Inbyggda Azure Policy-definitioner för virtuella Azure-datorer
Gäller för: ✔️ Virtuella Linux-datorer ✔️ med virtuella Windows-datorer ✔️ – flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar
Den här sidan är ett index över inbyggda principdefinitioner för Azure Policy för Virtuella Azure-datorer. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Microsoft.Compute
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: En hanterad identitet ska vara aktiverad på dina datorer | Resurser som hanteras av automatisk hantering bör ha en hanterad identitet. | Granskning, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Lägg till användartilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer | Den här principen lägger till en användartilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration. En användartilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 2.1.0-preview |
| [Förhandsversion]: Tilldela inbyggd användartilldelad hanterad identitet till VM-skalningsuppsättningar | Skapa och tilldela en inbyggd användartilldelad hanterad identitet eller tilldela en i förväg skapad användartilldelad hanterad identitet i stor skala till vm-skalningsuppsättningar. Mer detaljerad dokumentation finns i aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.0.6-förhandsversion |
| [Förhandsversion]: Tilldela inbyggd användartilldelad hanterad identitet till virtuella datorer | Skapa och tilldela en inbyggd användartilldelad hanterad identitet eller tilldela en i förväg skapad användartilldelad hanterad identitet i stor skala till virtuella datorer. Mer detaljerad dokumentation finns i aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.0.6-förhandsversion |
| [Förhandsversion]: Automatisk hantering av konfigurationsprofiltilldelningen ska vara överensstämmelse | Resurser som hanteras av automatisk hantering bör ha statusen Conformant eller ConformantCorrected. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Backup ska vara aktiverat för hanterade diskar | Skydda dina hanterade diskar genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Security-agenten bör installeras på dina skalningsuppsättningar för virtuella Linux-datorer | Installera Azure Security-agenten på dina skalningsuppsättningar för virtuella Linux-datorer för att övervaka dina datorer för säkerhetskonfigurationer och säkerhetsrisker. Resultaten av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Azure Security-agenten bör installeras på dina virtuella Linux-datorer | Installera Azure Security-agenten på dina virtuella Linux-datorer för att övervaka dina datorer för säkerhetskonfigurationer och säkerhetsrisker. Resultaten av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Azure Security-agenten ska vara installerad på dina skalningsuppsättningar för virtuella Windows-datorer | Installera Azure Security-agenten på skalningsuppsättningar för virtuella Windows-datorer för att övervaka dina datorer för säkerhetskonfigurationer och säkerhetsrisker. Resultaten av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 2.1.0-preview |
| [Förhandsversion]: Azure Security-agenten bör installeras på dina virtuella Windows-datorer | Installera Azure Security-agenten på dina virtuella Windows-datorer för att övervaka dina datorer för säkerhetskonfigurationer och säkerhetsrisker. Resultaten av utvärderingarna kan ses och hanteras i Azure Security Center. | AuditIfNotExists, inaktiverad | 2.1.0-preview |
| [Förhandsversion]: Startdiagnostik ska vara aktiverat på virtuella datorer | Virtuella Azure-datorer bör ha startdiagniostik aktiverat. | Granskning, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget ska installeras på den virtuella Linux-datorn | Installera ChangeTracking-tillägget på virtuella Linux-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. | AuditIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget bör installeras på dina skalningsuppsättningar för virtuella Linux-datorer | Installera ChangeTracking-tillägget på skalningsuppsättningar för virtuella Linux-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. | AuditIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget ska installeras på den virtuella Windows-datorn | Installera ChangeTracking-tillägget på virtuella Windows-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. | AuditIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: ChangeTracking-tillägget ska vara installerat på dina skalningsuppsättningar för virtuella Windows-datorer | Installera ChangeTracking-tillägget på skalningsuppsättningar för virtuella Windows-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. | AuditIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera Azure Defender för SQL-agenten på en virtuell dator | Konfigurera Windows-datorer för att automatiskt installera Azure Defender för SQL-agenten där Azure Monitor-agenten är installerad. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapar en resursgrupp och Log Analytics-arbetsyta i samma region som datorn. Virtuella måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera ChangeTracking-tillägget för skalningsuppsättningar för virtuella Linux-datorer | Konfigurera skalningsuppsättningar för virtuella Linux-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera ChangeTracking-tillägget för virtuella Linux-datorer | Konfigurera virtuella Linux-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera ChangeTracking-tillägget för VM-skalningsuppsättningar i Windows | Konfigurera skalningsuppsättningar för virtuella Windows-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera ChangeTracking-tillägget för virtuella Windows-datorer | Konfigurera virtuella Windows-datorer för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows-register, programprogramvara, Linux-systemfiler med mera för ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Linux-datorer som ska associeras med en datainsamlingsregel för ChangeTracking och inventering | Distribuera Association för att länka virtuella Linux-datorer till den angivna datainsamlingsregeln för att aktivera ChangeTracking och Inventering. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Linux-datorer för att installera AMA för ChangeTracking och Inventory med användartilldelad hanterad identitet | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Linux-datorer för att aktivera ChangeTracking och Inventory. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.4.0-preview |
| [Förhandsversion]: Konfigurera Linux VMSS så att det associeras med en datainsamlingsregel för ChangeTracking och inventering | Distribuera association för att länka skalningsuppsättningar för virtuella Linux-datorer till den angivna datainsamlingsregeln för att aktivera ChangeTracking och Inventering. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Linux VMSS för att installera AMA för ChangeTracking och Inventory med användartilldelad hanterad identitet | Automatisera distributionen av Azure Monitor Agent-tillägget på skalningsuppsättningarna för virtuella Linux-datorer för att aktivera ChangeTracking och Inventory. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.3.0-preview |
| [Förhandsversion]: Konfigurera skalningsuppsättningar för virtuella Linux-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera skalningsuppsättningar för virtuella Linux-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Virtuella måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera skalningsuppsättningar för virtuella Linux-datorer som stöds för att automatiskt installera gästattesteringstillägget | Konfigurera skalningsuppsättningar för virtuella Linux-datorer som stöds för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DeployIfNotExists, inaktiverad | 6.1.0-preview |
| [Förhandsversion]: Konfigurera virtuella Linux-datorer som stöds för att automatiskt aktivera säker start | Konfigurera virtuella Linux-datorer som stöds för att automatiskt aktivera säker start för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. | DeployIfNotExists, inaktiverad | 5.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Virtuella måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 7.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera gästattesteringstillägget | Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DeployIfNotExists, inaktiverad | 7.1.0-preview |
| [Förhandsversion]: Konfigurera virtuella datorer som stöds för att automatiskt aktivera vTPM | Konfigurera virtuella datorer som stöds för att automatiskt aktivera vTPM för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera Windows-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera Windows-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Virtuella måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 5.1.0-preview |
| [Förhandsversion]: Konfigurera skalningsuppsättningar för virtuella Windows-datorer som stöds för att automatiskt installera Azure Security-agenten | Konfigurera skalningsuppsättningar för virtuella Windows-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skalningsuppsättningar för virtuella Windows-måldatorer måste finnas på en plats som stöds. | DeployIfNotExists, inaktiverad | 2.1.0-preview |
| [Förhandsversion]: Konfigurera skalningsuppsättningar för virtuella Windows-datorer som stöds för att automatiskt installera gästattesteringstillägget | Konfigurera skalningsuppsättningar för virtuella Windows-datorer som stöds för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DeployIfNotExists, inaktiverad | 4.1.0-preview |
| [Förhandsversion]: Konfigurera virtuella Windows-datorer som stöds för att automatiskt aktivera säker start | Konfigurera virtuella Windows-datorer som stöds för att automatiskt aktivera säker start för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. | DeployIfNotExists, inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Windows-datorer som stöds för att automatiskt installera gästattesteringstillägget | Konfigurera virtuella Windows-datorer som stöds för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DeployIfNotExists, inaktiverad | 5.1.0-preview |
| [Förhandsversion]: Konfigurera systemtilldelad hanterad identitet för att aktivera Azure Monitor-tilldelningar på virtuella datorer | Konfigurera systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av Azure Monitor och som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla Azure Monitor-tilldelningar och måste läggas till på datorer innan du använder något Azure Monitor-tillägg. Virtuella måldatorer måste finnas på en plats som stöds. | Ändra, inaktiverad | 6.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella datorer som skapats med delade bildgalleriavbildningar för att installera gästattesteringstillägget | Konfigurera virtuella datorer som skapats med delade bildgalleriavbildningar för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DeployIfNotExists, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Konfigurera VMSS som skapats med delade bildgalleriavbildningar för att installera gästattesteringstillägget | Konfigurera VMSS som skapats med delade bildgalleriavbildningar för att automatiskt installera gästattesteringstillägget så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. Startintegriteten intygas via fjärrattestering. | DeployIfNotExists, inaktiverad | 2.1.0-preview |
| [Förhandsversion]: Konfigurera Windows Server för att inaktivera lokala användare. | Skapar en gästkonfigurationstilldelning för att konfigurera inaktivering av lokala användare på Windows Server. Detta säkerställer att Windows-servrar endast kan nås av AAD-konto (Azure Active Directory) eller en lista över uttryckligen tillåtna användare av den här principen, vilket förbättrar den övergripande säkerhetsstatusen. | DeployIfNotExists, inaktiverad | 1.2.0-preview |
| [Förhandsversion]: Konfigurera virtuella Windows-datorer som ska associeras med en datainsamlingsregel för ChangeTracking och inventering | Distribuera Association för att länka virtuella Windows-datorer till den angivna datainsamlingsregeln för att aktivera ChangeTracking och Inventory. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera virtuella Windows-datorer för att installera AMA för ChangeTracking och Inventory med användartilldelad hanterad identitet | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Windows-datorer för att aktivera ChangeTracking och Inventory. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Windows VMSS så att det associeras med en datainsamlingsregel för ChangeTracking och inventering | Distribuera association för att länka Skalningsuppsättningar för virtuella Windows-datorer till den angivna datainsamlingsregeln för att aktivera ChangeTracking och Inventory. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Windows VMSS för att installera AMA för ChangeTracking och Inventory med användartilldelad hanterad identitet | Automatisera distributionen av Azure Monitor Agent-tillägget på skalningsuppsättningar för virtuella Windows-datorer för att aktivera ChangeTracking och Inventory. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Distribuera Microsoft Defender för Endpoint-agenten på virtuella Linux-datorer | Distribuerar Microsoft Defender för Endpoint-agenten på tillämpliga avbildningar av virtuella Linux-datorer. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Distribuera Microsoft Defender för Endpoint-agenten på virtuella Windows-datorer | Distribuerar Microsoft Defender för Endpoint på tillämpliga avbildningar av virtuella Windows-datorer. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 2.0.1-förhandsversion |
| [Förhandsversion]: Aktivera systemtilldelad identitet till en virtuell SQL-dator | Aktivera systemtilldelad identitet i stor skala till virtuella SQL-datorer. Du måste tilldela den här principen på prenumerationsnivå. Tilldelning på resursgruppsnivå fungerar inte som förväntat. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds | Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda starta och konfidentiella virtuella Linux-datorer. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
| [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds | Installera gästattesteringstillägget på linux-skalningsuppsättningar som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för vm-skalningsuppsättningar för betrodd start och konfidentiell Linux. | AuditIfNotExists, inaktiverad | 5.1.0-preview |
| [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds | Installera gästattesteringstillägget på virtuella datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. | AuditIfNotExists, inaktiverad | 4.0.0-preview |
| [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds | Installera gästattesteringstillägget på skalningsuppsättningar som stöds för virtuella datorer så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda start- och konfidentiella skalningsuppsättningar för virtuella Windows-datorer. | AuditIfNotExists, inaktiverad | 3.1.0-preview |
| [Förhandsversion]: Linux-datorer bör uppfylla kraven för Azure-säkerhetsbaslinjen för Docker-värdar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorn är inte korrekt konfigurerad för någon av rekommendationerna i Azure-säkerhetsbaslinjen för Docker-värdar. | AuditIfNotExists, inaktiverad | 1.2.0-preview |
| [Förhandsversion]: Linux-datorer bör uppfylla STIG-efterlevnadskrav för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i STIG-efterlevnadskravet för Azure-beräkning. DISA (Defense Information Systems Agency) tillhandahåller tekniska guider STIG (Security Technical Implementation Guide) för att skydda beräkningsoperativsystemet enligt vad som krävs av Department of Defense (DoD). Mer information finns i https://public.cyber.mil/stigs/. | AuditIfNotExists, inaktiverad | 1.2.0-preview |
| [Förhandsversion]: Linux-datorer med OMI installerat bör ha version 1.6.8-1 eller senare | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. På grund av en säkerhetskorrigering som ingår i version 1.6.8-1 av OMI-paketet för Linux bör alla datorer uppdateras till den senaste versionen. Uppgradera appar/paket som använder OMI för att lösa problemet. Mer information finns i https://aka.ms/omiguidance. | AuditIfNotExists, inaktiverad | 1.2.0-preview |
| [Förhandsversion]: Virtuella Linux-datorer bör endast använda signerade och betrodda startkomponenter | Alla os-startkomponenter (startinläsare, kernel- och kerneldrivrutiner) måste signeras av betrodda utgivare. Defender för molnet har identifierat ej betrodda operativsystemsstartkomponenter på en eller flera av dina Linux-datorer. Om du vill skydda dina datorer från potentiellt skadliga komponenter lägger du till dem i listan över tillåtna komponenter eller tar bort de identifierade komponenterna. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Virtuella Linux-datorer bör använda säker start | För att skydda mot installation av rotkits och startpaket baserade på skadlig kod aktiverar du Säker start på virtuella Linux-datorer som stöds. Säker start säkerställer att endast signerade operativsystem och drivrutiner tillåts köras. Den här utvärderingen gäller endast för virtuella Linux-datorer som har Azure Monitor-agenten installerad. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| [Förhandsversion]: Datorer bör ha portar stängda som kan exponera attackvektorer | Användningsvillkoren för Azure förbjuder användning av Azure-tjänster på sätt som kan skada, inaktivera, överbelasta eller försämra någon Microsoft-server eller nätverket. De exponerade portar som identifieras i den här rekommendationen måste stängas för din fortsatta säkerhet. För varje identifierad port ger rekommendationen också en förklaring av det potentiella hotet. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Hanterade diskar ska vara zontåliga | Hanterade diskar kan konfigureras så att de antingen är zonjusterade, zonredundanta eller ingetdera. Hanterade diskar med exakt en zontilldelning är zonjusterade. Hanterade diskar med ett SKU-namn som slutar i ZRS är zonredundanta. Den här principen hjälper dig att identifiera och framtvinga dessa motståndskraftskonfigurationer för hanterade diskar. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds | Aktivera säker start på virtuella Windows-datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. | Granskning, inaktiverad | 4.0.0-preview |
| [Förhandsversion]: Systemuppdateringar bör installeras på dina datorer (drivs av Uppdateringscenter) | Dina datorer saknar system, säkerhet och kritiska uppdateringar. Programuppdateringar innehåller ofta viktiga korrigeringar av säkerhetshål. Sådana hål utnyttjas ofta i attacker mot skadlig kod, så det är viktigt att hålla programvaran uppdaterad. Följ reparationsstegen för att installera alla utestående korrigeringar och skydda dina datorer. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Vm-skalningsuppsättningar ska vara zontåliga | Vm-skalningsuppsättningar kan konfigureras till antingen Zonjusterad, Zonredundant eller ingetdera. Vm-skalningsuppsättningar som har exakt en post i zonmatrisen betraktas som zonjusterade. Däremot identifieras vm-skalningsuppsättningar med 3 eller fler poster i deras zonmatris och en kapacitet på minst 3 som zonredundant. Den här principen hjälper till att identifiera och framtvinga dessa motståndskraftskonfigurationer. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Statusen för gästattestering för virtuella datorer bör vara felfri | Gästattestering utförs genom att skicka en betrodd logg (TCGLog) till en attesteringsserver. Servern använder dessa loggar för att avgöra om startkomponenterna är tillförlitliga. Den här utvärderingen är avsedd att identifiera kompromisser i startkedjan som kan bero på en bootkit- eller rootkit-infektion. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer som har gästattesteringstillägget installerat. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Virtuella datorer ska vara zonjusterade | Virtuella datorer kan konfigureras så att de är zonjusterade eller inte. De betraktas som zonjusterade om de bara har en post i sin zonmatris. Den här principen säkerställer att de är konfigurerade för att fungera inom en enda tillgänglighetszon. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds | Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer. | Granskning, inaktiverad | 2.0.0-preview |
| [Förhandsversion]: Windows-datorer bör uppfylla STIG-efterlevnadskrav för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i STIG-efterlevnadskrav för Azure-beräkning. DISA (Defense Information Systems Agency) tillhandahåller tekniska guider STIG (Security Technical Implementation Guide) för att skydda beräkningsoperativsystemet enligt vad som krävs av Department of Defense (DoD). Mer information finns i https://public.cyber.mil/stigs/. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer | Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och tillhandahåller regelrekommendationer för nätverkssäkerhetsgrupp som minskar den potentiella attackytan | AuditIfNotExists, inaktiverad | 3.0.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tillåtna SKU:er för virtuell datorstorlek | Med den här principen kan du ange en uppsättning SKU:er för virtuella datorer som din organisation kan distribuera. | Neka | 1.0.1 |
| Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras | Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörighet för passwd-filen har angetts till 0644 | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Linux-datorer som inte har de angivna programmen installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Chef InSpec-resursen anger att ett eller flera av paketen som tillhandahålls av parametern inte är installerade. | AuditIfNotExists, inaktiverad | 4.2.0 |
| Granska Linux-datorer som har konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som har konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Linux-datorer som har de angivna programmen installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Chef InSpec-resursen anger att ett eller flera av paketen som tillhandahålls av parametern är installerade. | AuditIfNotExists, inaktiverad | 4.2.0 |
| Granska virtuella datorer utan att haveriberedskap har konfigurerats | Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Granska virtuella datorer som inte använder hanterade diskar | Den här principen granskar virtuella datorer som inte använder hanterade diskar | granska | 1.0.0 |
| Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer inte innehåller en eller flera medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Granska nätverksanslutningar för Windows-datorer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är icke-kompatibla om en nätverksanslutningsstatus till en IP- och TCP-port inte matchar principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer där DSC-konfigurationen inte är kompatibel | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows PowerShell-kommandot Get-DSCConfigurationStatus returnerar att DSC-konfigurationen för datorn inte är kompatibel. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer där Log Analytics-agenten inte är ansluten som förväntat | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om agenten inte är installerad eller om den är installerad men COM-objektet AgentConfigManager.MgmtSvcCfg returnerar att den är registrerad på en annan arbetsyta än det ID som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer där de angivna tjänsterna inte är installerade och "Körs" | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om resultatet av Windows PowerShell-kommandot Get-Service inte innehåller tjänstnamnet med matchande status enligt principparametern. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer där Windows-seriekonsolen inte är aktiverad | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte har seriekonsolprogramvaran installerad eller om EMS-portnumret eller överföringshastigheten inte har konfigurerats med samma värden som principparametrarna. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord. Standardvärdet för unika lösenord är 24 | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte är anslutna till den angivna domänen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om värdet för egenskapen Domän i WMI-klassen win32_computersystem inte matchar värdet i principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som inte är inställda på den angivna tidszonen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om värdet för egenskapen StandardName i WMI-klassen Win32_TimeZone inte matchar den valda tidszonen för principparametern. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer som innehåller certifikat som upphör att gälla inom det angivna antalet dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om certifikaten i det angivna arkivet har ett utgångsdatum som är inaktuellt för det antal dagar som anges som parameter. Principen ger också möjlighet att endast söka efter specifika certifikat eller exkludera specifika certifikat och om du vill rapportera om utgångna certifikat. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som inte innehåller de angivna certifikaten i betrodd rot | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorns betrodda rotcertifikatarkiv (Cert:\LocalMachine\Root) inte innehåller ett eller flera av de certifikat som anges av principparametern. | auditIfNotExists | 3.0.0 |
| Granska Windows-datorer som inte har den högsta lösenordsåldern inställd på angivet antal dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den högsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för maximal lösenordsålder är 70 dagar | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte har den lägsta lösenordsåldern inställd på angivet antal dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den lägsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för lägsta lösenordsålder är 1 dag | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Windows-datorer som inte har den angivna Windows PowerShell-körningsprincipen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows PowerShell-kommandot Get-ExecutionPolicy returnerar ett annat värde än det som valdes i principparametern. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska Windows-datorer som inte har de angivna Windows PowerShell-modulerna installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om en modul inte är tillgänglig på en plats som anges av miljövariabeln PSModulePath. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte begränsar minsta längd på lösenord till angivet antal tecken. Standardvärdet för minsta längd på lösenord är 14 tecken | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Windows-datorer som inte har de angivna programmen installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är icke-kompatibla om programnamnet inte finns i någon av följande registersökvägar: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som har extra konton i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller medlemmar som inte visas i principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som inte har startats om inom det angivna antalet dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om WMI-egenskapen LastBootUpTime i klass Win32_Operatingsystem ligger utanför det antal dagar som anges av principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som har de angivna programmen installerade | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är icke-kompatibla om programnamnet finns i någon av följande registersökvägar: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Granska virtuella Windows-datorer med en väntande omstart | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn väntar på omstart av någon av följande orsaker: komponentbaserad service, Windows Update, väntande filbyte, väntande datorbyte, konfigurationshanteraren väntar på omstart. Varje identifiering har en unik registersökväg. | auditIfNotExists | 2.0.0 |
| Autentisering till Linux-datorer bör kräva SSH-nycklar | Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Azure Backup ska vara aktiverat för virtuella datorer | Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Rollinstanser för Cloud Services (utökad support) bör konfigureras på ett säkert sätt | Skydda dina rollinstanser i Cloud Service (utökad support) mot attacker genom att se till att de inte visas för några säkerhetsproblem i operativsystemet. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Rollinstanser för Cloud Services (utökad support) bör ha en lösning för slutpunktsskydd installerad | Skydda dina rollinstanser i Cloud Services (utökad support) mot hot och sårbarheter genom att se till att en slutpunktsskyddslösning installeras på dem. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Rollinstanser för Cloud Services (utökad support) bör ha systemuppdateringar installerade | Skydda dina rollinstanser för Cloud Services (utökad support) genom att se till att de senaste säkerhetsuppdateringarna och kritiska uppdateringarna installeras på dem. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera att Azure Defender för servrar ska inaktiveras för alla resurser (resursnivå) | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Den här principen inaktiverar Defender for Servers-planen för alla resurser (virtuella datorer, VMSS och ARC-datorer) i det valda omfånget (prenumeration eller resursgrupp). | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera att Azure Defender för servrar ska inaktiveras för resurser (resursnivå) med den valda taggen | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Den här principen inaktiverar Defender for Servers-planen för alla resurser (virtuella datorer, VMSS och ARC-datorer) som har det valda taggnamnet och taggvärdena. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Defender för servrar som ska aktiveras ("P1"-underplan) för alla resurser (resursnivå) med den valda taggen | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Den här principen aktiverar Defender for Servers-planen (med underplanen P1) för alla resurser (virtuella datorer och ARC-datorer) som har det valda taggnamnet och taggvärdet. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Azure Defender för servrar som ska aktiveras (med underplanen P1) för alla resurser (resursnivå) | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Den här principen aktiverar Defender for Servers-planen (med underplanen P1) för alla resurser (virtuella datorer och ARC-datorer) i det valda omfånget (prenumeration eller resursgrupp). | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera säkerhetskopiering på virtuella datorer med en viss tagg till ett nytt Recovery Services-valv med en standardprincip | Framtvinga säkerhetskopiering för alla virtuella datorer genom att distribuera ett Recovery Services-valv på samma plats och resursgrupp som den virtuella datorn. Detta är användbart när olika programteam i din organisation allokeras separata resursgrupper och behöver hantera sina egna säkerhetskopior och återställningar. Du kan också inkludera virtuella datorer som innehåller en angiven tagg för att styra tilldelningens omfattning. Se https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 9.2.0 |
| Konfigurera säkerhetskopiering på virtuella datorer med en viss tagg till ett befintligt Recovery Services-valv på samma plats | Framtvinga säkerhetskopiering för alla virtuella datorer genom att säkerhetskopiera dem till ett befintligt centralt Recovery Services-valv på samma plats och prenumeration som den virtuella datorn. Det är användbart när det finns ett centralt team i organisationen som hanterar säkerhetskopior för alla resurser i en prenumeration. Du kan också inkludera virtuella datorer som innehåller en angiven tagg för att styra tilldelningens omfattning. Se https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 9.2.0 |
| Konfigurera säkerhetskopiering på virtuella datorer utan en viss tagg till ett nytt Recovery Services-valv med en standardprincip | Framtvinga säkerhetskopiering för alla virtuella datorer genom att distribuera ett Recovery Services-valv på samma plats och resursgrupp som den virtuella datorn. Detta är användbart när olika programteam i din organisation allokeras separata resursgrupper och behöver hantera sina egna säkerhetskopior och återställningar. Du kan också undanta virtuella datorer som innehåller en angiven tagg för att styra tilldelningens omfattning. Se https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 9.2.0 |
| Konfigurera säkerhetskopiering på virtuella datorer utan en viss tagg till ett befintligt Recovery Services-valv på samma plats | Framtvinga säkerhetskopiering för alla virtuella datorer genom att säkerhetskopiera dem till ett befintligt centralt Recovery Services-valv på samma plats och prenumeration som den virtuella datorn. Det är användbart när det finns ett centralt team i organisationen som hanterar säkerhetskopior för alla resurser i en prenumeration. Du kan också undanta virtuella datorer som innehåller en angiven tagg för att styra tilldelningens omfattning. Se https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 9.2.0 |
| Konfigurera haveriberedskap på virtuella datorer genom att aktivera replikering via Azure Site Recovery | Virtuella datorer utan konfigurationer för haveriberedskap är sårbara för avbrott och andra störningar. Om den virtuella datorn inte redan har konfigurerat haveriberedskap initierar detta samma genom att aktivera replikering med hjälp av förinställda konfigurationer för att underlätta affärskontinuitet. Du kan också inkludera/exkludera virtuella datorer som innehåller en angiven tagg för att styra tilldelningens omfattning. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | DeployIfNotExists, inaktiverad | 2.1.0 |
| Konfigurera diskåtkomstresurser med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till diskåtkomstresurser kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Linux-datorer som ska associeras med en datainsamlingsregel eller en slutpunkt för datainsamling | Distribuera association för att länka virtuella Linux-datorer, VM-skalningsuppsättningar och Arc-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 6.3.0 |
| Konfigurera Linux Server för att inaktivera lokala användare. | Skapar en gästkonfigurationstilldelning för att konfigurera inaktivering av lokala användare på Linux Server. Detta säkerställer att Linux-servrar endast kan nås av AAD-konto (Azure Active Directory) eller en lista över uttryckligen tillåtna användare av den här principen, vilket förbättrar den övergripande säkerhetsstatusen. | DeployIfNotExists, inaktiverad | 1.3.0-preview |
| Konfigurera skalningsuppsättningar för virtuella Linux-datorer som ska associeras med en datainsamlingsregel eller en datainsamlingsslutpunkt | Distribuera association för att länka skalningsuppsättningar för virtuella Linux-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 4.2.0 |
| Konfigurera skalningsuppsättningar för virtuella Linux-datorer för att köra Azure Monitor Agent med systemtilldelad hanterad identitetsbaserad autentisering | Automatisera distributionen av Azure Monitor Agent-tillägget på skalningsuppsättningar för virtuella Linux-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och systemtilldelad hanterad identitet är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 3.5.0 |
| Konfigurera skalningsuppsättningar för virtuella Linux-datorer för att köra Azure Monitor Agent med användartilldelad hanterad identitetsbaserad autentisering | Automatisera distributionen av Azure Monitor Agent-tillägget på skalningsuppsättningar för virtuella Linux-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 3.6.0 |
| Konfigurera virtuella Linux-datorer som ska associeras med en datainsamlingsregel eller en slutpunkt för datainsamling | Distribuera association för att länka virtuella Linux-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 4.2.0 |
| Konfigurera virtuella Linux-datorer för att köra Azure Monitor Agent med systemtilldelad hanterad identitetsbaserad autentisering | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Linux-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och systemtilldelad hanterad identitet är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 3.5.0 |
| Konfigurera virtuella Linux-datorer för att köra Azure Monitor Agent med användartilldelad hanterad identitetsbaserad autentisering | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Linux-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 3.6.0 |
| Konfigurera datorer för att ta emot en provider för sårbarhetsbedömning | Azure Defender innehåller sårbarhetsgenomsökning för dina datorer utan extra kostnad. Du behöver inte en Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Security Center. När du aktiverar den här principen distribuerar Azure Defender automatiskt qualys-sårbarhetsbedömningsprovidern till alla datorer som stöds och som inte redan har den installerad. | DeployIfNotExists, inaktiverad | 4.0.0 |
| Konfigurera hanterade diskar för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din hanterade diskresurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/disksprivatelinksdoc. | Ändra, inaktiverad | 2.0.0 |
| Konfigurera periodisk kontroll av saknade systemuppdateringar på virtuella Azure-datorer | Konfigurera automatisk utvärdering (var 24:e timme) för OS-uppdateringar på interna virtuella Azure-datorer. Du kan styra tilldelningsomfånget enligt maskinprenumeration, resursgrupp, plats eller tagg. Läs mer om detta för Windows: https://aka.ms/computevm-windowspatchassessmentmode, för Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
| Konfigurera protokoll för säker kommunikation (TLS 1.1 eller TLS 1.2) på Windows-datorer | Skapar en gästkonfigurationstilldelning för att konfigurera den angivna säkerhetsprotokollversionen (TLS 1.1 eller TLS 1.2) på Windows-datorn. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera virtuella SQL-datorer för att automatiskt installera Azure Monitor-agenten | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Windows SQL-datorer. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.3.0 |
| Konfigurera virtuella SQL-datorer för automatisk installation av Microsoft Defender för SQL | Konfigurera virtuella Windows SQL-datorer för att automatiskt installera Microsoft Defender för SQL-tillägget. Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). | DeployIfNotExists, inaktiverad | 1.3.0 |
| Konfigurera virtuella SQL-datorer för att automatiskt installera Microsoft Defender för SQL och DCR med en Log Analytics-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp, en datainsamlingsregel och Log Analytics-arbetsyta i samma region som datorn. | DeployIfNotExists, inaktiverad | 1.4.0 |
| Konfigurera virtuella SQL-datorer för att automatiskt installera Microsoft Defender för SQL och DCR med en användardefinierad LA-arbetsyta | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp och en datainsamlingsregel i samma region som den användardefinierade Log Analytics-arbetsytan. | DeployIfNotExists, inaktiverad | 1.4.0 |
| Konfigurera Arbetsytan Microsoft Defender för SQL Log Analytics | Microsoft Defender för SQL samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp och Log Analytics-arbetsyta i samma region som datorn. | DeployIfNotExists, inaktiverad | 1.2.0 |
| Konfigurera tidszon på Windows-datorer. | Den här principen skapar en gästkonfigurationstilldelning för att ange angiven tidszon på virtuella Windows-datorer. | deployIfNotExists | 2.1.0 |
| Konfigurera virtuella datorer som ska registreras i Azure Automanage | Azure Automanage registrerar, konfigurerar och övervakar virtuella datorer med bästa praxis enligt definitionen i Microsoft Cloud Adoption Framework för Azure. Använd den här principen för att tillämpa automatisk hantering på det valda omfånget. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 2.4.0 |
| Konfigurera virtuella datorer som ska registreras i Azure Automanage med anpassad konfigurationsprofil | Azure Automanage registrerar, konfigurerar och övervakar virtuella datorer med bästa praxis enligt definitionen i Microsoft Cloud Adoption Framework för Azure. Använd den här principen för att tillämpa automatisk hantering med din egen anpassade konfigurationsprofil för det valda omfånget. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.4.0 |
| Konfigurera Windows-datorer som ska associeras med en datainsamlingsregel eller en slutpunkt för datainsamling | Distribuera association för att länka virtuella Windows-datorer, VM-skalningsuppsättningar och Arc-datorer till den angivna datainsamlingsregeln eller den angivna datainsamlingsslutpunkten. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 4.5.0 |
| Konfigurera skalningsuppsättningar för virtuella Windows-datorer som ska associeras med en datainsamlingsregel eller en datainsamlingsslutpunkt | Distribuera association för att länka skalningsuppsättningar för virtuella Windows-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 3.3.0 |
| Konfigurera skalningsuppsättningar för virtuella Windows-datorer för att köra Azure Monitor Agent med hjälp av systemtilldelad hanterad identitet | Automatisera distributionen av Azure Monitor Agent-tillägget på skalningsuppsättningar för virtuella Windows-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och systemtilldelad hanterad identitet är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 3.4.0 |
| Konfigurera skalningsuppsättningar för virtuella Windows-datorer för att köra Azure Monitor Agent med användartilldelad hanterad identitetsbaserad autentisering | Automatisera distributionen av Azure Monitor Agent-tillägget på skalningsuppsättningar för virtuella Windows-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.4.0 |
| Konfigurera virtuella Windows-datorer som ska associeras med en datainsamlingsregel eller en datainsamlingsslutpunkt | Distribuera association för att länka virtuella Windows-datorer till den angivna datainsamlingsregeln eller den angivna slutpunkten för datainsamling. Listan över platser och OS-avbildningar uppdateras med tiden i takt med att stödet ökar. | DeployIfNotExists, inaktiverad | 3.3.0 |
| Konfigurera virtuella Windows-datorer för att köra Azure Monitor Agent med hjälp av systemtilldelad hanterad identitet | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Windows-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och systemtilldelad hanterad identitet är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 4.4.0 |
| Konfigurera virtuella Windows-datorer för att köra Azure Monitor Agent med användartilldelad hanterad identitetsbaserad autentisering | Automatisera distributionen av Azure Monitor Agent-tillägget på dina virtuella Windows-datorer för insamling av telemetridata från gästoperativsystemet. Den här principen installerar tillägget och konfigurerar det så att det använder den angivna användartilldelade hanterade identiteten om operativsystemet och regionen stöds och hoppar över installationen på annat sätt. Läs mer: https://aka.ms/AMAOverview. | DeployIfNotExists, inaktiverad | 1.4.0 |
| Skapa och tilldela en inbyggd användartilldelad hanterad identitet | Skapa och tilldela en inbyggd användartilldelad hanterad identitet i stor skala till virtuella SQL-datorer. | AuditIfNotExists, DeployIfNotExists, Inaktiverad | 1.4.0 |
| Beroendeagenten ska vara aktiverad för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om avbildningen av den virtuella datorn inte finns i listan som definierats och agenten inte är installerad. Listan över OS-avbildningar uppdateras med tiden när supporten uppdateras. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Beroendeagenten ska vara aktiverad i VM-skalningsuppsättningar för listade avbildningar av virtuella datorer | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om avbildningen av den virtuella datorn inte finns i listan som definierats och agenten inte är installerad. Listan över OS-avbildningar uppdateras med tiden när supporten uppdateras. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Distribuera – Konfigurera beroendeagenten så att den är aktiverad i vm-skalningsuppsättningar i Windows | Distribuera beroendeagenten för VM-skalningsuppsättningar i Windows om avbildningen av den virtuella datorn finns i listan som definierats och agenten inte är installerad. Om skalningsuppsättningen upgradePolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att uppdatera dem. | DeployIfNotExists, inaktiverad | 3.1.0 |
| Distribuera – Konfigurera beroendeagent som ska aktiveras på virtuella Windows-datorer | Distribuera beroendeagenten för virtuella Windows-datorer om avbildningen av den virtuella datorn finns i listan som definierats och agenten inte är installerad. | DeployIfNotExists, inaktiverad | 3.1.0 |
| Distribuera – Konfigurera Log Analytics-tillägget så att det är aktiverat på skalningsuppsättningar för virtuella Windows-datorer | Distribuera Log Analytics-tillägget för skalningsuppsättningar för virtuella Windows-datorer om den virtuella datoravbildningen finns i listan som definierats och tillägget inte är installerat. Om skalningsuppsättningen upgradePolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att uppdatera dem. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningssökväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet. | DeployIfNotExists, inaktiverad | 3.1.0 |
| Distribuera – Konfigurera Log Analytics-tillägget så att det är aktiverat på virtuella Windows-datorer | Distribuera Log Analytics-tillägget för virtuella Windows-datorer om den virtuella datoravbildningen finns i listan som definierats och tillägget inte är installerat. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningssökväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet. | DeployIfNotExists, inaktiverad | 3.1.0 |
| Distribuera standardtillägget Microsoft IaaSAntimalware för Windows Server | Den här principen distribuerar ett Microsoft IaaSAntimalware-tillägg med en standardkonfiguration när en virtuell dator inte har konfigurerats med tillägget för program mot skadlig kod. | deployIfNotExists | 1.1.0 |
| Distribuera beroendeagent för VM-skalningsuppsättningar i Linux | Distribuera beroendeagenten för VM-skalningsuppsättningar för Linux om VM-avbildningen (OS) finns i listan som definierats och agenten inte är installerad. Obs! Om uppgraderingen av skalningsuppsättningenPolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att anropa uppgraderingen på dem. I CLI skulle detta vara az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Distribuera beroendeagenten för skalningsuppsättningar för virtuella Linux-datorer med Azure Monitoring Agent-inställningar | Distribuera beroendeagenten för skalningsuppsättningar för virtuella Linux-datorer med Azure Monitoring Agent-inställningar om VM-avbildningen (OS) finns i listan som definierats och agenten inte är installerad. Obs! Om uppgraderingen av skalningsuppsättningenPolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att anropa uppgraderingen på dem. I CLI skulle detta vara az vmss update-instances. | DeployIfNotExists, inaktiverad | 3.1.1 |
| Distribuera beroendeagent för virtuella Linux-datorer | Distribuera beroendeagenten för virtuella Linux-datorer om VM-avbildningen (OS) finns i listan som definierats och agenten inte är installerad. | deployIfNotExists | 5.0.0 |
| Distribuera beroendeagenten för virtuella Linux-datorer med Azure Monitoring Agent-inställningar | Distribuera beroendeagenten för virtuella Linux-datorer med Azure Monitoring Agent-inställningar om VM-avbildningen (OS) finns i listan som definierats och agenten inte är installerad. | DeployIfNotExists, inaktiverad | 3.1.1 |
| Distribuera beroendeagent som ska aktiveras på skalningsuppsättningar för virtuella Windows-datorer med Azure Monitoring Agent-inställningar | Distribuera beroendeagenten för VM-skalningsuppsättningar i Windows med Azure Monitoring Agent-inställningar om avbildningen av den virtuella datorn finns i listan som definierats och agenten inte är installerad. Om skalningsuppsättningen upgradePolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att uppdatera dem. | DeployIfNotExists, inaktiverad | 1.2.2 |
| Distribuera beroendeagent som ska aktiveras på virtuella Windows-datorer med Azure Monitoring Agent-inställningar | Distribuera beroendeagenten för virtuella Windows-datorer med Azure Monitoring Agent-inställningar om avbildningen av den virtuella datorn finns i listan som definierats och agenten inte är installerad. | DeployIfNotExists, inaktiverad | 1.2.2 |
| Distribuera Log Analytics-tillägget för skalningsuppsättningar för virtuella Linux-datorer. Se utfasningsmeddelandet nedan | Distribuera Log Analytics-tillägget för skalningsuppsättningar för virtuella Linux-datorer om VM-avbildningen (OS) finns i listan som definierats och tillägget inte är installerat. Obs! Om skalningsuppsättningen upgradePolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att anropa uppgraderingen på dem. I CLI skulle detta vara az vmss update-instances. Utfasningsmeddelande: Log Analytics-agenten stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet | deployIfNotExists | 3.0.0 |
| Distribuera Log Analytics-tillägget för virtuella Linux-datorer. Se utfasningsmeddelandet nedan | Distribuera Log Analytics-tillägget för virtuella Linux-datorer om VM-avbildningen (OS) finns i listan som definierats och tillägget inte är installerat. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningssökväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet | deployIfNotExists | 3.0.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Diskåtkomstresurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Diskar och OS-avbildningar bör ha stöd för TrustedLaunch | TrustedLaunch förbättrar säkerheten för en virtuell dator som kräver OS Disk & OS-avbildning för att stödja den (Gen 2). Mer information om TrustedLaunch finns i https://aka.ms/trustedlaunch | Granskning, inaktiverad | 1.0.0 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Slutpunktsskyddslösningar som stöds i Azure Security Center dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Slutpunktsskydd ska installeras på dina datorer | Installera en slutpunktsskyddslösning som stöds för att skydda dina datorer mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Slutpunktsskyddslösningen ska installeras på vm-skalningsuppsättningar | Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Hotpatch ska vara aktiverat för virtuella Windows Server Azure Edition-datorer | Minimera omstarter och installera uppdateringar snabbt med hotpatch. Läs mer på https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Granska, neka, inaktiverad | 1.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.2.0 |
| Linux-datorer bör endast ha lokala konton som är tillåtna | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Att hantera användarkonton med Hjälp av Azure Active Directory är en bra metod för hantering av identiteter. Genom att minska antalet lokala datorkonton kan du förhindra spridning av identiteter som hanteras utanför ett centralt system. Datorer är inkompatibla om det finns lokala användarkonton som är aktiverade och inte anges i principparametern. | AuditIfNotExists, inaktiverad | 2.2.0 |
| Skalningsuppsättningar för virtuella Linux-datorer bör ha Azure Monitor-agenten installerad | Skalningsuppsättningar för virtuella Linux-datorer bör övervakas och skyddas via den distribuerade Azure Monitor-agenten. Azure Monitor-agenten samlar in telemetridata från gästoperativsystemet. Den här principen granskar VM-skalningsuppsättningar med os-avbildningar som stöds i regioner som stöds. Läs mer: https://aka.ms/AMAOverview. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost. | Även om en virtuell dators operativsystem och datadiskar krypteras i vila som standard med hjälp av plattformshanterade nycklar. resursdiskar (temporära diskar), datacacheminnen och data som flödar mellan beräknings- och lagringsresurser krypteras inte. Använd Azure Disk Encryption eller EncryptionAtHost för att åtgärda problemet. Besök https://aka.ms/diskencryptioncomparison för att jämföra krypteringserbjudanden. Den här principen kräver två krav för att distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.2.1 |
| Virtuella Linux-datorer bör ha Azure Monitor-agenten installerad | Virtuella Linux-datorer ska övervakas och skyddas via den distribuerade Azure Monitor-agenten. Azure Monitor-agenten samlar in telemetridata från gästoperativsystemet. Den här principen granskar virtuella datorer med os-avbildningar som stöds i regioner som stöds. Läs mer: https://aka.ms/AMAOverview. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Lokala autentiseringsmetoder bör inaktiveras på Linux-datorer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-servrar inte har inaktiverat lokala autentiseringsmetoder. Detta är för att verifiera att Linux-servrar endast kan nås av AAD-konto (Azure Active Directory) eller en lista över uttryckligen tillåtna användare av den här principen, vilket förbättrar den övergripande säkerhetsstatusen. | AuditIfNotExists, inaktiverad | 1.2.0-preview |
| Lokala autentiseringsmetoder bör inaktiveras på Windows-servrar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-servrar inte har inaktiverat lokala autentiseringsmetoder. Detta är för att verifiera att Windows-servrar endast kan nås av AAD-konto (Azure Active Directory) eller en lista över uttryckligen tillåtna användare av den här principen, vilket förbättrar den övergripande säkerhetsstatusen. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| Log Analytics-agenten bör installeras på dina rollinstanser för Cloud Services (utökad support) | Security Center samlar in data från dina rollinstanser för Cloud Services (utökad support) för att övervaka säkerhetsrisker och hot. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center-övervakning | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad som Security Center använder för att övervaka säkerhetsrisker och hot | AuditIfNotExists, inaktiverad | 1.0.0 |
| Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center-övervakning | Security Center samlar in data från dina virtuella Azure-datorer (VM) för att övervaka säkerhetsrisker och hot. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Datorer bör konfigureras för att regelbundet söka efter systemuppdateringar som saknas | För att säkerställa att periodiska utvärderingar för saknade systemuppdateringar utlöses automatiskt var 24:e timme ska egenskapen AssessmentMode vara inställd på "AutomaticByPlatform". Läs mer om egenskapen AssessmentMode för Windows: https://aka.ms/computevm-windowspatchassessmentmode, för Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Granska, neka, inaktiverad | 3.7.0 |
| Datorer bör ha hemliga resultat lösta | Granskar virtuella datorer för att identifiera om de innehåller hemliga resultat från lösningarna för hemlig genomsökning på dina virtuella datorer. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar | Högsäkerhetskänsliga kunder som är oroliga för den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan välja ytterligare krypteringslager med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturnivån med hjälp av plattformshanterade krypteringsnycklar. Diskkrypteringsuppsättningarna krävs för att använda dubbel kryptering. Läs mer på https://aka.ms/disks-doubleEncryption. | Granska, neka, inaktiverad | 1.0.0 |
| Hanterade diskar bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att en hanterad disk inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av hanterade diskar. Läs mer på: https://aka.ms/disksprivatelinksdoc. | Granskning, inaktiverad | 2.0.0 |
| Hanterade diskar bör använda en specifik uppsättning diskkrypteringsuppsättningar för kundhanterad nyckelkryptering | Om du kräver en specifik uppsättning diskkrypteringsuppsättningar som ska användas med hanterade diskar får du kontroll över de nycklar som används för kryptering i vila. Du kan välja de tillåtna krypterade uppsättningarna och alla andra avvisas när de är anslutna till en disk. Läs mer på https://aka.ms/disks-cmk. | Granska, neka, inaktiverad | 2.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | Den här principen granskar alla virtuella Windows-server-datorer utan att Microsoft IaaSAntimalware-tillägget har distribuerats. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Endast godkända VM-tillägg ska installeras | Den här principen styr de tillägg för virtuella datorer som inte är godkända. | Granska, neka, inaktiverad | 1.0.0 |
| OPERATIVSYSTEM och datadiskar ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet på dina hanterade diskar. Som standard krypteras data i vila med plattformshanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/disks-cmk. | Granska, neka, inaktiverad | 3.0.0 |
| Privata slutpunkter för gästkonfigurationstilldelningar ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till gästkonfiguration för virtuella datorer. Virtuella datorer är inte kompatibla om de inte har taggen "EnablePrivateNetworkGC". Den här taggen framtvingar säker kommunikation via privat anslutning till gästkonfiguration för virtuella datorer. Privat anslutning begränsar åtkomsten till trafik som endast kommer från kända nätverk och förhindrar åtkomst från alla andra IP-adresser, inklusive i Azure. | Granska, neka, inaktiverad | 1.1.0 |
| Skydda dina data med autentiseringskrav vid export eller uppladdning till en disk eller ögonblicksbild. | När export-/uppladdnings-URL används kontrollerar systemet om användaren har en identitet i Azure Active Directory och har nödvändiga behörigheter för att exportera/ladda upp data. Se aka.ms/DisksAzureADAuth. | Ändra, inaktiverad | 1.0.0 |
| Kräv automatisk uppdatering av OS-avbildningar på VM-skalningsuppsättningar | Den här principen framtvingar aktivering av automatisk uppdatering av OS-avbildningar på vm-skalningsuppsättningar för att alltid skydda virtuella datorer genom att tillämpa de senaste säkerhetskorrigeringarna varje månad på ett säkert sätt. | avvisa | 1.0.0 |
| Schemalägga återkommande uppdateringar med Hjälp av Azure Update Manager | Du kan använda Azure Update Manager i Azure för att spara återkommande distributionsscheman för att installera operativsystemuppdateringar för dina Windows Server- och Linux-datorer i Azure, i lokala miljöer och i andra molnmiljöer som är anslutna med Hjälp av Azure Arc-aktiverade servrar. Den här principen ändrar även korrigeringsläget för den virtuella Azure-datorn till "AutomaticByPlatform". Läs mer: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, inaktiverad | 3.10.0 |
| SQL-servrar på datorer bör ha sårbarhetsresultat lösta | SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Systemuppdateringar på vm-skalningsuppsättningar ska installeras | Granska om det finns några saknade systemsäkerhetsuppdateringar och viktiga uppdateringar som ska installeras för att säkerställa att skalningsuppsättningar för virtuella Windows- och Linux-datorer är säkra. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Systemuppdateringar bör installeras på dina datorer | Uppdateringar av säkerhetssystem som saknas på dina servrar övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 4.0.0 |
| Det äldre Log Analytics-tillägget bör inte installeras på skalningsuppsättningar för virtuella Linux-datorer | Förhindra automatiskt installation av den äldre Log Analytics-agenten som det sista steget för att migrera från äldre agenter till Azure Monitor Agent. När du har avinstallerat befintliga äldre tillägg nekar den här principen alla framtida installationer av det äldre agenttillägget på skalningsuppsättningar för virtuella Linux-datorer. Lära sig mer: https://aka.ms/migratetoAMA | Neka, Granska, Inaktiverad | 1.0.0 |
| Det äldre Log Analytics-tillägget bör inte installeras på virtuella Linux-datorer | Förhindra automatiskt installation av den äldre Log Analytics-agenten som det sista steget för att migrera från äldre agenter till Azure Monitor Agent. När du har avinstallerat befintliga äldre tillägg nekar den här principen alla framtida installationer av det äldre agenttillägget på virtuella Linux-datorer. Lära sig mer: https://aka.ms/migratetoAMA | Neka, Granska, Inaktiverad | 1.0.0 |
| Det äldre Log Analytics-tillägget bör inte installeras på vm-skalningsuppsättningar | Förhindra automatiskt installation av den äldre Log Analytics-agenten som det sista steget för att migrera från äldre agenter till Azure Monitor Agent. När du har avinstallerat befintliga äldre tillägg nekar den här principen alla framtida installationer av det äldre agenttillägget på skalningsuppsättningar för virtuella Windows-datorer. Lära sig mer: https://aka.ms/migratetoAMA | Neka, Granska, Inaktiverad | 1.0.0 |
| Det äldre Log Analytics-tillägget ska inte installeras på virtuella datorer | Förhindra automatiskt installation av den äldre Log Analytics-agenten som det sista steget för att migrera från äldre agenter till Azure Monitor Agent. När du har avinstallerat befintliga äldre tillägg nekar den här principen alla framtida installationer av det äldre agenttillägget på virtuella Windows-datorer. Lära sig mer: https://aka.ms/migratetoAMA | Neka, Granska, Inaktiverad | 1.0.0 |
| Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | Den här principen granskar alla Vm-skalningsuppsättningar för Windows/Linux om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Den virtuella datorn bör ha TrustedLaunch aktiverat | Aktivera TrustedLaunch på virtuell dator för förbättrad säkerhet, använd VM SKU (Gen 2) som stöder TrustedLaunch. Mer information om TrustedLaunch finns i https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Granskning, inaktiverad | 1.0.0 |
| Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat | Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
| Virtuella datorer bör ha Log Analytics-tillägget installerat | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarheter i containersäkerhetskonfigurationer bör åtgärdas | Granska säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat och visa som rekommendationer i Azure Security Center. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas | Granska operativsystemets sårbarheter på dina VM-skalningsuppsättningar för att skydda dem mot attacker. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
| Windows-datorer bör konfigurera Windows Defender för att uppdatera skyddssignaturer inom en dag | För att ge tillräckligt skydd mot nyligen släppt skadlig kod måste Windows Defender-skyddssignaturer uppdateras regelbundet för att ta hänsyn till nyligen släppt skadlig kod. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Windows-datorer bör aktivera Realtidsskydd för Windows Defender | Windows-datorer bör aktivera realtidsskydd i Windows Defender för att ge tillräckligt skydd mot nyligen släppt skadlig kod. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Windows-datorer bör uppfylla kraven för "Administrativa mallar – Kontrollpanelen" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Administrativa mallar – Kontrollpanelen för anpassning av indata och förebyggande av aktivering av låsskärmar. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Administrativa mallar – MSS (äldre)" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Administrativa mallar – MSS (äldre)" för automatisk inloggning, skärmsläckare, nätverksbeteende, säker DLL och händelselogg. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Administrativa mallar – nätverk" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Administrativa mallar – nätverk för gästinloggningar, samtidiga anslutningar, nätverksbrygga, ICS och namnmatchning för flera sändningar. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Administrativa mallar – system" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Administrativa mallar – system" för inställningar som styr den administrativa upplevelsen och fjärrhjälp. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – konton" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Säkerhetsalternativ – konton för att begränsa användningen av tomma lösenord och gästkontostatus för lokala konton. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – granskning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – granskning" för att tvinga granskningsprincipunderkategori och stänga om det inte går att logga säkerhetsgranskningar. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – enheter" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – Enheter" för avdockning utan att logga in, installera utskriftsdrivrutiner och formatera/mata ut media. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – interaktiv inloggning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – interaktiv inloggning" för att visa efternamn och kräva ctrl-alt-del. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Microsoft Network Client" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – Microsoft Network Client" för Microsoft-nätverksklienten/servern och SMB v1. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Microsoft Network Server" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Säkerhetsalternativ – Microsoft Network Server för att inaktivera SMB v1-servern. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – nätverksåtkomst" för att inkludera åtkomst för anonyma användare, lokala konton och fjärråtkomst till registret. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – återställningskonsol" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Säkerhetsalternativ – återställningskonsol för att tillåta diskettkopiering och åtkomst till alla enheter och mappar. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – avstängning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – avstängning" för att tillåta avstängning utan inloggning och rensa den virtuella minnessidefilen. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – systemobjekt" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – Systemobjekt" för skiftlägesokänslighet för icke-Windows-undersystem och behörigheter för interna systemobjekt. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Systeminställningar" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin Säkerhetsalternativ – Systeminställningar för certifikatregler för körbara filer för SRP och valfria undersystem. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Användarkontokontroll" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhetsalternativ – Användarkontokontroll" för läge för administratörer, beteende för utökade privilegier och virtualisering av fil- och registerskrivningsfel. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Säkerhet Inställningar – Kontoprinciper" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Säkerhet Inställningar – Kontoprinciper" för lösenordshistorik, ålder, längd, komplexitet och lagring av lösenord med hjälp av reversibel kryptering. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – kontoinloggning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – kontoinloggning" för granskning av validering av autentiseringsuppgifter och andra kontoinloggningshändelser. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – kontohantering" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – Kontohantering" för granskning av program, säkerhet och hantering av användargrupper och andra hanteringshändelser. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – detaljerad spårning" för granskning av DPAPI, processskapande/avslutning, RPC-händelser och PNP-aktivitet. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för systemgranskningsprinciper – inloggning | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – inloggningsloggning" för granskning av IPSec, nätverksprincip, anspråk, kontoutelåsning, gruppmedlemskap och inloggnings-/utloggningshändelser. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – objektåtkomst" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – objektåtkomst" för granskning av fil, register, SAM, lagring, filtrering, kernel och andra systemtyper. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – principändring" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – principändring" för granskning av ändringar i systemgranskningsprinciper. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – Privilegierad användning" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – Privilegierad användning" för granskning av meningslös och annan behörighetsanvändning. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för systemgranskningsprinciper – system | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Systemgranskningsprinciper – system" för granskning av IPsec-drivrutin, systemintegritet, systemtillägg, tillståndsändring och andra systemhändelser. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Tilldelning av användarrättigheter" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Tilldelning av användarrättigheter" för att tillåta inloggning lokalt, RDP, åtkomst från nätverket och många andra användaraktiviteter. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Windows-komponenter" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Windows-komponenter" för grundläggande autentisering, okrypterad trafik, Microsoft-konton, telemetri, Cortana och andra Windows-beteenden. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för "Windows-brandväggsegenskaper" | Windows-datorer bör ha de angivna grupprincipinställningarna i kategorin "Windows-brandväggsegenskaper" för brandväggstillstånd, anslutningar, regelhantering och meddelanden. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows-datorer bör endast ha lokala konton som är tillåtna | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Den här definitionen stöds inte på Windows Server 2012 eller 2012 R2. Att hantera användarkonton med Hjälp av Azure Active Directory är en bra metod för hantering av identiteter. Genom att minska antalet lokala datorkonton kan du förhindra spridning av identiteter som hanteras utanför ett centralt system. Datorer är inkompatibla om det finns lokala användarkonton som är aktiverade och inte anges i principparametern. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Windows-datorer bör schemalägga Windows Defender för att utföra en schemalagd genomsökning varje dag | För att säkerställa snabb identifiering av skadlig kod och minimera dess inverkan på systemet rekommenderar vi att Windows-datorer med Windows Defender schemalägger en daglig genomsökning. Kontrollera att Windows Defender stöds, är förinstallerat på enheten och att förhandskraven för gästkonfiguration har distribuerats. Om dessa krav inte uppfylls kan det leda till felaktiga utvärderingsresultat. Läs mer om gästkonfiguration på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.2.0 |
| Windows-datorer bör använda standardservern för NTP | Konfigurera "time.windows.com" som standard NTP-server för alla Windows-datorer för att säkerställa att loggar i alla system har systemklockor som alla är synkroniserade. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Skalningsuppsättningar för virtuella Windows-datorer bör ha Azure Monitor-agenten installerad | Skalningsuppsättningar för virtuella Windows-datorer ska övervakas och skyddas via den distribuerade Azure Monitor-agenten. Azure Monitor-agenten samlar in telemetridata från gästoperativsystemet. Vm-skalningsuppsättningar med operativsystem som stöds och i regioner som stöds övervakas för distribution av Azure Monitor Agent. Läs mer: https://aka.ms/AMAOverview. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Virtuella Windows-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost. | Även om en virtuell dators operativsystem och datadiskar krypteras i vila som standard med hjälp av plattformshanterade nycklar. resursdiskar (temporära diskar), datacacheminnen och data som flödar mellan beräknings- och lagringsresurser krypteras inte. Använd Azure Disk Encryption eller EncryptionAtHost för att åtgärda problemet. Besök https://aka.ms/diskencryptioncomparison för att jämföra krypteringserbjudanden. Den här principen kräver två krav för att distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.1.1 |
| Virtuella Windows-datorer bör ha Azure Monitor-agenten installerad | Virtuella Windows-datorer ska övervakas och skyddas via den distribuerade Azure Monitor-agenten. Azure Monitor-agenten samlar in telemetridata från gästoperativsystemet. Virtuella Windows-datorer med operativsystem som stöds och i regioner som stöds övervakas för distribution av Azure Monitor Agent. Läs mer: https://aka.ms/AMAOverview. | AuditIfNotExists, inaktiverad | 3.2.0 |
Microsoft.VirtualMachineImages
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Mallar för VM Image Builder ska använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina vm Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Granska, inaktiverad, Neka | 1.1.0 |
Microsoft.ClassicCompute
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras | Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska virtuella datorer utan att haveriberedskap har konfigurerats | Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Slutpunktsskyddslösningar som stöds i Azure Security Center dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Slutpunktsskydd ska installeras på dina datorer | Installera en slutpunktsskyddslösning som stöds för att skydda dina datorer mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center-övervakning | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad som Security Center använder för att övervaka säkerhetsrisker och hot | AuditIfNotExists, inaktiverad | 1.0.0 |
| Datorer bör ha hemliga resultat lösta | Granskar virtuella datorer för att identifiera om de innehåller hemliga resultat från lösningarna för hemlig genomsökning på dina virtuella datorer. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Systemuppdateringar bör installeras på dina datorer | Uppdateringar av säkerhetssystem som saknas på dina servrar övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 4.0.0 |
| Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
| Sårbarheter i containersäkerhetskonfigurationer bör åtgärdas | Granska säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat och visa som rekommendationer i Azure Security Center. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.