Inbyggda Azure Policy-definitioner för Azure Arc-aktiverade servrar
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure Arc-aktiverade servrar. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure Arc-aktiverade servrar
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: En hanterad identitet ska vara aktiverad på dina datorer | Resurser som hanteras av automatisk hantering bör ha en hanterad identitet. | Granskning, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Automatisk hantering av konfigurationsprofiltilldelningen ska vara överensstämmelse | Resurser som hanteras av automatisk hantering bör ha statusen Conformant eller ConformantCorrected. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Security-agenten ska vara installerad på dina Linux Arc-datorer | Installera Azure Security-agenten på dina Linux Arc-datorer för att övervaka dina datorer för säkerhetskonfigurationer och säkerhetsrisker. Resultaten av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Security-agenten ska vara installerad på dina Windows Arc-datorer | Installera Azure Security-agenten på dina Windows Arc-datorer för att övervaka dina datorer för säkerhetskonfigurationer och säkerhetsrisker. Resultaten av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget ska vara installerat på Linux Arc-datorn | Installera ChangeTracking-tillägget på Linux Arc-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget ska vara installerat på din Windows Arc-dator | Installera ChangeTracking-tillägget på Windows Arc-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Azure Arc-aktiverade Linux-datorer med Log Analytics-agenter som är anslutna till standardarbetsytan i Log Analytics | Skydda dina Azure Arc-aktiverade Linux-datorer med Microsoft Defender för molnet funktioner genom att installera Log Analytics-agenter som skickar data till en Standard Log Analytics-arbetsyta som skapats av Microsoft Defender för molnet. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Azure Arc-aktiverade Windows-datorer med Log Analytics-agenter som är anslutna till standardarbetsytan i Log Analytics | Skydda dina Azure Arc-aktiverade Windows-datorer med Microsoft Defender för molnet funktioner genom att installera Log Analytics-agenter som skickar data till en Standard Log Analytics-arbetsyta som skapats av Microsoft Defender för molnet. | DeployIfNotExists, inaktiverad | 1.1.0-förhandsversion |
| [Förhandsversion]: Konfigurera ChangeTracking-tillägget för Linux Arc-datorer | Konfigurera Linux Arc-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera ChangeTracking-tillägget för Windows Arc-datorer | Konfigurera Windows Arc-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera Linux Arc-aktiverade datorer så att de associeras med en datainsamlingsregel för ChangeTracking och Inventory | Distribuera Association för att länka Linux Arc-aktiverade datorer till den angivna datainsamlingsregeln för att aktivera ChangeTracking och Inventory. Listan över platser uppdateras med tiden i takt med att supporten ökar. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Linux Arc-aktiverade datorer för att installera AMA för ChangeTracking och Inventory | Automatisera distributionen av Azure Monitor Agent-tillägget på dina Linux Arc-aktiverade datorer för att aktivera ChangeTracking och Inventory. Den här principen installerar tillägget om regionen stöds. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.3.0-preview |
| [Förhandsversion]: Konfigurera Linux Arc-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera Linux Arc-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Linux Arc-måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Windows Arc-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera Windows Arc-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Windows Arc-måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Windows Arc-aktiverade datorer så att de associeras med en datainsamlingsregel för ChangeTracking och Inventory | Distribuera association för att länka Windows Arc-aktiverade datorer till den angivna datainsamlingsregeln för att aktivera ChangeTracking och Inventory. Listan över platser uppdateras med tiden i takt med att supporten ökar. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Windows Arc-aktiverade datorer för att installera AMA för ChangeTracking och Inventory | Automatisera distributionen av Azure Monitor Agent-tillägget på dina Windows Arc-aktiverade datorer för att aktivera ChangeTracking och Inventory. Den här principen installerar tillägget om operativsystemet och regionen stöds och systemtilldelad hanterad identitet är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Windows Server för att inaktivera lokala användare. | Skapar en gästkonfigurationstilldelning för att konfigurera inaktivering av lokala användare på Windows Server. Detta säkerställer att Windows-servrar endast kan nås av AAD-konto (Azure Active Directory) eller en lista över uttryckligen tillåtna användare av den här principen, vilket förbättrar den övergripande säkerhetsstatusen. | DeployIfNotExists, inaktiverad | 1.2.0-preview |
| [Förhandsversion]: Neka licensskapande eller ändring av utökad säkerhet Uppdateringar (ESUs). | Med den här principen kan du begränsa skapandet eller ändringen av ESU-licenser för Windows Server 2012 Arc-datorer. Mer information om priser finns i https://aka.ms/ArcWS2012ESUPricing | Neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Distribuera Microsoft Defender för Endpoint-agenten på Linux-hybriddatorer | Distribuerar Microsoft Defender för Endpoint-agenten på Linux-hybriddatorer | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.1-förhandsversion |
| [Förhandsversion]: Distribuera Microsoft Defender för Endpoint-agenten på Windows Azure Arc-datorer | Distribuerar Microsoft Defender för Endpoint på Windows Azure Arc-datorer. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.1-förhandsversion |
| [Förhandsversion]: Aktivera licens för utökad säkerhet Uppdateringar (ESUs) för att skydda Windows 2012-datorer efter att supportlivscykeln har avslutats. | Aktivera licens för utökad säkerhet Uppdateringar (ESUs) för att skydda Windows 2012-datorer även efter att deras supportlivscykel har avslutats. Lär dig hur du förbereder för att leverera utökad säkerhet Uppdateringar för Windows Server 2012 via AzureArc.https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates Mer information om priser finns i https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Utökad säkerhet Uppdateringar ska installeras på Windows Server 2012 Arc-datorer. | Windows Server 2012 Arc-datorer bör ha installerat alla extended security-Uppdateringar som släppts av Microsoft. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Linux-datorer bör uppfylla kraven för Azure-säkerhetsbaslinjen för Docker-värdar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorn är inte korrekt konfigurerad för någon av rekommendationerna i Azure-säkerhetsbaslinjen för Docker-värdar. | AuditIfNotExists, inaktiverad | 1.2.0-preview |
| [Förhandsversion]: Linux-datorer bör uppfylla STIG-efterlevnadskrav för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i STIG-efterlevnadskravet för Azure-beräkning. DISA (Defense Information Systems Agency) tillhandahåller tekniska guider STIG (Security Technical Implementation Guide) för att skydda beräkningsoperativsystemet enligt vad som krävs av Department of Defense (DoD). Mer information finns i https://public.cyber.mil/stigs/. | AuditIfNotExists, inaktiverad | 1.2.0-preview |
| [Förhandsversion]: Linux-datorer med OMI installerat bör ha version 1.6.8-1 eller senare | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. På grund av en säkerhetskorrigering som ingår i version 1.6.8-1 av OMI-paketet för Linux bör alla datorer uppdateras till den senaste versionen. Uppgradera appar/paket som använder OMI för att lösa problemet. Mer information finns i https://aka.ms/omiguidance. | AuditIfNotExists, inaktiverad | 1.2.0-preview |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer | Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer | Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Nexus Compute Machines bör uppfylla säkerhetsbaslinjen | Använder Azure Policy-gästkonfigurationsagenten för granskning. Den här principen säkerställer att datorerna följer nexus-beräkningssäkerhetsbaslinjen, som omfattar olika rekommendationer som utformats för att stärka datorer mot en rad sårbarheter och osäkra konfigurationer (endast Linux). | AuditIfNotExists, inaktiverad | 1.1.0-förhandsversion |
| [Förhandsversion]: Systemuppdateringar bör installeras på dina datorer (drivs av Uppdateringscenter) | Dina datorer saknar system, säkerhet och kritiska uppdateringar. Programuppdateringar innehåller ofta viktiga korrigeringar av säkerhetshål. Sådana hål utnyttjas ofta i attacker mot skadlig kod, så det är viktigt att hålla programvaran uppdaterad. Följ reparationsstegen för att installera alla utestående korrigeringar och skydda dina datorer. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Windows-datorer bör uppfylla STIG-efterlevnadskrav för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i STIG-efterlevnadskrav för Azure-beräkning. DISA (Defense Information Systems Agency) tillhandahåller tekniska guider STIG (Security Technical Implementation Guide) för att skydda beräkningsoperativsystemet enligt vad som krävs av Department of Defense (DoD). Mer information finns i https://public.cyber.mil/stigs/. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörighet för passwd-filen har angetts till 0644 | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Linux-datorer som inte har de angivna programmen installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Chef InSpec-resursen anger att ett eller flera av paketen som tillhandahålls av parametern inte är installerade. | AuditIfNotExists, inaktiverad | 4.2.0 |
| Granska Linux-datorer som har konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som har konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Linux-datorer som har de angivna programmen installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Chef InSpec-resursen anger att ett eller flera av paketen som tillhandahålls av parametern är installerade. | AuditIfNotExists, inaktiverad | 4.2.0 |
| Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer inte innehåller en eller flera medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Granska nätverksanslutningar för Windows-datorer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är icke-kompatibla om en nätverksanslutningsstatus till en IP- och TCP-port inte matchar principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer där DSC-konfigurationen inte är kompatibel | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows PowerShell-kommandot Get-DSCConfigurationStatus returnerar att DSC-konfigurationen för datorn inte är kompatibel. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer där Log Analytics-agenten inte är ansluten som förväntat | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om agenten inte är installerad eller om den är installerad men COM-objektet AgentConfigManager.MgmtSvcCfg returnerar att den är registrerad på en annan arbetsyta än det ID som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer där de angivna tjänsterna inte är installerade och "Körs" | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om resultatet av Windows PowerShell-kommandot Get-Service inte innehåller tjänstnamnet med matchande status enligt principparametern. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer där Windows-seriekonsolen inte är aktiverad | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte har seriekonsolprogramvaran installerad eller om EMS-portnumret eller överföringshastigheten inte har konfigurerats med samma värden som principparametrarna. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord. Standardvärdet för unika lösenord är 24 | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte är anslutna till den angivna domänen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om värdet för egenskapen Domän i WMI-klassen win32_computersystem inte matchar värdet i principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som inte är inställda på den angivna tidszonen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om värdet för egenskapen StandardName i WMI-klassen Win32_TimeZone inte matchar den valda tidszonen för principparametern. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer som innehåller certifikat som upphör att gälla inom det angivna antalet dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om certifikaten i det angivna arkivet har ett utgångsdatum som är inaktuellt för det antal dagar som anges som parameter. Principen ger också möjlighet att endast söka efter specifika certifikat eller exkludera specifika certifikat och om du vill rapportera om utgångna certifikat. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som inte innehåller de angivna certifikaten i betrodd rot | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorns betrodda rotcertifikatarkiv (Cert:\LocalMachine\Root) inte innehåller ett eller flera av de certifikat som anges av principparametern. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer som inte har den högsta lösenordsåldern inställd på angivet antal dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den högsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för maximal lösenordsålder är 70 dagar | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte har den lägsta lösenordsåldern inställd på angivet antal dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den lägsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för lägsta lösenordsålder är 1 dag | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Windows-datorer som inte har den angivna Windows PowerShell-körningsprincipen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows PowerShell-kommandot Get-ExecutionPolicy returnerar ett annat värde än det som valdes i principparametern. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska Windows-datorer som inte har de angivna Windows PowerShell-modulerna installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om en modul inte är tillgänglig på en plats som anges av miljövariabeln PSModulePath. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte begränsar minsta längd på lösenord till angivet antal tecken. Standardvärdet för minsta längd på lösenord är 14 tecken | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Windows-datorer som inte har de angivna programmen installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är icke-kompatibla om programnamnet inte finns i någon av följande registersökvägar: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som har extra konton i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller medlemmar som inte visas i principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som inte har startats om inom det angivna antalet dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om WMI-egenskapen LastBootUpTime i klass Win32_Operatingsystem ligger utanför det antal dagar som anges av principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som har de angivna programmen installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är icke-kompatibla om programnamnet finns i någon av följande registersökvägar: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Granska virtuella Windows-datorer med en väntande omstart | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn väntar på omstart av någon av följande orsaker: komponentbaserad service, Windows Update, väntande filbyte, väntande datorbyte, konfigurationshanteraren väntar på omstart. Varje identifiering har en unik registersökväg. | auditIfNotExists | 2.0.0 |
| Autentisering till Linux-datorer bör kräva SSH-nycklar | Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Azure Arc Private Link-omfång bör konfigureras med en privat slutpunkt | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Arc Private Link-omfång minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Arc Private Link-omfång bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att Azure Arc-resurser inte kan ansluta via det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av Azure Arc-resurser. Läs mer på: https://aka.ms/arc/privatelink. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Arc-aktiverade servrar bör konfigureras med ett Azure Arc Private Link-omfång | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa Azure Arc-aktiverade servrar till ett Azure Arc Private Link-omfång som har konfigurerats med en privat slutpunkt minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera Arc-aktiverade servrar med SQL Server-tillägget installerat för att aktivera eller inaktivera utvärdering av SQL-metodtips. | Aktivera eller inaktivera utvärdering av SQL-metodtips på SQL-serverinstanserna på dina Arc-aktiverade servrar för att utvärdera metodtips. Läs mer på https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Arc-aktiverade SQL-servrar för att automatiskt installera Azure Monitor Agent | Automatisera distributionen av Azure Monitor Agent-tillägget på dina Windows Arc-aktiverade SQL-servrar. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.3.0 |
| Konfigurera Arc-aktiverade SQL-servrar för automatisk installation av Microsoft Defender för SQL | Konfigurera Windows Arc-aktiverade SQL-servrar för att automatiskt installera Microsoft Defender för SQL-agenten. Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera Arc-aktiverade SQL-servrar för att automatiskt installera Microsoft Defender för SQL och DCR med en Log Analytics-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp, en datainsamlingsregel och Log Analytics-arbetsyta i samma region som datorn. | DeployIfNotExists, inaktiverad | 1.4.0 |
| Konfigurera Arc-aktiverade SQL-servrar för att automatiskt installera Microsoft Defender för SQL och DCR med en användardefinierad LA-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp och en datainsamlingsregel i samma region som den användardefinierade Log Analytics-arbetsytan. | DeployIfNotExists, inaktiverad | 1.5.0 |
| Konfigurera Arc-aktiverade SQL-servrar med regelassociation för datainsamling till Microsoft Defender för SQL DCR | Konfigurera associationen mellan Arc-aktiverade SQL-servrar och Microsoft Defender för SQL DCR. Om du tar bort den här associationen bryts identifieringen av säkerhetsrisker för dessa Arc-aktiverade SQL-servrar. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera Arc-aktiverade SQL-servrar med datainsamlingsregelassociation till Microsoft Defender för SQL-användardefinierad DCR | Konfigurera associationen mellan Arc-aktiverade SQL-servrar och användardefinierad DCR för Microsoft Defender för SQL. Om du tar bort den här associationen bryts identifieringen av säkerhetsrisker för dessa Arc-aktiverade SQL-servrar. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera Azure Arc Private Link-omfång för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för ditt Azure Arc Private Link-omfång så att associerade Azure Arc-resurser inte kan ansluta till Azure Arc-tjänster via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/arc/privatelink. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera Azure Arc Private Link-omfång med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Arc Private Link-omfång kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Konfigurera Azure Arc-aktiverade servrar för att använda ett Azure Arc Private Link-omfång | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa Azure Arc-aktiverade servrar till ett Azure Arc Private Link-omfång som har konfigurerats med en privat slutpunkt minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera att Azure Defender för servrar ska inaktiveras för alla resurser (resursnivå) | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Den här principen inaktiverar Defender for Servers-planen för alla resurser (virtuella datorer, VMSS och ARC-datorer) i det valda omfånget (prenumeration eller resursgrupp). | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera att Azure Defender för servrar ska inaktiveras för resurser (resursnivå) med den valda taggen | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Den här principen inaktiverar Defender for Servers-planen för alla resurser (virtuella datorer, VMSS och ARC-datorer) som har det valda taggnamnet och taggvärdena. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Defender för servrar som ska aktiveras ("P1"-underplan) för alla resurser (resursnivå) med den valda taggen | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Den här principen aktiverar Defender for Servers-planen (med underplanen P1) för alla resurser (virtuella datorer och ARC-datorer) som har det valda taggnamnet och taggvärdet. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Defender för servrar som ska aktiveras (med underplanen P1) för alla resurser (resursnivå) | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Den här principen aktiverar Defender for Servers-planen (med underplanen P1) för alla resurser (virtuella datorer och ARC-datorer) i det valda omfånget (prenumeration eller resursgrupp). | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera beroendeagent på Azure Arc-aktiverade Linux-servrar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera tillägget för den virtuella beroendeagenten. VM-insikter använder beroendeagenten för att samla in nätverksmått och identifierade data om processer som körs på datorn och externa processberoenden. Se mer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Konfigurera beroendeagent på Azure Arc-aktiverade Linux-servrar med Azure Monitoring Agent-inställningar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera tillägget för den virtuella beroendeagenten med Azure Monitoring Agent-inställningar. VM-insikter använder beroendeagenten för att samla in nätverksmått och identifierade data om processer som körs på datorn och externa processberoenden. Se mer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, inaktiverad | 1.1.2 |
| Konfigurera beroendeagent på Azure Arc-aktiverade Windows-servrar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera tillägget för den virtuella beroendeagenten. VM-insikter använder beroendeagenten för att samla in nätverksmått och identifierade data om processer som körs på datorn och externa processberoenden. Se mer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, inaktiverad | 2.0.0 |
| Konfigurera beroendeagent på Azure Arc-aktiverade Windows-servrar med Azure Monitoring Agent-inställningar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera tillägget för den virtuella beroendeagenten med Azure Monitoring Agent-inställningar. VM-insikter använder beroendeagenten för att samla in nätverksmått och identifierade data om processer som körs på datorn och externa processberoenden. Se mer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, inaktiverad | 1.1.2 |
| Konfigurera Linux Arc-datorer så att de associeras med en datainsamlingsregel eller en datainsamlingsslutpunkt | Distribuera association för att länka Linux Arc-datorer till den angivna datainsamlingsregeln eller den angivna datainsamlingsslutpunkten. Listan över platser uppdateras med tiden i takt med att supporten ökar. | DeployIfNotExists, inaktiverad | 2.2.0 |
| Konfigurera Linux Arc-aktiverade datorer för att köra Azure Monitor-agenten | Automatisera distributionen av Azure Monitor Agent-tillägget på dina Linux Arc-aktiverade datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget om regionen stöds. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 2.4.0 |
| Konfigurera Linux-datorer som ska associeras med en datainsamlingsregel eller en slutpunkt för datainsamling | Distribuera association för att länka virtuella Linux-datorer, VM-skalningsuppsättningar och Arc-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 6.3.0 |
| Konfigurera Linux Server för att inaktivera lokala användare. | Skapar en gästkonfigurationstilldelning för att konfigurera inaktivering av lokala användare på Linux Server. Detta säkerställer att Linux-servrar endast kan nås av AAD-konto (Azure Active Directory) eller en lista över uttryckligen tillåtna användare av den här principen, vilket förbättrar den övergripande säkerhetsstatusen. | DeployIfNotExists, inaktiverad | 1.3.0-preview |
| Konfigurera Log Analytics-tillägget på Azure Arc-aktiverade Linux-servrar. Se utfasningsmeddelandet nedan | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera log analytics-tillägget för virtuella datorer. VM-insikter använder Log Analytics-agenten för att samla in prestandadata för gästoperativsystemet och ger insikter om deras prestanda. Se mer - https://aka.ms/vminsightsdocs. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningssökväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet | DeployIfNotExists, inaktiverad | 2.1.1 |
| Konfigurera Log Analytics-tillägget på Azure Arc-aktiverade Windows-servrar | Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera log analytics-tillägget för virtuella datorer. VM-insikter använder Log Analytics-agenten för att samla in prestandadata för gästoperativsystemet och ger insikter om deras prestanda. Se mer - https://aka.ms/vminsightsdocs. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningssökväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet. | DeployIfNotExists, inaktiverad | 2.1.1 |
| Konfigurera datorer för att ta emot en provider för sårbarhetsbedömning | Azure Defender innehåller sårbarhetsgenomsökning för dina datorer utan extra kostnad. Du behöver inte en Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Security Center. När du aktiverar den här principen distribuerar Azure Defender automatiskt qualys-sårbarhetsbedömningsprovidern till alla datorer som stöds och som inte redan har den installerad. | DeployIfNotExists, inaktiverad | 4.0.0 |
| Konfigurera periodisk kontroll av saknade systemuppdateringar på Azure Arc-aktiverade servrar | Konfigurera automatisk utvärdering (var 24:e timme) för OS-uppdateringar på Azure Arc-aktiverade servrar. Du kan styra tilldelningsomfånget enligt maskinprenumeration, resursgrupp, plats eller tagg. Läs mer om detta för Windows: https://aka.ms/computevm-windowspatchassessmentmode, för Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.2.1 |
| Konfigurera protokoll för säker kommunikation (TLS 1.1 eller TLS 1.2) på Windows-datorer | Skapar en gästkonfigurationstilldelning för att konfigurera den angivna säkerhetsprotokollversionen (TLS 1.1 eller TLS 1.2) på Windows-datorn. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Arbetsytan Microsoft Defender för SQL Log Analytics | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp och Log Analytics-arbetsyta i samma region som datorn. | DeployIfNotExists, inaktiverad | 1.3.0 |
| Konfigurera tidszon på Windows-datorer. | Den här principen skapar en gästkonfigurationstilldelning för att ange angiven tidszon på virtuella Windows-datorer. | deployIfNotExists | 2.1.0 |
| Konfigurera virtuella datorer som ska registreras i Azure Automanage | Azure Automanage registrerar, konfigurerar och övervakar virtuella datorer med bästa praxis enligt definitionen i Microsoft Cloud Adoption Framework för Azure. Använd den här principen för att tillämpa automatisk hantering på det valda omfånget. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 2.4.0 |
| Konfigurera virtuella datorer som ska registreras i Azure Automanage med anpassad konfigurationsprofil | Azure Automanage registrerar, konfigurerar och övervakar virtuella datorer med bästa praxis enligt definitionen i Microsoft Cloud Adoption Framework för Azure. Använd den här principen för att tillämpa automatisk hantering med din egen anpassade konfigurationsprofil för det valda omfånget. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.4.0 |
| Konfigurera Att Windows Arc-datorer associeras med en datainsamlingsregel eller en slutpunkt för datainsamling | Distribuera association för att länka Windows Arc-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser uppdateras med tiden i takt med att supporten ökar. | DeployIfNotExists, inaktiverad | 2.2.0 |
| Konfigurera Windows Arc-aktiverade datorer för att köra Azure Monitor-agenten | Automatisera distributionen av Azure Monitor Agent-tillägget på dina Windows Arc-aktiverade datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och systemtilldelad hanterad identitet är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 2.4.0 |
| Konfigurera Windows-datorer som ska associeras med en datainsamlingsregel eller en slutpunkt för datainsamling | Distribuera association för att länka virtuella Windows-datorer, VM-skalningsuppsättningar och Arc-datorer till den angivna datainsamlingsregeln eller den angivna datainsamlingsslutpunkten. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 4.5.0 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Slutpunktsskyddslösningar som stöds i Azure Security Center dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Slutpunktsskydd ska installeras på dina datorer | Installera en slutpunktsskyddslösning som stöds för att skydda dina datorer mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Linux Arc-aktiverade datorer bör ha Azure Monitor-agenten installerad | Linux Arc-aktiverade datorer bör övervakas och skyddas via den distribuerade Azure Monitor-agenten. Azure Monitor-agenten samlar in telemetridata från gästoperativsystemet. Den här principen granskar Arc-aktiverade datorer i regioner som stöds. Läs mer: https://aka.ms/AMAOverview. | AuditIfNotExists, inaktiverad | 1.2.0 |
| Linux-datorer bör ha Log Analytics-agent installerad på Azure Arc | Datorer är inkompatibla om Log Analytics-agenten inte är installerad på Azure Arc-aktiverad Linux-server. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.2.0 |
| Linux-datorer bör endast ha lokala konton som är tillåtna | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Att hantera användarkonton med Hjälp av Azure Active Directory är en bra metod för hantering av identiteter. Genom att minska antalet lokala datorkonton kan du förhindra spridning av identiteter som hanteras utanför ett centralt system. Datorer är inkompatibla om det finns lokala användarkonton som är aktiverade och inte anges i principparametern. | AuditIfNotExists, inaktiverad | 2.2.0 |
| Lokala autentiseringsmetoder bör inaktiveras på Linux-datorer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-servrar inte har inaktiverat lokala autentiseringsmetoder. Detta är för att verifiera att Linux-servrar endast kan nås av AAD-konto (Azure Active Directory) eller en lista över uttryckligen tillåtna användare av den här principen, vilket förbättrar den övergripande säkerhetsstatusen. | AuditIfNotExists, inaktiverad | 1.2.0-preview |
| Lokala autentiseringsmetoder bör inaktiveras på Windows-servrar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-servrar inte har inaktiverat lokala autentiseringsmetoder. Detta är för att verifiera att Windows-servrar endast kan nås av AAD-konto (Azure Active Directory) eller en lista över uttryckligen tillåtna användare av den här principen, vilket förbättrar den övergripande säkerhetsstatusen. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| Datorer bör konfigureras för att regelbundet söka efter systemuppdateringar som saknas | För att säkerställa att periodiska utvärderingar för saknade systemuppdateringar utlöses automatiskt var 24:e timme ska egenskapen AssessmentMode vara inställd på "AutomaticByPlatform". Läs mer om egenskapen AssessmentMode för Windows: https://aka.ms/computevm-windowspatchassessmentmode, för Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Granska, neka, inaktiverad | 3.7.0 |
| Schemalägga återkommande uppdateringar med Hjälp av Azure Update Manager | Du kan använda Azure Update Manager i Azure för att spara återkommande distributionsscheman för att installera operativsystemuppdateringar för dina Windows Server- och Linux-datorer i Azure, i lokala miljöer och i andra molnmiljöer som är anslutna med Hjälp av Azure Arc-aktiverade servrar. Den här principen ändrar även korrigeringsläget för den virtuella Azure-datorn till "AutomaticByPlatform". Läs mer: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, inaktiverad | 3.10.0 |
| SQL-servrar på datorer bör ha sårbarhetsresultat lösta | SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Prenumerera på berättigade Arc-aktiverade SQL Servers-instanser till Utökad säkerhet Uppdateringar. | Prenumerera på berättigade Arc-aktiverade SQL Servers-instanser med licenstyp inställd på Betald eller PAYG till Utökad säkerhet Uppdateringar. Mer information om utökade säkerhetsuppdateringar https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Det äldre Log Analytics-tillägget bör inte installeras på Azure Arc-aktiverade Linux-servrar | Förhindra automatiskt installation av den äldre Log Analytics-agenten som det sista steget för att migrera från äldre agenter till Azure Monitor Agent. När du har avinstallerat befintliga äldre tillägg nekar den här principen alla framtida installationer av det äldre agenttillägget på Azure Arc-aktiverade Linux-servrar. Lära sig mer: https://aka.ms/migratetoAMA | Neka, Granska, Inaktiverad | 1.0.0 |
| Det äldre Log Analytics-tillägget bör inte installeras på Azure Arc-aktiverade Windows-servrar | Förhindra automatiskt installation av den äldre Log Analytics-agenten som det sista steget för att migrera från äldre agenter till Azure Monitor Agent. När du har avinstallerat befintliga äldre tillägg nekar den här principen alla framtida installationer av det äldre agenttillägget på Azure Arc-aktiverade Windows-servrar. Lära sig mer: https://aka.ms/migratetoAMA | Neka, Granska, Inaktiverad | 1.0.0 |
| Windows Arc-aktiverade datorer bör ha Azure Monitor-agenten installerad | Windows Arc-aktiverade datorer bör övervakas och skyddas via den distribuerade Azure Monitor-agenten. Azure Monitor-agenten samlar in telemetridata från gästoperativsystemet. Windows Arc-aktiverade datorer i regioner som stöds övervakas för distribution av Azure Monitor Agent. Läs mer: https://aka.ms/AMAOverview. | AuditIfNotExists, inaktiverad | 1.2.0 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
| Windows-datorer bör konfigurera Windows Defender för att uppdatera skyddssignaturer inom en dag | För att ge tillräckligt skydd mot nyligen släppt skadlig kod måste Windows Defender-skyddssignaturer uppdateras regelbundet för att ta hänsyn till nyligen släppt skadlig kod. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Windows-datorer bör aktivera Realtidsskydd för Windows Defender | Windows-datorer bör aktivera realtidsskydd i Windows Defender för att ge tillräckligt skydd mot nyligen släppt skadlig kod. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Windows-datorer bör ha Log Analytics-agent installerad på Azure Arc | Datorer är inkompatibla om Log Analytics-agenten inte är installerad på Azure Arc-aktiverad Windows-server. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows-datorer bör uppfylla kraven för "Administrativa mallar – Kontrollpanelen" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Administrativa mallar – Kontrollpanelen för anpassning av indata och förebyggande av aktivering av låsskärmar. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Administrativa mallar – MSS (äldre)" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Administrativa mallar – MSS (äldre)" för automatisk inloggning, skärmsläckare, nätverksbeteende, säker DLL och händelselogg. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Administrativa mallar – nätverk" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Administrativa mallar – nätverk för gästinloggningar, samtidiga anslutningar, nätverksbrygga, ICS och namnmatchning för flera sändningar. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Administrativa mallar – system" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Administrativa mallar – system" för inställningar som styr den administrativa upplevelsen och fjärrhjälp. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – konton" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Säkerhetsalternativ – konton för att begränsa användningen av tomma lösenord och gästkontostatus för lokala konton. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – granskning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – granskning" för att tvinga granskningsprincipunderkategori och stänga om det inte går att logga säkerhetsgranskningar. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – enheter" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – Enheter" för avdockning utan att logga in, installera utskriftsdrivrutiner och formatera/mata ut media. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – interaktiv inloggning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – interaktiv inloggning" för att visa efternamn och kräva ctrl-alt-del. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Microsoft Network Client" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – Microsoft Network Client" för Microsoft-nätverksklienten/servern och SMB v1. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Microsoft Network Server" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Säkerhetsalternativ – Microsoft Network Server för att inaktivera SMB v1-servern. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – nätverksåtkomst" för att inkludera åtkomst för anonyma användare, lokala konton och fjärråtkomst till registret. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – återställningskonsol" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Säkerhetsalternativ – återställningskonsol för att tillåta diskettkopiering och åtkomst till alla enheter och mappar. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – avstängning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – avstängning" för att tillåta avstängning utan inloggning och rensa den virtuella minnessidefilen. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – systemobjekt" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – Systemobjekt" för skiftlägesokänslighet för icke-Windows-undersystem och behörigheter för interna systemobjekt. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Systeminställningar" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Säkerhetsalternativ – Systeminställningar för certifikatregler för körbara filer för SRP och valfria undersystem. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Användarkontokontroll" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – Användarkontokontroll" för läge för administratörer, beteende för utökade privilegier och virtualisering av fil- och registerskrivningsfel. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhet Inställningar – Kontoprinciper" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhet Inställningar – Kontoprinciper" för lösenordshistorik, ålder, längd, komplexitet och lagring av lösenord med hjälp av reversibel kryptering. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – kontoinloggning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – kontoinloggning" för granskning av validering av autentiseringsuppgifter och andra kontoinloggningshändelser. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – kontohantering" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – Kontohantering" för granskning av program, säkerhet och hantering av användargrupper och andra hanteringshändelser. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – detaljerad spårning" för granskning av DPAPI, processskapande/avslutning, RPC-händelser och PNP-aktivitet. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för systemgranskningsprinciper – inloggning | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – inloggningsloggning" för granskning av IPSec, nätverksprincip, anspråk, kontoutelåsning, gruppmedlemskap och inloggnings-/utloggningshändelser. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – objektåtkomst" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – objektåtkomst" för granskning av fil, register, SAM, lagring, filtrering, kernel och andra systemtyper. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – principändring" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – principändring" för granskning av ändringar i systemgranskningsprinciper. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – Privilegierad användning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – Privilegierad användning" för granskning av meningslös och annan behörighetsanvändning. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för systemgranskningsprinciper – system | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – system" för granskning av IPsec-drivrutin, systemintegritet, systemtillägg, tillståndsändring och andra systemhändelser. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Tilldelning av användarrättigheter" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Tilldelning av användarrättigheter" för att tillåta inloggning lokalt, RDP, åtkomst från nätverket och många andra användaraktiviteter. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Windows-komponenter" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Windows-komponenter" för grundläggande autentisering, okrypterad trafik, Microsoft-konton, telemetri, Cortana och andra Windows-beteenden. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Windows-brandväggsegenskaper" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Windows-brandväggsegenskaper" för brandväggstillstånd, anslutningar, regelhantering och meddelanden. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows-datorer bör endast ha lokala konton som är tillåtna | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Den här definitionen stöds inte på Windows Server 2012 eller 2012 R2. Att hantera användarkonton med Hjälp av Azure Active Directory är en bra metod för hantering av identiteter. Genom att minska antalet lokala datorkonton kan du förhindra spridning av identiteter som hanteras utanför ett centralt system. Datorer är inkompatibla om det finns lokala användarkonton som är aktiverade och inte anges i principparametern. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows-datorer bör schemalägga Windows Defender för att utföra en schemalagd genomsökning varje dag | För att säkerställa snabb identifiering av skadlig kod och minimera dess inverkan på systemet rekommenderar vi att Windows-datorer med Windows Defender schemalägger en daglig genomsökning. Kontrollera att Windows Defender stöds, är förinstallerat på enheten och att förhandskraven för gästkonfiguration har distribuerats. Om dessa krav inte uppfylls kan det leda till felaktiga utvärderingsresultat. Läs mer om gästkonfiguration på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.2.0 |
| Windows-datorer bör använda standardservern för NTP | Konfigurera "time.windows.com" som standard NTP-server för alla Windows-datorer för att säkerställa att loggar i alla system har systemklockor som alla är synkroniserade. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.