatie over de eigenschap AssessmentMode voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Controleren, Weigeren, Uitgeschakeld | 3.7.0 |
| Computers moeten geheime bevindingen hebben opgelost | Controleert virtuele machines om te detecteren of ze geheime bevindingen van de geheime scanoplossingen op uw virtuele machines bevatten. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Beheerde schijven moeten dubbel worden versleuteld met zowel door het platform beheerde als door de klant beheerde sleutels | Hoge beveiligingsgevoelige klanten die zich zorgen maken over het risico dat gepaard gaat met een bepaald versleutelingsalgoritmen, implementatie of sleutel dat wordt aangetast, kunnen kiezen voor extra versleutelingslaag met behulp van een ander versleutelingsalgoritmen/-modus op de infrastructuurlaag met behulp van door platform beheerde versleutelingssleutels. De schijfversleutelingssets zijn vereist voor het gebruik van dubbele versleuteling. Meer informatie op https://aka.ms/disks-doubleEncryption. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Beheerde schijven moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat een beheerde schijf niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van beheerde schijven beperken. Zie voor meer informatie: https://aka.ms/disksprivatelinksdoc. | Controle, uitgeschakeld | 2.0.0 |
| Beheerde schijven moeten een specifieke set schijfversleutelingssets gebruiken voor de door de klant beheerde sleutelversleuteling | Als u een specifieke set schijfversleutelingssets wilt gebruiken met beheerde schijven, hebt u controle over de sleutels die worden gebruikt voor versleuteling-at-rest. U kunt de toegestane versleutelde sets selecteren en alle andere worden geweigerd wanneer ze zijn gekoppeld aan een schijf. Meer informatie op https://aka.ms/disks-cmk. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Antimalware voor Azure moet zijn geconfigureerd voor het automatisch bijwerken van beveiligingsdefinities | Met dit beleid wordt elke Windows-VM gecontroleerd waarvoor het automatisch bijwerken van Microsoft Antimalware-beveiligingsdefinities niet is geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft IaaSAntimalware-uitbreiding moet zijn geïmplementeerd op Windows-servers | Met dit beleid wordt elke Windows Server-VM gecontroleerd waarvoor de Microsoft IaaSAntimalware-uitbreiding niet is geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Ontbrekende eindpuntbeveiliging bewaken in Azure Security Center | Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Alleen goedgekeurde VM-extensies mogen worden geïnstalleerd | Dit beleid is van toepassing op extensies van virtuele machines die niet zijn goedgekeurd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Besturingssysteem- en gegevensschijven moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels om de versleuteling in rust van de inhoud van uw beheerde schijven te beheren. Standaard worden de gegevens in rust versleuteld met door het platform beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan wettelijke nalevingsstandaarden. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/disks-cmk. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| Privé-eindpunten voor gastconfiguratietoewijzingen moeten zijn ingeschakeld | Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit met gastconfiguratie in te schakelen voor virtuele machines. Virtuele machines zijn niet-compatibel, tenzij ze de tag EnablePrivateNetworkGC hebben. Deze tag dwingt beveiligde communicatie af via privéconnectiviteit met gastconfiguratie voor virtuele machines. Privéconnectiviteit beperkt de toegang tot verkeer dat alleen afkomstig is van bekende netwerken en voorkomt toegang vanaf alle andere IP-adressen, waaronder binnen Azure. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Beveilig uw gegevens met verificatievereisten bij het exporteren of uploaden naar een schijf of momentopname. | Wanneer de URL voor exporteren/uploaden wordt gebruikt, controleert het systeem of de gebruiker een identiteit heeft in Azure Active Directory en de benodigde machtigingen heeft om de gegevens te exporteren/uploaden. Raadpleeg aka.ms/DisksAzureADAuth. | Wijzigen, uitgeschakeld | 1.0.0 |
| Automatische patching van installatiekopieën van het besturingssysteem op virtuele-machineschaalsets vereisen | Met dit beleid wordt het automatisch inschakelen van het patchen van installatiekopieën van het besturingssysteem op virtuele-machineschaalsets afgedwongen om virtuele machines altijd veilig te houden door elke maand de nieuwste beveiligingspatches toe te passen. | deny | 1.0.0 |
| Terugkerende updates plannen met Azure Update Manager | U kunt Azure Update Manager in Azure gebruiken om terugkerende implementatieschema's op te slaan voor het installeren van besturingssysteemupdates voor uw Windows Server- en Linux-machines in Azure, in on-premises omgevingen en in andere cloudomgevingen die zijn verbonden met azure Arc-servers. Met dit beleid wordt ook de patchmodus voor de virtuele Azure-machine gewijzigd in 'AutomaticByPlatform'. Meer informatie: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, uitgeschakeld | 3.10.0 |
| SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost | Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Systeemupdates op virtuele-machineschaalsets moeten worden geïnstalleerd | Controleren of er systeembeveiligingsupdates of essentiële updates ontbreken die moeten worden geïnstalleerd om ervoor te zorgen dat uw virtuele-machineschaalsets voor Windows en Linux veilig zijn. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Systeemupdates moeten op uw computers worden geïnstalleerd | Ontbrekende beveiligingssysteemupdates op uw servers worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op virtuele-machineschaalsets van Linux | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als de laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, wordt met dit beleid alle toekomstige installaties van de verouderde agentextensie op virtuele-machineschaalsets van Linux geweigerd. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op virtuele Linux-machines | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als de laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op virtuele Linux-machines. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op virtuele-machineschaalsets | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als de laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, wordt met dit beleid alle toekomstige installaties van de verouderde agentextensie op virtuele-machineschaalsets van Windows geweigerd. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op virtuele machines | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als de laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op virtuele Windows-machines. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De Log Analytics-extensie moet worden geïnstalleerd op virtuele-machineschaalsets | Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Voor virtuele machine moet TrustedLaunch zijn ingeschakeld | Enable TrustedLaunch on Virtual Machine for enhanced security, use VM SKU (Gen 2) that supports TrustedLaunch. Ga voor meer informatie over TrustedLaunch naar https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Controle, uitgeschakeld | 1.0.0 |
| Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host | Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie op https://aka.ms/vm-hbe. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Virtuele machines moeten zijn verbonden met een opgegeven werkruimte | Rapporteert virtuele machines als niet-compatibel als ze zich niet aanmelden bij de Log Analytics-werkruimte die is opgegeven in de toewijzing van het beleid/initiatief. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld at rest met behulp van door het platform beheerde sleutels. Tijdelijke schijven, gegevenscaches en gegevensstromen tussen berekening en opslag worden niet versleuteld. Negeer deze aanbeveling als: 1. met behulp van versleuteling op host of 2. versleuteling aan de serverzijde op Beheerde schijven voldoet aan uw beveiligingsvereisten. Meer informatie in: Versleuteling aan de serverzijde van Azure Disk Storage: https://aka.ms/disksse, Verschillende schijfversleutelingsaanbiedingen: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, uitgeschakeld | 2.0.3 |
| Op virtuele machines moet de Log Analytics-extensie zijn geïnstalleerd | Met dit beleid worden alle virtuele Windows-/Linux-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen | Beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd, controleren en als aanbevelingen weergeven in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld | Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld | Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 4.1.1 |
| Windows-computers moeten Windows Defender configureren om beveiligingshandtekeningen binnen één dag bij te werken | Windows Defender-beveiligingshandtekeningen moeten regelmatig worden bijgewerkt om rekening te houden met nieuw uitgebrachte malware om voldoende bescherming te bieden tegen nieuw uitgebrachte malware. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows-computers moeten Realtime-beveiliging van Windows Defender inschakelen | Windows-computers moeten de realtime-beveiliging in windows Defender inschakelen om voldoende bescherming te bieden tegen nieuw uitgebrachte malware. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - Configuratiescherm' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Configuratiescherm voor het personaliseren van invoer en het inschakelen van vergrendelingsschermen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - MSS (verouderd)' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - MSS (verouderd) voor automatische aanmelding, schermbeveiliging, netwerkgedrag, veilige DLL en gebeurtenislogboek. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - Netwerk' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Netwerk voor aanmeldingen van gasten, gelijktijdige verbindingen, netwerkbrug, ICS en multicast-naamomzetting. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beheersjablonen - Systeem' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Systeem voor instellingen waarmee de beheerervaring en hulp op afstand worden beheerd. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Accounts' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Accounts voor het beperken van het gebruik van een leeg wachtwoord en de status van het gastaccount voor lokale accounts. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Beveiligingsopties - Controle' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Controle voor de subcategorie voor het afdwingen van controlebeleid en het afsluiten van de computer als beveiligingslogboekregistratie niet mogelijk is. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Apparaten' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Apparaten voor ontkoppelen zonder aanmelding, het installeren van printerstuurprogramma's en het formatteren/uitwerpen van media. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Interactieve aanmelding' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie 'Beveiligingsopties - Interactieve aanmelding' voor het weergeven van achternaam en het vereisen van Ctrl-alt-del. Dit beleid vereist dat de vereisten voor gastconfiguratie zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Microsoft-netwerkclient' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Microsoft-netwerkclient voor de client/server in het Microsoft-netwerk en SMB v1. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Microsoft-netwerkserver' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Microsoft-netwerkserver voor het uitschakelen van de SMB v1-server. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerktoegang voor onder meer toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Herstelconsole' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Herstelconsole om het kopiëren van bestanden en de toegang tot alle stations en mappen toe te staan. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Afsluiten' | Windows-computers moeten over de opgegeven groepsbeleidinstellingen beschikken in de categorie Beveiligingsopties - Afsluiten om afsluiten zonder aanmelding en het wissen van het wisselbestand voor virtueel geheugen toe te staan. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Systeemobjecten' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Systeemobjecten voor het negeren van hoofd- en kleine letters voor niet-Windows-subsystemen en machtigingen van interne systeemobjecten. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Systeeminstellingen' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Systeeminstellingen voor certificaatregels voor uitvoerbare bestanden voor SRP en optionele subsystemen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Gebruikersaccountbeheer' | Windows-computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Gebruikersaccountbeheer voor de modus voor beheerders, het gedrag van verhoogde bevoegdheden en het virtualiseren van schrijffouten in bestanden en registers. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsinstellingen - Accountbeleid' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsinstellingen - Accountbeleid voor de geschiedenis, leeftijd, lengte, complexiteit en opslag van wachtwoorden met omkeerbare versleuteling. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Aanmelding met account' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Aanmelding met account om validatie van referenties en andere aanmeldingsgebeurtenissen voor accounts te controleren. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Accountbeheer' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Accountbeheer voor het controleren van de toepassing, de beveiliging en het beheer van gebruikersgroepen en andere beheergebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Uitvoerige tracering' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Uitvoerige tracering voor het controleren van DPAPI, het maken/beëindigen van processen, RPC-gebeurtenissen en PNP-activiteit. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Aanmelden/afmelden' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Aanmelden/afmelden voor het controleren van IPSec, netwerkbeleid, claims, accountvergrendeling, groepslidmaatschap en aan- en afmeldingsgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Toegang tot object' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Toegang tot object voor het controleren van een bestand, register, SAM, opslag, filters, kernel en andere systeemtypen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Beleidswijziging' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Beleidswijziging voor het controleren van wijzigingen in systeemcontrolebeleidsregels. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Gebruik van bevoegdheden' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Gebruik van bevoegdheden om het gebruik van niet-gevoelige en andere bevoegdheden te controleren. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Systeem' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Systeem voor het controleren van IPsec-stuurprogramma, systeemintegriteit, systeemuitbreiding, statuswijziging en andere systeemgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Toewijzing van gebruikersrechten' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Toewijzing van gebruikersrechten, waarmee lokaal aanmelden, RDP, toegang vanaf het netwerk en talloze overige gebruikersactiviteiten mogelijk zijn. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Windows-onderdelen' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Windows-onderdelen voor basisverificatie, niet-versleuteld verkeer, Microsoft-accounts, telemetrie, Cortana en ander Windows-gedrag. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Eigenschappen van Windows Firewall' | Windows-computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Eigenschappen van Windows Firewall voor de firewallstatus, de verbindingen, het regelbeheer en meldingen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers mogen alleen lokale accounts hebben die zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Deze definitie wordt niet ondersteund in Windows Server 2012 of 2012 R2. Het beheren van gebruikersaccounts met behulp van Azure Active Directory is een best practice voor het beheer van identiteiten. Het verminderen van lokale computeraccounts helpt de verspreiding van identiteiten die buiten een centraal systeem worden beheerd, te voorkomen. Machines zijn niet-compatibel als lokale gebruikersaccounts bestaan die zijn ingeschakeld en niet worden vermeld in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten Windows Defender plannen om elke dag een geplande scan uit te voeren | Om te zorgen voor promptdetectie van malware en het minimaliseren van de impact op uw systeem, wordt aanbevolen dat Windows-computers met Windows Defender een dagelijkse scan plannen. Zorg ervoor dat Windows Defender wordt ondersteund, vooraf is geïnstalleerd op het apparaat en dat de vereisten voor gastconfiguratie zijn geïmplementeerd. Als u niet aan deze vereisten voldoet, kan dit leiden tot onjuiste evaluatieresultaten. Meer informatie over gastconfiguratie vindt u op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
| Windows-computers moeten de standaard-NTP-server gebruiken | Stel de 'time.windows.com' in als de standaard NTP-server voor alle Windows-computers om ervoor te zorgen dat logboeken op alle systemen systeemklokken hebben die allemaal gesynchroniseerd zijn. Dit beleid vereist dat de vereisten voor gastconfiguratie zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor virtuele-machineschaalsets van Windows moet Azure Monitor Agent zijn geïnstalleerd | Virtuele-machineschaalsets van Windows moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor-agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Virtuele-machineschaalsets met ondersteund besturingssysteem en in ondersteunde regio's worden bewaakt voor implementatie van Azure Monitor Agent. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| Virtuele Windows-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen. | Hoewel het besturingssysteem en de gegevensschijven van een virtuele machine standaard versleuteld-at-rest zijn met behulp van door platform beheerde sleutels; resourceschijven (tijdelijke schijven), gegevenscaches en gegevensstromen tussen reken- en opslagresources worden niet versleuteld. Gebruik Azure Disk Encryption of EncryptionAtHost om te herstellen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.1.1 |
| Voor virtuele Windows-machines moet Azure Monitor Agent zijn geïnstalleerd | Virtuele Windows-machines moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor-agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Virtuele Windows-machines met ondersteund besturingssysteem en in ondersteunde regio's worden bewaakt voor implementatie van Azure Monitor Agent. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
Microsoft.VirtualMachineImages
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| VM Image Builder-sjablonen moeten een private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
Microsoft.ClassicCompute
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers | Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt | Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerd | Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. | auditIfNotExists | 1.0.0 |
| Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Ondersteunde eindpuntbeveiligingsoplossingen van Azure Security Center worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions De eindpuntbeveiligingsevaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Endpoint Protection moet worden geïnstalleerd op uw computers | Installeer een ondersteunde oplossing voor eindpuntbeveiliging om uw machines tegen bedreigingen en beveiligingsproblemen te beschermen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Log Analytics-agent moet zijn geïnstalleerd op uw virtuele machine voor Azure Security Center-bewaking | Met dit beleid controleert elke willekeurige virtuele Windows-/Linux-machine of de Log Analytics-agent niet is geïnstalleerd, wat Security Center gebruikt om op beveiligingsproblemen te reageren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Computers moeten geheime bevindingen hebben opgelost | Controleert virtuele machines om te detecteren of ze geheime bevindingen van de geheime scanoplossingen op uw virtuele machines bevatten. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Ontbrekende eindpuntbeveiliging bewaken in Azure Security Center | Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Systeemupdates moeten op uw computers worden geïnstalleerd | Ontbrekende beveiligingssysteemupdates op uw servers worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld at rest met behulp van door het platform beheerde sleutels. Tijdelijke schijven, gegevenscaches en gegevensstromen tussen berekening en opslag worden niet versleuteld. Negeer deze aanbeveling als: 1. met behulp van versleuteling op host of 2. versleuteling aan de serverzijde op Beheerde schijven voldoet aan uw beveiligingsvereisten. Meer informatie in: Versleuteling aan de serverzijde van Azure Disk Storage: https://aka.ms/disksse, Verschillende schijfversleutelingsaanbiedingen: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, uitgeschakeld | 2.0.3 |
| Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen | Beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd, controleren en als aanbevelingen weergeven in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld | Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.