Azure Policy inbyggda definitioner för Azure Arc-aktiverade servrar
Den här sidan är ett index Azure Policy inbyggda principdefinitioner för Azure Arc-aktiverade servrar. Ytterligare Azure Policy inbyggda funktioner för andra tjänster finns i Azure Policy inbyggda definitionerna.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure Portal. Använd länken i kolumnen Version för att visa källan på Azure Policy GitHub lagringsplatsen.
Azure Arc-aktiverade servrar
| Name (Azure Portal) |
Description | Effekt(er) | Version (GitHub) |
|---|---|---|---|
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska Linux-datorer som inte har behörigheten passwd-fil inställd på 0644 | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om Linux-datorer som inte har behörigheten passwd-fil inställd på 0644 | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska Linux-datorer som inte har de angivna programmen installerade | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om Chef InSpec-resursen anger att ett eller flera av paketen som tillhandahålls av parametern inte har installerats. | auditIfNotExists | 3.0.0 |
| Granska Linux-datorer som har konton utan lösenord | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om Linux-datorer som har konton utan lösenord | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska Linux-datorer som har de angivna programmen installerade | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om Chef InSpec-resursen anger att ett eller flera av paketen som tillhandahålls av parametern har installerats. | auditIfNotExists | 3.0.0 |
| Granska Windows datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om den lokala gruppen Administratörer inte innehåller en eller flera medlemmar som anges i principparametern. | auditIfNotExists | 1.0.0 |
| Granska Windows datorers nätverksanslutning | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om en nätverksanslutningsstatus till en IP-adress och TCP-porten inte matchar principparametern. | auditIfNotExists | 1.0.0 |
| Granska Windows datorer där DSC-konfigurationen inte är kompatibel | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om Windows PowerShell kommandot Get-DSCConfigurationStatus returnerar att DSC-konfigurationen för datorn inte är kompatibel. | auditIfNotExists | 1.0.0 |
| Granska Windows datorer där Log Analytics-agenten inte är ansluten som förväntat | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om agenten inte är installerad, eller om den är installerad men COM-objektet AgentConfigManager.MgmtSvcCfg returnerar att den är registrerad på en annan arbetsyta än det ID som anges i principparametern. | auditIfNotExists | 1.0.0 |
| Granska Windows datorer där de angivna tjänsterna inte är installerade och "Körs" | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om resultatet av Windows PowerShell kommando Get-Service inte innehåller tjänstnamnet med matchande status som anges av principparametern. | auditIfNotExists | 1.0.0 |
| Granska Windows datorer där Windows seriekonsolen inte är aktiverad | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om datorn inte har seriekonsolprogramvaran installerad eller om EMS-portnumret eller överföringshastigheten inte har konfigurerats med samma värden som principparametrarna. | auditIfNotExists | 1.0.0 |
| Granska Windows datorer som tillåter återanvändning av de föregående 24 lösenorden | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om Windows datorer som tillåter återanvändning av de föregående 24 lösenorden | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska Windows datorer som inte är ansluten till den angivna domänen | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om värdet för egenskapen Domän i WMI-win32_computersystem inte matchar värdet i principparametern. | auditIfNotExists | 1.0.0 |
| Granska Windows datorer som inte är inställda på den angivna tidszonen | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om värdet för egenskapen StandardName i WMI-Win32_TimeZone inte matchar den valda tidszonen för principparametern. | auditIfNotExists | 1.0.0 |
| Granska Windows datorer som innehåller certifikat som upphör att gälla inom det angivna antalet dagar | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om certifikaten i det angivna arkivet har ett utgångsdatum utanför intervallet för det antal dagar som anges som parameter. Principen ger också möjlighet att endast söka efter specifika certifikat eller exkludera specifika certifikat, och om du vill rapportera om utgångna certifikat. | auditIfNotExists | 1.0.0 |
| Granska Windows datorer som inte innehåller de angivna certifikaten i betrodd rot | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om datorns betrodda rotcertifikatarkiv (Cert:\LocalMachine\Root) inte innehåller ett eller flera av de certifikat som anges av principparametern. | auditIfNotExists | 1.0.1 |
| Granska Windows datorer som inte har en högsta lösenordsålder på 70 dagar | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om Windows datorer som inte har en högsta lösenordsålder på 70 dagar | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska Windows datorer som inte har en minsta lösenordsålder på 1 dag | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om Windows datorer som inte har en minsta lösenordsålder på 1 dag | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska Windows datorer som inte har inställningen för lösenordskomplexitet aktiverad | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om Windows datorer som inte har inställningen lösenordskomplexitet aktiverad | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska Windows datorer som inte har den angivna Windows PowerShell körningsprincipen | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om Windows PowerShell kommando Get-ExecutionPolicy returnerar ett annat värde än det som valdes i principparametern. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska Windows datorer som inte har de angivna Windows PowerShell modulerna installerade | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om en modul inte är tillgänglig på en plats som anges av miljövariabeln PSModulePath. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Windows datorer som inte begränsar den minsta lösenordslängden till 14 tecken | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om Windows datorer som inte begränsar den minsta lösenordslängden till 14 tecken | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska Windows datorer som inte lagrar lösenord med omvändbar kryptering | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är inkompatibla om Windows som inte lagrar lösenord med omvändbar kryptering | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska Windows datorer som inte har de angivna programmen installerade | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om programnamnet inte hittas i någon av följande registersökvägar: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 1.0.0 |
| Granska Windows datorer som har extra konton i gruppen Administratörer | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om den lokala gruppen Administratörer innehåller medlemmar som inte finns med i principparametern. | auditIfNotExists | 1.0.0 |
| Granska Windows datorer som inte har startats om inom det angivna antalet dagar | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om WMI-egenskapen LastBootUpTime i klassen Win32_Operatingsystem ligger utanför det antal dagar som anges av principparametern. | auditIfNotExists | 1.0.0 |
| Granska Windows datorer som har de angivna programmen installerade | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om programnamnet finns i någon av följande registersökvägar: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 1.0.0 |
| Granska Windows datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 1.0.0 |
| Granska Windows virtuella datorer med en väntande omstart | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . Datorer är icke-kompatibla om datorn väntar på omstart av någon av följande orsaker: komponentbaserad underhåll, Windows Update, väntande filbyte, väntande datorbyte, konfigurationshanteraren väntar på omstart. Varje identifiering har en unik registersökväg. | auditIfNotExists | 1.0.0 |
| Autentisering till Linux-datorer måste kräva SSH-nycklar | Även om SSH i sig tillhandahåller en krypterad anslutning gör användningen av lösenord med SSH fortfarande att den virtuella datorn är sårbar för nyckelsökningsattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt/privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed . | AuditIfNotExists, inaktiverad | 2.0.1 |
| [Förhandsversion: ] Azure Security-agenten ska vara installerad på dina Linux Arc-datorer | Installera Azure Security-agenten på dina Linux Arc-datorer för att övervaka datorernas säkerhetskonfigurationer och säkerhetsrisker. Resultatet av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion: ] Azure Security-agenten bör installeras på dina Windows Arc-datorer | Installera Azure Security-agenten på dina Windows Arc-datorer för att övervaka datorernas säkerhetskonfigurationer och säkerhetsrisker. Resultatet av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| Konfigurera Arc-aktiverade datorer som kör SQL Server ha SQL Server installerat. | För att säkerställa att SQL Server – Azure Arc-resurser skapas som standard när SQL Server-instansen hittas på Azure Arc-aktiverad Windows-server, bör det senare ha SQL Server-tillägget installerat och serverns hanterade identitet ska konfigureras med Azure Connected SQL Server Onboarding-rollen | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurera Beroendeagent på Azure Arc Linux-servrar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera beroendeagentens virtuella datortillägg. VM-insikter använder beroendeagenten för att samla in nätverksmått och identifierade data om processer som körs på datorn och externa processberoenden. Se mer – https://aka.ms/vminsightsdocs . | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurera beroendeagenten på Azure Arc aktiverade Windows servrar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera beroendeagentens virtuella datortillägg. VM-insikter använder beroendeagenten för att samla in nätverksmått och identifierade data om processer som körs på datorn och externa processberoenden. Se mer – https://aka.ms/vminsightsdocs . | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurera Log Analytics-agenten Azure Arc Linux-servrar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera Log Analytics-agentens tillägg för virtuella datorer. Vm-insikter använder Log Analytics-agenten för att samla in prestandadata för gästoperativsystem och ger insikter om deras prestanda. Se mer – https://aka.ms/vminsightsdocs . | DeployIfNotExists, Disabled | 2.0.0 |
| Konfigurera Log Analytics-agenten på Azure Arc aktiverade Windows servrar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera Log Analytics-agentens tillägg för virtuella datorer. Vm-insikter använder Log Analytics-agenten för att samla in prestandadata för gästoperativsystem och ger insikter om deras prestanda. Se mer – https://aka.ms/vminsightsdocs . | DeployIfNotExists, Disabled | 2.0.0 |
| [Förhandsversion: ] Konfigurera datorer för att ta emot en leverantör av sårbarhetsbedömning | Azure Defender omfattar sårbarhetsgenomsökning för dina datorer utan extra kostnad. Du behöver inte en Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Security Center. När du aktiverar den här Azure Defender distribuerar automatiskt Qualys-sårbarhetsbedömningsprovidern till alla datorer som stöds och som inte redan har den installerad. | DeployIfNotExists, Disabled | 2.2.0-förhandsversion |
| [Förhandsversion: ] Konfigurera Linux Arc-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera Linux Arc-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Linux Arc-måldatorerna måste finnas på en plats som stöds. | DeployIfNotExists, Disabled | 1.0.0-förhandsversion |
| [Förhandsversion: ] Konfigurera stödda Windows Arc-datorer så att Azure Security-agenten installeras automatiskt | Konfigurera stöd Windows Arc-datorer så att Azure Security-agenten installeras automatiskt. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Målet Windows Arc-datorer måste finnas på en plats som stöds. | DeployIfNotExists, Disabled | 1.0.0-förhandsversion |
| Konfigurera tidszon på Windows datorer. | Den här principen skapar en tilldelning av gästkonfiguration för att ange en angiven tidszon Windows virtuella datorer. | deployIfNotExists | 1.1.0 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Azure Security Center endpoint protection-lösningar som stöds dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows . Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection . | AuditIfNotExists, Disabled | 1.0.0 |
| Endpoint Protection ska installeras på dina datorer | Installera en endpoint protection-lösning som stöds för att skydda dina datorer mot hot och sårbarheter. | AuditIfNotExists, Disabled | 1.0.0 |
| [Förhandsversion: ] Linux-datorer bör uppfylla kraven för azure-beräkningssäkerhetsbaslinjen | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . Datorer är icke-kompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i azure-beräkningssäkerhetsbaslinjen. | AuditIfNotExists, Disabled | 1.1.1-förhandsversion |
| Linux-datorer bör bara ha lokala konton som tillåts | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . Att hantera användarkonton med Azure Active Directory är bästa praxis för hantering av identiteter. Genom att minska de lokala datorkontona kan du förhindra spridning av identiteter som hanteras utanför ett centralt system. Datorer är icke-kompatibla om det finns lokala användarkonton som är aktiverade och som inte visas i principparametern. | AuditIfNotExists, Disabled | 1.0.0 |
| [Förhandsversion: ] Log Analytics-agenten ska vara installerad på dina Linux Azure Arc datorer | Den här principen granskar Linux Azure Arc datorer om Log Analytics-agenten inte är installerad. | AuditIfNotExists, Disabled | 1.0.0-förhandsversion |
| [Förhandsversion: ] Log Analytics-agenten ska installeras på dina Windows Azure Arc datorer | Den här principen Windows Azure Arc datorer om Log Analytics-agenten inte är installerad. | AuditIfNotExists, Disabled | 1.0.0-förhandsversion |
| SQL-servrar på datorer bör ha lösta sårbarhetsresultat | SQL sårbarhetsbedömning genomsöker databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felaktiga konfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra din databassäkerhetsstatus. | AuditIfNotExists, Disabled | 1.0.0 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika angreppsvektorer och blockera beteenden som ofta används i attacker med skadlig kod samtidigt som företag kan balansera sina säkerhetsrisker och produktivitetskrav (endast Windows). | AuditIfNotExists, Disabled | 1.1.1 |
| Windows datorer måste uppfylla kraven för "Administrativa mallar – Kontrollpanelen" | Windows datorer ska ha de grupprincip inställningarna i kategorin "Administrativa mallar - Kontrollpanelen" för anpassning av indata och förhindra aktivering av låsskärmar. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, Disabled | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Administrativa mallar – MSS (äldre)" | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Administrativa mallar – MSS (äldre)" för automatisk inloggning, skärmsläckare, nätverksbeteende, säker DLL och händelselogg. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows ska uppfylla kraven för "Administrativa mallar – nätverk" | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Administrativa mallar – nätverk" för gästinloggningar, samtidiga anslutningar, nätverksbrygga, ICS och multicast-namnmatchning. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows ska uppfylla kraven för "Administrativa mallar – System" | Windows ska ha de grupprincip inställningarna i kategorin "Administrativa mallar – System" för inställningar som styr den administrativa upplevelsen och Fjärrhjälp. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för säkerhetsalternativ – konton | Windows datorer ska ha de grupprincip inställningarna i kategorin "Säkerhetsalternativ – Konton" för att begränsa användningen av tomma lösenord och gästkontostatus för lokala konton. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för säkerhetsalternativ – granskning | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – granskning" för att framtvinga granskningsprincipunderkategori och stänga av om det inte går att logga säkerhetsgranskningar. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – enheter" | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – Enheter" för avdockning utan inloggning, installation av utskriftsdrivrutiner och formatering/utmatning av media. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – interaktiv inloggning" | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – interaktiv inloggning" för att visa efternamn och kräva ctrl-alt-del. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – Microsoft-nätverksklient" | Windows datorer ska ha de grupprincip inställningarna i kategorin "Säkerhetsalternativ – Microsoft-nätverksklient" för Microsoft-nätverksklient/-server och SMB v1. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – Microsoft Network Server" | Windows ska ha de grupprincip inställningarna i kategorin "Säkerhetsalternativ – Microsoft-nätverksserver" för inaktivering av SMB v1-server. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för säkerhetsalternativ – nätverksåtkomst | Windows ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – nätverksåtkomst" för att inkludera åtkomst för anonyma användare, lokala konton och fjärråtkomst till registret. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för säkerhetsalternativ – nätverkssäkerhet | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – Nätverkssäkerhet" för att inkludera beteende för lokalt system, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – återställningskonsol" | Windows datorer ska ha de grupprincip inställningarna i kategorin "Säkerhetsalternativ – återställningskonsol" för att tillåta diskettkopiering och åtkomst till alla enheter och mappar. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – avstängning" | Windows ska ha de grupprincip inställningarna i kategorin "Säkerhetsalternativ – avstängning" för att tillåta avstängning utan inloggning och rensa den virtuella växlingsfilen för minne. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – Systemobjekt" | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – Systemobjekt" för fallokänsliga för icke-Windows-undersystem och behörigheter för interna systemobjekt. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – Systeminställningar" | Windows datorer ska ha de grupprincip inställningarna i kategorin "Säkerhetsalternativ – Systeminställningar" för certifikatregler för körbara filer för SRP och valfria undersystem. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – User Account Control" | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – User Account Control" för läge för administratörer, beteende för fråga om utökade privilegier samt virtualisering av skrivfel för filer och register. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Security Inställningar - Account Policies" (Säkerhetsprinciper – kontoprinciper) | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhet Inställningar – kontoprinciper" för lösenordshistorik, ålder, längd, komplexitet och lagring av lösenord med omvändbar kryptering. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol . | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows datorer måste uppfylla kraven för systemgranskningsprinciper – kontoinloggning | Windows datorer ska ha de grupprincip inställningarna i kategorin Systemgranskningsprinciper – kontoinloggning för granskning av verifiering av autentiseringsuppgifter och andra kontoinloggningshändelser. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, Disabled | 2.0.0 |
| Windows datorer måste uppfylla kraven för systemgranskningsprinciper – kontohantering | Windows datorer ska ha de grupprincip inställningarna i kategorin Systemgranskningsprinciper – Kontohantering för granskning av program, säkerhet och hantering av användargrupper och andra hanteringshändelser. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, Disabled | 2.0.0 |
| Windows datorer måste uppfylla kraven för systemgranskningsprinciper – detaljerad spårning | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin Systemgranskningsprinciper – detaljerad spårning för granskning av DPAPI, processskapande/-avslutning, RPC-händelser och PNP-aktivitet. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, Disabled | 2.0.0 |
| Windows datorer måste uppfylla kraven för "System audit policies - Logon-Logoff" (Systemgranskningsprinciper – inloggning och utloggning) | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "System audit policies - Logon-Logoff" for auditing IPSec, network policy, claims, account lockout, group membership, and logon/logoff events. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, Disabled | 2.0.0 |
| Windows datorer måste uppfylla kraven för systemgranskningsprinciper – objektåtkomst | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Systemgranskningsprinciper – objektåtkomst" för granskningsfil, register, SAM, lagring, filtrering, kernel och andra systemtyper. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, Disabled | 2.0.0 |
| Windows datorer uppfylla kraven för systemgranskningsprinciper – principändring | Windows datorer ska ha de grupprincip inställningarna i kategorin "Systemgranskningsprinciper – Principändring" för granskning av ändringar i systemgranskningsprinciper. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, Disabled | 2.0.0 |
| Windows datorer måste uppfylla kraven för systemgranskningsprinciper – privilegiumanvändning | Windows datorer ska ha de grupprincip inställningarna i kategorin "Systemgranskningsprinciper – Behörighetsanvändning" för granskning av behörighetsanvändning och annan behörighetsanvändning. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, Disabled | 2.0.0 |
| Windows datorer måste uppfylla kraven för systemgranskningsprinciper – system | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Systemgranskningsprinciper – System" för granskning av IPsec-drivrutin, systemintegritet, systemtillägg, tillståndsändring och andra systemhändelser. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, Disabled | 2.0.0 |
| Windows datorer måste uppfylla kraven för tilldelning av användarrättigheter | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Tilldelning av användarrättigheter" för att tillåta lokal inloggning, RDP, åtkomst från nätverket och många andra användaraktiviteter. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, Disabled | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Windows Components" | Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Windows-komponenter" för grundläggande autentisering, okrypterad trafik, Microsoft-konton, telemetri, Cortana och andra Windows beteenden. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, Disabled | 2.0.0 |
| Windows datorer måste uppfylla kraven för "Windows Firewall Properties" | Windows datorer ska ha de grupprincip inställningarna i kategorin "Windows-brandväggsegenskaper" för brandväggstillstånd, anslutningar, regelhantering och meddelanden. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . | AuditIfNotExists, Disabled | 2.0.0 |
| [Förhandsversion: ] Windows datorer måste uppfylla kraven för azure-beräkningssäkerhetsbaslinjen | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . Datorer är icke-kompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i azure-beräkningssäkerhetsbaslinjen. | AuditIfNotExists, Disabled | 1.0.1-förhandsversion |
| Windows datorer endast ha lokala konton som tillåts | Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol . Den här definitionen stöds inte på Windows Server 2012 eller 2012 R2. Att hantera användarkonton med Azure Active Directory är bästa praxis för hantering av identiteter. Genom att minska de lokala datorkontona kan du förhindra spridning av identiteter som hanteras utanför ett centralt system. Datorer är icke-kompatibla om det finns lokala användarkonton som är aktiverade och som inte visas i principparametern. | AuditIfNotExists, Disabled | 1.0.0 |
| Windows webbservrar ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som förmedlas via Internet bör dina webbservrar använda den senaste versionen av det branschstandardbaserade kryptografiska protokollet Transport Layer Security (TLS). TLS skyddar kommunikationen över ett nätverk med hjälp av säkerhetscertifikat för att kryptera en anslutning mellan datorer. | AuditIfNotExists, Disabled | 3.0.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.