已啟用 Azure Arc 的伺服器之 Azure 原則內建定義
此頁面是已啟用 Azure Arc 的伺服器 Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
已啟用 Azure Arc 的伺服器 (英文)
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:應在您的計算機上啟用受控識別 | 由 Automanage 管理的資源應該具有受控識別。 | Audit, Disabled | 1.0.0-preview |
[預覽]: 自動管理組態配置檔指派應該是一致性 | 由 Automanage 管理的資源狀態應為 Conformant 或 ConformantCorrected。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:Azure 安全性代理程序應該安裝在Linux Arc 機器上 | 在 Linux Arc 機器上安裝 Azure 安全性代理程式,以監視您的電腦是否有安全性設定和弱點。 評量的結果可以在 Azure 資訊安全中心 中看到和管理。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:Azure 安全性代理程序應該安裝在 Windows Arc 機器上 | 在 Windows Arc 機器上安裝 Azure 安全性代理程式,以監視您的電腦是否有安全性設定和弱點。 評量的結果可以在 Azure 資訊安全中心 中看到和管理。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]: ChangeTracking 延伸模組應該安裝在Linux Arc 計算機上 | 在 Linux Arc 電腦上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視代理程式支援的虛擬機和位置。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]: ChangeTracking 延伸模組應該安裝在 Windows Arc 計算機上 | 在 Windows Arc 計算機上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視代理程式支援的虛擬機和位置。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:使用聯機至預設 Log Analytics 工作區的 Log Analytics 代理程式設定已啟用 Azure Arc 的 Linux 機器 | 安裝 Log Analytics 代理程式,以 適用於雲端的 Microsoft Defender 功能保護您的已啟用 Azure Arc 的 Linux 機器,方法是安裝將數據傳送至 適用於雲端的 Microsoft Defender 所建立的預設 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:使用聯機至預設 Log Analytics 工作區的 Log Analytics 代理程式設定已啟用 Azure Arc 的 Windows 機器 | 安裝將數據傳送至 適用於雲端的 Microsoft Defender 所建立的預設Log Analytics工作區的Log Analytics代理程式,以 適用於雲端的 Microsoft Defender功能保護您的已啟用 Azure Arc 的 Windows 機器。 | DeployIfNotExists, Disabled | 1.1.0-preview |
[預覽]:設定 Linux Arc 機器的 ChangeTracking 擴充功能 | 將 Linux Arc 機器設定為自動安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視器代理程式支援的虛擬機和位置。 | DeployIfNotExists, Disabled | 2.0.0-preview |
[預覽]:設定 Windows Arc 計算機的 ChangeTracking 延伸模組 | 將 Windows Arc 機器設定為自動安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心 中啟用檔案完整性監視(FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 擴充功能可以安裝在 Azure 監視器代理程式支援的虛擬機和位置。 | DeployIfNotExists, Disabled | 2.0.0-preview |
[預覽]:將已啟用Linux Arc的機器設定為與 ChangeTracking 和清查的數據收集規則相關聯 | 部署關聯,將已啟用 Linux Arc 的電腦連結至指定的數據收集規則,以啟用 ChangeTracking 和清查。 隨著支援增加,位置清單會隨著時間更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定已啟用Linux Arc的機器以安裝 AMA 以進行 ChangeTracking 和清查 | 在已啟用Linux Arc的機器上自動部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和清查。 如果支援區域,此原則將會安裝延伸模組。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.3.0-preview |
[預覽]:設定支援的Linux Arc機器以自動安裝 Azure 安全性代理程式 | 設定支援的Linux Arc機器以自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 目標 Linux Arc 機器必須位於支援的位置。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定支援的 Windows Arc 機器以自動安裝 Azure 安全性代理程式 | 設定支援的 Windows Arc 機器以自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 目標 Windows Arc 機器必須位於支援的位置。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:將已啟用 Windows Arc 的機器設定為與 ChangeTracking 和清查的數據收集規則相關聯 | 部署關聯以連結已啟用 Windows Arc 的電腦至指定的數據收集規則,以啟用 ChangeTracking 和清查。 隨著支援增加,位置清單會隨著時間更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:設定已啟用 Windows Arc 的機器以安裝 AMA 以進行 ChangeTracking 和清查 | 在已啟用 Windows Arc 的機器上自動部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和清查。 如果支援操作系統和區域且已啟用系統指派的受控識別,則此原則會安裝擴充功能,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:將 Windows Server 設定為停用本機使用者。 | 建立來賓設定指派,以設定在 Windows Server 上停用本機使用者。 這可確保 Windows Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許的使用者清單存取,以改善整體安全性狀態。 | DeployIfNotExists, Disabled | 1.2.0-preview |
[預覽]:拒絕建立或修改延伸安全性 更新 (ESU) 授權。 | 此原則可讓您限制建立或修改 Windows Server 2012 Arc 機器的 ESU 授權。 如需定價的詳細資訊,請造訪 https://aka.ms/ArcWS2012ESUPricing | 稽核, 拒絕, 停用 | 1.0.0-preview |
[預覽]:在Linux混合式計算機上部署 適用於端點的 Microsoft Defender 代理程式 | 在Linux混合式電腦上部署 適用於端點的 Microsoft Defender 代理程式 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[預覽]:在 Windows Azure Arc 機器上部署 適用於端點的 Microsoft Defender 代理程式 | 在 Windows Azure Arc 計算機上部署 適用於端點的 Microsoft Defender。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[預覽]:啟用延伸安全性 更新 (ESU) 授權,以在 Windows 2012 機器的支援生命週期結束后保護其保護。 | 啟用延伸安全性 更新 (ESU) 授權,讓 Windows 2012 機器在支援生命週期結束之後仍受到保護。 瞭解如何準備透過 AzureArc 傳遞適用於 Windows Server 2012 的延伸安全性 更新,請造訪 https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates。 如需定價的詳細資訊,請造訪 https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-preview |
[預覽]:延伸安全性 更新 應該安裝在 Windows Server 2012 Arc 計算機上。 | Windows Server 2012 Arc 機器應該已安裝 Microsoft 發行的所有擴充安全性 更新。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資訊,請造訪 https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:Linux 機器應符合 Docker 主機的 Azure 安全性基準需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 機器未針對 Docker 主機的 Azure 安全性基準中的其中一個建議正確設定。 | AuditIfNotExists, Disabled | 1.2.0-preview |
[預覽]:Linux 機器應符合 Azure 計算的 STIG 合規性需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果機器未針對 Azure 計算的 STIG 合規性需求中的其中一個建議正確設定,則機器不符合規範。 DISA (國防資訊系統局) 提供技術指南 STIG (安全性技術實作指南) ,以確保國防部 (DoD) 所需的計算 OS 安全。 如需詳細資訊,請參閱 https://public.cyber.mil/stigs/。 | AuditIfNotExists, Disabled | 1.2.0-preview |
[預覽]:已安裝 OMI 的 Linux 機器應該有 1.6.8-1 版或更新版本 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 由於 Linux OMI 套件 1.6.8-1 版中包含的安全性修正,所有機器都應該更新為最新版本。 升級使用 OMI 解決問題的應用程式/套件。 如需詳細資訊,請參閱https://aka.ms/omiguidance。 | AuditIfNotExists, Disabled | 1.2.0-preview |
[預覽]:Linux Azure Arc 機器上應安裝 Log Analytics 延伸模組 | 若未安裝 Log Analytics 延伸模組,則此原則會稽核 Linux Azure Arc 機器。 | AuditIfNotExists, Disabled | 1.0.1-preview |
[預覽]:Windows Azure Arc 機器上應安裝 Log Analytics 延伸模組 | 若未安裝 Log Analytics 延伸模組,則此原則會稽核 Windows Azure Arc 機器。 | AuditIfNotExists, Disabled | 1.0.1-preview |
[預覽]: Nexus 計算機器應符合安全性基準 | 利用 Azure 原則 客體設定代理程式進行稽核。 此原則可確保機器遵守 Nexus 計算安全性基準,其中包含各種建議,旨在針對各種弱點和不安全設定來強化計算機(僅限 Linux)。 | AuditIfNotExists, Disabled | 1.1.0-preview |
[預覽]:您的機器上應該安裝系統更新 (由更新中心提供) | 您的機器缺少系統、安全性和重大更新。 軟體更新通常包含安全性漏洞的重大修補檔。 這類漏洞經常遭到惡意程式碼攻擊,因此請務必讓軟體保持更新。 若要安裝所有未安裝的修補檔並保護您的機器,請遵循補救步驟。 | AuditIfNotExists, Disabled | 1.0.0-preview |
[預覽]:Windows 機器應符合 Azure 計算的 STIG 合規性需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果機器未針對 Azure 計算的 STIG 合規性需求中的其中一個建議正確設定,則機器不符合規範。 DISA (國防資訊系統局) 提供技術指南 STIG (安全性技術實作指南) ,以確保國防部 (DoD) 所需的計算 OS 安全。 如需詳細資訊,請參閱 https://public.cyber.mil/stigs/。 | AuditIfNotExists, Disabled | 1.0.0-preview |
稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
稽核密碼檔權限未設為 0644 的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
稽核未安裝指定應用程式的Linux機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Chef InSpec 資源指出未安裝 參數提供的一或多個套件,則機器不符合規範。 | AuditIfNotExists, Disabled | 4.2.0 |
稽核有不需要密碼之帳戶的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
稽核已安裝指定應用程式的Linux機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Chef InSpec 資源指出已安裝 參數提供的一或多個套件,則機器不符合規範。 | AuditIfNotExists, Disabled | 4.2.0 |
稽核遺漏 管理員 istrators 群組中任何指定成員的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機 管理員 istrators 群組不包含原則參數中所列的一或多個成員,則機器不符合規範。 | auditIfNotExists | 2.0.0 |
稽核 Windows 電腦網路連線能力 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 IP 和 TCP 連接埠的網路連線狀態不符合原則參數,則機器不符合規範。 | auditIfNotExists | 2.0.0 |
稽核 DSC 設定不符合規範的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 傳回機器的 DSC 設定不符合規範,則計算機不符合規範。 | auditIfNotExists | 3.0.0 |
稽核 Log Analytics 代理程式未如預期般連線的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果未安裝代理程式,或已安裝代理程式,或如果已安裝,但 COM 物件 AgentConfigManager.MgmtSvcCfg 會傳回它註冊到原則參數中所指定標識符以外的工作區。 | auditIfNotExists | 2.0.0 |
稽核未安裝指定服務的 Windows 機器,並「執行中」 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-Service 的結果不包含符合原則參數所指定狀態的服務名稱,則機器不符合規範。 | auditIfNotExists | 3.0.0 |
稽核未啟用 Windows 序列控制台的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果計算機未安裝序列控制台軟體,或EMS埠號碼或包機速率未設定與原則參數相同的值,則電腦不符合規範。 | auditIfNotExists | 3.0.0 |
稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許在指定的唯一密碼數目之後重複使用密碼的 Windows 計算機,計算機即不符合規範。 唯一密碼的預設值為 24 | AuditIfNotExists, Disabled | 2.1.0 |
稽核未加入指定網域的 Windows 計算機 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 WMI 類別中的 Domain 屬性值win32_computersystem不符合原則參數中的值,則機器不符合規範。 | auditIfNotExists | 2.0.0 |
稽核未設定為指定時區的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 WMI 類別中 StandardName 屬性的值Win32_TimeZone不符合原則參數選取的時區,則機器不符合規範。 | auditIfNotExists | 3.0.0 |
稽核包含憑證在指定天數內到期的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果指定存放區中的憑證在指定天數內有到期日超出範圍,則機器不符合規範。 此原則也提供選項,僅檢查特定憑證或排除特定憑證,以及是否報告過期的憑證。 | auditIfNotExists | 2.0.0 |
稽核不包含受信任根目錄中指定憑證的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果計算機信任的跟證書存儲 (Cert:\LocalMachine\Root) 未包含原則參數所列出的一或多個憑證,則機器不符合規範。 | auditIfNotExists | 3.0.0 |
稽核未將密碼存留期上限設定為指定天數的 Windows 計算機 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼存留期上限設定為指定的天數,則電腦不符合規範。 最大密碼存留期的預設值為70天 | AuditIfNotExists, Disabled | 2.1.0 |
稽核未將最小密碼存留期設定為指定天數的 Windows 計算機 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼存留期下限設定為指定的天數,則電腦不符合規範。 最小密碼存留期的預設值為1天 | AuditIfNotExists, Disabled | 2.1.0 |
稽核未啟用密碼複雜度設定的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未啟用密碼複雜度設定,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
稽核沒有指定 Windows PowerShell 執行原則的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-ExecutionPolicy 傳回原則參數中選取的值,則計算機不符合規範。 | AuditIfNotExists, Disabled | 3.0.0 |
稽核未安裝指定 Windows PowerShell 模組的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果模組在環境變數 PSModulePath 所指定的位置無法使用,則機器不符合規範。 | AuditIfNotExists, Disabled | 3.0.0 |
稽核未將密碼長度下限限制為指定字元數目的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼長度下限限制為指定的字元數,則電腦不符合規範。 密碼長度下限的預設值為14個字元 | AuditIfNotExists, Disabled | 2.1.0 |
稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
稽核未安裝指定應用程式的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果下列任何登錄路徑中找不到應用程式名稱,則計算機不相容:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
稽核在 管理員 istrators 群組中具有額外帳戶的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機 管理員 istrators 群組包含未列在原則參數中的成員,則計算機不符合規範。 | auditIfNotExists | 2.0.0 |
稽核未在指定天數內重新啟動的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果類別中的 WMI 屬性 LastBootUpTime Win32_Operatingsystem超出原則參數所提供的天數範圍,則機器不符合規範。 | auditIfNotExists | 2.0.0 |
稽核已安裝指定應用程式的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果在下列任一登錄路徑中找到應用程式名稱,則計算機不相容:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
稽核具有 管理員 istrators 群組中指定成員的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機 管理員 istrators 群組包含原則參數中列出的一或多個成員,則機器不相容。 | auditIfNotExists | 2.0.0 |
稽核擱置重新啟動的 Windows VM | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果計算機因下列任何原因而擱置重新啟動,則機器不符合規範:元件型服務、Windows Update、擱置檔案重新命名、擱置的計算機重新命名、擱置的計算機重新命名、組態管理員擱置重新啟動。 每個偵測都有唯一的登錄路徑。 | auditIfNotExists | 2.0.0 |
對 Linux 電腦進行驗證需要 SSH 金鑰 | 雖然 SSH 本身提供加密連線,但搭配使用密碼與 SSH 仍會讓 VM 容易受到暴力密碼破解攻擊。 透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組,也稱為 SSH 金鑰。 深入了解:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists, Disabled | 3.2.0 |
Azure Arc Private Link 範圍應設定為私人端點 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Arc Private Link 範圍,數據外泄風險會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | Audit, Disabled | 1.0.0 |
Azure Arc Private Link 範圍應停用公用網路存取 | 停用公用網路存取可藉由確保 Azure Arc 資源無法透過公用因特網連線來改善安全性。 建立私人端點可能會限制 Azure Arc 資源的暴露。 深入了解:https://aka.ms/arc/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
已啟用 Azure Arc 的伺服器應該使用 Azure Arc Private Link 範圍進行設定 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc Private Link 範圍,數據外泄風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
設定已啟用 Arc 的伺服器,並安裝 SQL Server 擴充功能,以啟用或停用 SQL 最佳做法評估。 | 啟用或停用已啟用 Arc 之伺服器上 SQL Server 實例上的 SQL 最佳做法評估,以評估最佳做法。 請至https://aka.ms/azureArcBestPracticesAssessment,即可深入瞭解。 | DeployIfNotExists, Disabled | 1.0.1 |
設定已啟用 Arc 的 SQL Server 以自動安裝 Azure 監視器代理程式 | 在已啟用 Windows Arc 的 SQL Server 上自動部署 Azure 監視器代理程式擴充功能。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.3.0 |
設定已啟用 Arc 的 SQL Server 以自動安裝適用於 SQL 的 Microsoft Defender | 設定已啟用 Windows Arc 的 SQL Server 來自動安裝適用於 SQL 的 Microsoft Defender 代理程式。 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 | DeployIfNotExists, Disabled | 1.2.0 |
設定已啟用 Arc 的 SQL Server,以使用 Log Analytics 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 在與機器相同的區域中建立資源群組、數據收集規則和Log Analytics工作區。 | DeployIfNotExists, Disabled | 1.3.0 |
設定已啟用 Arc 的 SQL Server,以使用使用者定義的 LA 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 在與用戶定義的Log Analytics工作區相同的區域中建立資源群組和數據收集規則。 | DeployIfNotExists, Disabled | 1.4.0 |
設定已啟用 Arc 的 SQL Server 與適用於 SQL DCR 的 Microsoft Defender 的數據收集規則關聯 | 設定已啟用 Arc 的 SQL Server 與適用於 SQL DCR 的 Microsoft Defender 之間的關聯。 刪除此關聯將會中斷偵測此已啟用 Arc 之 SQL Server 的安全性弱點。 | DeployIfNotExists, Disabled | 1.1.0 |
設定已啟用 Arc 的 SQL Server 與適用於 SQL 使用者定義 DCR 的 Microsoft Defender 的數據收集規則關聯 | 設定已啟用 Arc 的 SQL Server 與適用於 SQL 使用者定義 DCR 的 Microsoft Defender 之間的關聯。 刪除此關聯將會中斷偵測此已啟用 Arc 之 SQL Server 的安全性弱點。 | DeployIfNotExists, Disabled | 1.2.0 |
設定 Azure Arc Private Link 範圍以停用公用網路存取 | 停用 Azure Arc Private Link 範圍的公用網路存取,讓相關聯的 Azure Arc 資源無法透過公用因特網連線到 Azure Arc 服務。 這可降低資料洩漏風險。 深入了解:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
使用私人端點設定 Azure Arc Private Link 範圍 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Arc Private Link 範圍,您可以降低數據外泄風險。 深入了解私人連結:https://aka.ms/arc/privatelink。 | DeployIfNotExists, Disabled | 2.0.0 |
設定已啟用 Azure Arc 的伺服器以使用 Azure Arc Private Link 範圍 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc Private Link 範圍,數據外泄風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
將適用於伺服器的 Azure Defender 設定為針對所有資源停用 (資源層級) | 適用於伺服器的 Azure Defender 提供伺服器工作負載的即時威脅防護,並產生強化建議,以及可疑活動的警示。 此原則會針對所選範圍(訂用帳戶或資源群組)中的所有資源(VM、VMSS 和 ARC 機器)停用適用於伺服器的 Defender 方案。 | DeployIfNotExists, Disabled | 1.0.0 |
將適用於伺服器的 Azure Defender 設定為停用具有所選標籤的資源 (資源層級) | 適用於伺服器的 Azure Defender 提供伺服器工作負載的即時威脅防護,並產生強化建議,以及可疑活動的警示。 此原則將會針對具有所選標籤名稱和標籤的所有資源(VM、VMSS 和 ARC 機器)停用適用於伺服器的 Defender 方案。 | DeployIfNotExists, Disabled | 1.0.0 |
將適用於伺服器的 Azure Defender 設定為針對所有資源 (資源層級) 啟用 [P1] 子計劃,並具有選取的標籤 | 適用於伺服器的 Azure Defender 提供伺服器工作負載的即時威脅防護,並產生強化建議,以及可疑活動的警示。 此原則會針對具有所選標籤名稱和標籤的所有資源(VM和 ARC 計算機)啟用適用於伺服器的 Defender 方案(具有 'P1' 子計劃)。 | DeployIfNotExists, Disabled | 1.0.0 |
針對所有資源設定要啟用的適用於伺服器的 Azure Defender(具有 'P1' 子計劃)(資源層級) | 適用於伺服器的 Azure Defender 提供伺服器工作負載的即時威脅防護,並產生強化建議,以及可疑活動的警示。 此原則將會針對所選範圍(訂用帳戶或資源群組)中的所有資源(VM 和 ARC 計算機)啟用適用於伺服器的 Defender 方案(具有 'P1' 子計劃)。 | DeployIfNotExists, Disabled | 1.0.0 |
在已啟用 Azure Arc 的 Linux 伺服器上設定相依性代理程式 | 藉由安裝相依性代理程式虛擬機擴充功能,在透過已啟用Arc的伺服器和機器上啟用VM深入解析。 VM 深入解析會使用相依性代理程式來收集網路計量,以及探索到機器上執行的進程和外部進程相依性的相關數據。 檢視更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 2.0.0 |
使用 Azure 監視代理程式設定在已啟用 Azure Arc 的 Linux 伺服器上設定相依性代理程式 | 使用 Azure 監視代理程式設定安裝相依性代理程式虛擬機擴充功能,在透過已啟用 Arc 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用相依性代理程式來收集網路計量,以及探索到機器上執行的進程和外部進程相依性的相關數據。 檢視更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 1.1.2 |
在已啟用 Azure Arc 的 Windows 伺服器上設定相依性代理程式 | 藉由安裝相依性代理程式虛擬機擴充功能,在透過已啟用Arc的伺服器和機器上啟用VM深入解析。 VM 深入解析會使用相依性代理程式來收集網路計量,以及探索到機器上執行的進程和外部進程相依性的相關數據。 檢視更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 2.0.0 |
使用 Azure 監視代理程式設定在已啟用 Azure Arc 的 Windows 伺服器上設定相依性代理程式 | 使用 Azure 監視代理程式設定安裝相依性代理程式虛擬機擴充功能,在透過已啟用 Arc 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用相依性代理程式來收集網路計量,以及探索到機器上執行的進程和外部進程相依性的相關數據。 檢視更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 1.1.2 |
將 Linux Arc 機器設定為與資料收集規則或數據收集端點相關聯 | 部署關聯,將 Linux Arc 機器連結至指定的數據收集規則或指定的數據收集端點。 隨著支援增加,位置清單會隨著時間更新。 | DeployIfNotExists, Disabled | 2.2.0 |
設定已啟用Linux Arc的機器以執行 Azure 監視器代理程式 | 自動化在已啟用 Linux Arc 的機器上部署 Azure 監視器代理程式擴充功能,以從客體 OS 收集遙測數據。 如果支援區域,此原則將會安裝延伸模組。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 2.3.0 |
設定 Linux 機器以與資料收集規則或資料收集端點相關聯 | 部署關聯,將 Linux 虛擬機、虛擬機擴展集和 Arc 機器連結至指定的數據收集規則或指定的數據收集端點。 隨著支援增加,位置和OS映像的清單會隨著時間更新。 | DeployIfNotExists, Disabled | 6.2.0 |
將 Linux 伺服器設定為停用本機使用者。 | 建立客體設定指派,以設定在Linux Server上停用本機使用者。 這可確保Linux伺服器只能由AAD (Azure Active Directory) 帳戶或此原則明確允許的使用者清單存取,以改善整體安全性狀態。 | DeployIfNotExists, Disabled | 1.3.0-preview |
在已啟用 Azure Arc 的 Linux 伺服器上設定 Log Analytics 擴充功能。 請參閱下方的淘汰通知 | 藉由安裝 Log Analytics 虛擬機擴充功能,在透過已啟用 Arc 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Log Analytics 代理程式來收集客體 OS 效能數據,並提供其效能的深入解析。 檢視更多 - https://aka.ms/vminsightsdocs。 淘汰通知:Log Analytics 代理程式位於取代路徑上,且在 2024 年 8 月 31 日之後將不會受到支援。 您必須在該日期之前移轉至取代的「Azure 監視器代理程式」 | DeployIfNotExists, Disabled | 2.1.1 |
在已啟用 Azure Arc 的 Windows 伺服器上設定 Log Analytics 擴充功能 | 藉由安裝 Log Analytics 虛擬機擴充功能,在透過已啟用 Arc 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Log Analytics 代理程式來收集客體 OS 效能數據,並提供其效能的深入解析。 檢視更多 - https://aka.ms/vminsightsdocs。 淘汰通知:Log Analytics 代理程式位於取代路徑上,且在 2024 年 8 月 31 日之後將不會受到支援。 您必須在該日期之前移轉至取代的「Azure 監視器代理程式」。 | DeployIfNotExists, Disabled | 2.1.1 |
設定計算機以接收弱點評估提供者 | Azure Defender 包含您機器的弱點掃描,不需額外費用。 您不需要 Qualys 授權,甚至不需要 Qualys 帳戶 , 所有項目都會在資訊安全中心內順暢地處理。 當您啟用此原則時,Azure Defender 會自動將 Qualys 弱點評估提供者部署到尚未安裝它的所有支持機器。 | DeployIfNotExists, Disabled | 4.0.0 |
在已啟用 Azure Arc 的伺服器上設定遺漏系統更新的定期檢查 | 在已啟用 Azure Arc 的伺服器上設定 OS 更新的自動評估(每 24 小時)。 您可以根據電腦訂用帳戶、資源群組、位置或標籤控制指派的範圍。 深入瞭解 Windows 的這項功能: https://aka.ms/computevm-windowspatchassessmentmode、 適用於 Linux: https://aka.ms/computevm-linuxpatchassessmentmode。 | 修改 | 2.2.1 |
在 Windows 電腦上設定安全通訊協定(TLS 1.1 或 TLS 1.2) | 建立客體設定指派,以在 Windows 計算機上設定指定的安全通訊協定版本(TLS 1.1 或 TLS 1.2)。 | DeployIfNotExists, Disabled | 1.0.1 |
設定適用於 SQL Log Analytics 的 Microsoft Defender 工作區 | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並使用這些事件來提供安全性警示和量身打造的強化工作(建議)。 在與機器相同的區域中建立資源群組和Log Analytics工作區。 | DeployIfNotExists, Disabled | 1.2.0 |
在 Windows 電腦上設定時區。 | 此原則會建立客體設定指派,以在 Windows 虛擬機上設定指定的時區。 | deployIfNotExists | 2.1.0 |
設定要上線至 Azure Automanage 的虛擬機 | Azure Automanage 會使用適用於 Azure 的 Microsoft 雲端採用架構 中所定義的最佳做法來註冊、設定及監視虛擬機。 使用此原則將 Automanage 套用至您選取的範圍。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 |
使用自定義組態配置檔將虛擬機設定為上線至 Azure Automanage | Azure Automanage 會註冊、設定及監視虛擬機,最佳做法如適用於 Azure 的 Microsoft 雲端採用架構 所定義。 使用此原則,將 Automanage 與您自己的自定義組態配置檔套用至您選取的範圍。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
將 Windows Arc 機器設定為與數據收集規則或數據收集端點相關聯 | 部署關聯,將 Windows Arc 機器連結至指定的數據收集規則或指定的數據收集端點。 隨著支援增加,位置清單會隨著時間更新。 | DeployIfNotExists, Disabled | 2.2.0 |
設定已啟用 Windows Arc 的機器以執行 Azure 監視器代理程式 | 自動化在已啟用 Windows Arc 的機器上部署 Azure 監視器代理程式擴充功能,以從客體 OS 收集遙測數據。 如果支援操作系統和區域且已啟用系統指派的受控識別,則此原則會安裝擴充功能,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 2.4.0 |
設定 Windows 機器以與資料收集規則或資料收集端點相關聯 | 部署關聯,將 Windows 虛擬機、虛擬機擴展集和 Arc 機器連結至指定的數據收集規則或指定的數據收集端點。 隨著支援增加,位置和OS映像的清單會隨著時間更新。 | DeployIfNotExists, Disabled | 4.3.0 |
應解決您機器上端點保護健康情況的問題 | 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists, Disabled | 1.0.0 |
您的機器上應安裝端點保護 | 若要保護您的機器免於威脅和弱點的侵害,請安裝支援的端點保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0 |
已啟用Linux Arc的機器應該已安裝 Azure 監視器代理程式 | 應透過已部署的 Azure 監視器代理程式來監視及保護已啟用 Linux Arc 的電腦。 Azure 監視器代理程式會從客體 OS 收集遙測數據。 此原則會稽核支持區域中已啟用Arc的電腦。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 1.1.0 |
Linux 機器應在 Azure Arc 上安裝 Log Analytics 代理程式 | 如果已啟用 Azure Arc 的 Linux 伺服器上未安裝 Log Analytics 代理程式,則機器不相容。 | AuditIfNotExists, Disabled | 1.1.0 |
Linux 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
Linux 機器應該只有允許的本機帳戶 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 使用 Azure Active Directory 管理用戶帳戶是管理身分識別的最佳做法。 減少本機計算機帳戶有助於防止在中央系統外部管理的身分識別激增。 如果本機用戶帳戶已啟用且未列在原則參數中,則計算機不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
Linux 電腦上應停用本機驗證方法 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 伺服器未停用本機驗證方法,則機器不符合規範。 這是為了驗證 Linux 伺服器只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許的使用者清單存取,以改善整體安全性狀態。 | AuditIfNotExists, Disabled | 1.2.0-preview |
應在 Windows Server 上停用本機驗證方法 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 伺服器未停用本機驗證方法,則電腦不符合規範。 這是為了驗證 Windows Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許的使用者清單存取,以改善整體安全性狀態。 | AuditIfNotExists, Disabled | 1.0.0-preview |
機器應該設定定期檢查,以檢查是否有遺漏的系統更新 | 為了確保每隔 24 小時自動觸發遺漏系統更新的定期評量,AssessmentMode 屬性應該設定為 'AutomaticByPlatform'。 在以下位置深入了解 AssessmentMode 屬性,針對 Windows:https://aka.ms/computevm-windowspatchassessmentmode,針對 Linux:https://aka.ms/computevm-linuxpatchassessmentmode。 | Audit, Deny, Disabled | 3.7.0 |
使用 Azure Update Manager 排程週期性更新 | 您可以使用 Azure 中的 Azure Update Manager 來儲存週期性部署排程,以在 Azure、內部部署環境中,以及在使用已啟用 Azure Arc 的伺服器連線的其他雲端環境中,為 Windows Server 和 Linux 機器安裝操作系統更新。 此原則也會將 Azure 虛擬機的修補模式變更為 『AutomaticByPlatform』。 如需詳細資訊,請參閱: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
機器上的 SQL Server 應已解決發現的弱點 | SQL 弱點評估會掃描您的資料庫以尋找安全性弱點,並顯示與最佳做法不符的偏差動作,例如設定錯誤、過度授權或未保護敏感性資料。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0 |
將已啟用 Arc 的 SQL Server 實例訂閱到擴充安全性 更新。 | 訂閱已啟用 Arc 的 SQL Server 實例,並將 [授權類型] 設定為 [付費] 或 [PAYG] 設定為 [擴充安全性 更新]。 如需延伸安全性更新 https://go.microsoft.com/fwlink/?linkid=2239401的詳細資訊。 | DeployIfNotExists, Disabled | 1.0.0 |
舊版 Log Analytics 擴充功能不應該安裝在已啟用 Azure Arc 的 Linux 伺服器上 | 自動防止將舊版Log Analytics代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 卸載現有的舊版擴充功能之後,此原則將會拒絕在已啟用 Azure Arc 的 Linux 伺服器上安裝舊版代理程式延伸模組的所有未來安裝。 深入了解:https://aka.ms/migratetoAMA | 拒絕、稽核、已停用 | 1.0.0 |
舊版 Log Analytics 擴充功能不應該安裝在已啟用 Azure Arc 的 Windows 伺服器上 | 自動防止將舊版Log Analytics代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 卸載現有的舊版擴充功能之後,此原則將會拒絕所有未來在已啟用 Azure Arc 的 Windows 伺服器上安裝舊版代理程序擴充功能。 深入了解:https://aka.ms/migratetoAMA | 拒絕、稽核、已停用 | 1.0.0 |
已啟用 Windows Arc 的機器應該已安裝 Azure 監視器代理程式 | 應透過已部署的 Azure 監視器代理程式來監視及保護已啟用 Windows Arc 的電腦。 Azure 監視器代理程式會從客體 OS 收集遙測數據。 支援區域中已啟用 Windows Arc 的機器會監視 Azure 監視器代理程式部署。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 1.2.0 |
應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
Windows 機器應該設定為使用安全通訊協定 | 若要保護透過網際網路通訊的資訊隱私權,您的機器應該使用最新版的業界標準密碼編譯通訊協定、傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 | AuditIfNotExists, Disabled | 4.1.1 |
Windows 計算機應將 Windows Defender 設定為在一天內更新保護簽章 | 若要針對新發行的惡意代碼提供適當的保護,Windows Defender 保護簽章必須定期更新,以考慮新發行的惡意代碼。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.0 |
Windows 計算機應啟用 Windows Defender 實時保護 | Windows 計算機應該啟用 Windows Defender 中的即時保護,以針對新發行的惡意代碼提供適當的保護。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.0 |
Windows 機器應在 Azure Arc 上安裝 Log Analytics 代理程式 | 如果已啟用 Azure Arc 的 Windows 伺服器上未安裝 Log Analytics 代理程式,則機器不相容。 | AuditIfNotExists, Disabled | 2.0.0 |
Windows 計算機應符合「管理員 範本 - 控制台」的需求 | Windows 計算機應該在 [管理員 原則範本 - 控制台] 類別中指定組策略設定,以輸入個人化和防止啟用鎖定畫面。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 機器應符合「管理員 範本 - MSS (舊版)」 的需求 | Windows 計算機應該在 [管理員 原則範本 - MSS (舊版)] 類別中具有指定的組策略設定,以便自動登入、螢幕保護程式、網路行為、安全 DLL 和事件記錄檔。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「管理員 原則範本 - 網路」的需求 | Windows 計算機應該在來賓登入、同時連線、網路網橋、ICS 和多播名稱解析的「管理員 原則 - 網路」類別中指定組策略設定。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 機器應符合「管理員 範本 - 系統」的需求 | Windows 電腦應具有 「管理員 原則 - 系統」類別中指定組策略設定,用於控制系統管理體驗和遠端協助的設定。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 帳戶」的需求 | Windows 計算機應該在 [安全性選項 - 帳戶] 類別中具有指定的組策略設定,以限制本機帳戶使用空白密碼和來賓帳戶狀態。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 稽核」的需求 | Windows 計算機應該在 [安全性選項 - 稽核] 類別中具有指定的組策略設定,以強制稽核原則子類別,並在無法記錄安全性稽核時關閉。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「安全性選項 - 裝置」的需求 | Windows 計算機應該在 [安全性選項 - 裝置] 類別中具有指定的組策略設定,不需要登入、安裝列印驅動程式,以及格式化/退出媒體。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 互動式登錄」的需求 | Windows 計算機應該在 [安全性選項 - 互動式登錄] 類別中具有指定的組策略設定,以顯示姓氏,且需要 ctrl-alt-del。此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - Microsoft 網路用戶端」的需求 | Windows 計算機應該在 Microsoft 網络用戶端/伺服器和 SMB v1 的 [安全性選項 - Microsoft 網络用戶端] 類別中具有指定的組策略設定。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - Microsoft 網路伺服器」的需求 | Windows 計算機應該在 [安全性選項 - Microsoft 網络伺服器] 類別中具有指定的組策略設定,以停用 SMB v1 伺服器。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 網路存取」的需求 | Windows 計算機應該在 [安全性選項 - 網络存取] 類別中具有指定的組策略設定,包括匿名使用者、本機帳戶和登錄遠端訪問。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 網路安全性」的需求 | Windows 計算機應該在 [安全性選項 - 網络安全] 類別中具有指定的組策略設定,包括本機系統行為、PKU2U、LAN Manager、LDAP 用戶端和 NTLM SSP。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 復原主控台」的需求 | Windows 電腦應在 [安全性選項 - 復原控制台] 類別中具有指定的組策略設定,以允許磁碟驅動器複製和存取所有磁碟驅動器和資料夾。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 關機」的需求 | Windows 計算機應該在 [安全性選項 - 關機] 類別中具有指定的組策略設定,以允許在不登入的情況下關機,並清除虛擬記憶體頁面檔。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 系統物件」的需求 | Windows 計算機應該在 [安全性選項 - 系統物件] 類別中具有指定的組策略設定,以區分非 Windows 子系統和內部系統物件的許可權。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 系統設定」的需求 | Windows 電腦應該在 SRP 和選擇性子系統可執行檔的憑證規則的 [安全性選項 - 系統設定] 類別中具有指定的組策略設定。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性選項 - 用戶帳戶控制」的需求 | Windows 計算機應該在系統管理員模式的 [安全性選項 - 使用者帳戶控制] 類別中具有指定的組策略設定、提高許可權提示的行為,以及虛擬化檔案和登錄寫入失敗。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「安全性 設定 - 帳戶原則」的需求 | Windows 計算機應該在密碼歷程記錄、存留期、長度、複雜度,以及使用可逆加密來儲存密碼的「安全性 設定 - 帳戶原則」類別中指定組策略設定。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統審核策略 - 帳戶登入」的需求 | Windows 計算機應該在 [系統審核策略 - 帳戶登入] 類別中具有指定的組策略設定,以稽核認證驗證和其他帳戶登入事件。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「系統審核策略 - 帳戶管理」的需求 | Windows 計算機應該在 [系統審核策略 - 帳戶管理] 類別中具有指定的組策略設定,以稽核應用程式、安全性和使用者群組管理,以及其他管理事件。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統審核策略 - 詳細追蹤」的需求 | Windows 計算機應該在 [系統審核策略 - 詳細追蹤] 類別中具有指定的組策略設定,以稽核 DPAPI、程式建立/終止、RPC 事件和 PNP 活動。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「系統審核策略 - 登入註銷」的需求 | Windows 計算機應該在 [系統審核策略 - 登入註銷] 類別中指定組策略設定,以稽核 IPSec、網路原則、宣告、帳戶鎖定、群組成員資格和登入/註銷事件。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「系統審核策略 - 物件存取」的需求 | Windows 計算機應該在 [系統審核策略 - 物件存取] 類別中指定組策略設定,以稽核檔案、登錄、SAM、記憶體、篩選、核心和其他系統類型。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「系統審核策略 - 原則變更」的需求 | Windows 計算機應該在 [系統審核策略 - 原則變更] 類別中具有指定的組策略設定,以稽核系統審核策略的變更。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「系統審核策略 - 許可權使用」的需求 | Windows 計算機應該在 [系統審核策略 - 許可權使用] 類別中具有指定的組策略設定,以稽核不區分許可權和其他許可權使用。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 機器應符合「系統審核策略 - 系統」的需求 | Windows 計算機應該在 [系統審核策略 - 系統] 類別中具有指定的組策略設定,以稽核 IPsec 驅動程式、系統完整性、系統延伸模組、狀態變更和其他系統事件。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應符合「用戶權力指派」的需求 | Windows 計算機應該在 [用戶權力指派] 類別中具有指定的組策略設定,以允許在本機登入、RDP、從網路存取,以及許多其他用戶活動。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 機器應符合「Windows 元件」的需求 | Windows 計算機應該在 「Windows 元件」類別中具有指定的組策略設定,以進行基本身份驗證、未加密的流量、Microsoft 帳戶、遙測、Cortana 和其他 Windows 行為。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 計算機應符合「Windows 防火牆屬性」的需求 | Windows 計算機應該在防火牆狀態、連線、規則管理和通知類別的 [Windows 防火牆屬性] 類別中具有指定的組策略設定。 此原則要求客體設定必要條件已部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
Windows 計算機應該只有允許的本機帳戶 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 Windows Server 2012 或 2012 R2 不支援此定義。 使用 Azure Active Directory 管理用戶帳戶是管理身分識別的最佳做法。 減少本機計算機帳戶有助於防止在中央系統外部管理的身分識別激增。 如果本機用戶帳戶已啟用且未列在原則參數中,則計算機不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
Windows 計算機應排程 Windows Defender 每天執行排程掃描 | 若要確保提示偵測惡意代碼並將其對系統的影響降到最低,建議使用 Windows Defender 的 Windows 計算機排程每日掃描。 請確定已支援 Windows Defender、預安裝於裝置上,並部署客體設定必要條件。 不符合這些需求可能會導致評估結果不正確。 在深入瞭解客體設定 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.2.0 |
Windows 計算機應該使用預設 NTP 伺服器 | 將 「time.windows.com」設定為所有 Windows 電腦的預設 NTP 伺服器,以確保所有系統上的記錄都有所有同步的系統時鐘。此原則要求客體設定必要條件已部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。