Integrierte Azure Policy-Definitionen für Azure Virtual Machines
Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure Virtual Machines. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Microsoft.Compute
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Eine verwaltete Identität muss auf Ihren Computern aktiviert sein | Ressourcen, die von Automanage verwaltet werden, sollten über eine verwaltete Identität verfügen. | Audit, Disabled | 1.0.0-preview |
[Vorschau]: Hinzufügen einer benutzerseitig zugewiesenen verwalteten Identität zum Aktivieren von Gastkonfigurationszuweisungen auf virtuellen Computern | Mit dieser Richtlinie wird eine benutzerseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die von der Gastkonfiguration unterstützt werden. Eine benutzerseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-preview |
[Vorschau]: Zuweisen einer integrierten benutzerseitig zugewiesenen verwalteten Identität zu VM-Skalierungsgruppen | Erstellen Sie eine integrierte, benutzerseitig zugewiesene, verwaltete Identität, und weisen Sie sie zu, oder weisen Sie eine vorab erstellte, benutzerseitig zugewiesene, verwaltete Identität im großen Stil VM-Skalierungsgruppen zu. Ausführlichere Dokumentation finden Sie unter aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
[Vorschau]: Zuweisen einer integrierten benutzerseitig zugewiesenen verwalteten Identität zu virtuellen Computern | Erstellen Sie eine integrierte, benutzerseitig zugewiesene, verwaltete Identität, und weisen Sie sie zu, oder weisen Sie eine vorab erstellte, benutzerseitig zugewiesene, verwaltete Identität im großen Stil VMs zu. Ausführlichere Dokumentation finden Sie unter aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
[Vorschau]: Automanage-Konfigurationsprofilzuweisung muss konform sein | Ressourcen, die von Automanage verwaltet werden, sollten einen Status besitzen, der entweder „Conformant“ oder „ConformantCorrected“ lautet. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Azure Backup sollte für Managed Disks aktiviert sein. | Stellen Sie den Schutz Ihrer Managed Disks-Instanz sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Azure-Sicherheits-Agent muss in Linux-VM-Skalierungsgruppen installiert werden | Hiermit installieren Sie den Azure-Sicherheits-Agent in Ihren Linux-VM-Skalierungsgruppen, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Azure-Sicherheits-Agent muss auf Linux-VMs installiert werden | Hiermit installieren Sie den Azure-Sicherheits-Agent auf Ihren Linux-VMs, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Azure-Sicherheits-Agent muss in Windows-VM-Skalierungsgruppen installiert werden | Hiermit installieren Sie den Azure-Sicherheits-Agent in Ihren Windows-VM-Skalierungsgruppen, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 2.1.0-preview |
[Vorschau]: Azure-Sicherheits-Agent muss auf Windows-VMs installiert sein | Hiermit installieren Sie den Azure-Sicherheits-Agent auf Ihren Windows-VMs, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 2.1.0-preview |
[Vorschau]: Startdiagnose muss auf VMs aktiviert sein | Auf virtuellen Azure-Computern sollte Boot Diagnostics aktiviert sein. | Audit, Disabled | 1.0.0-preview |
[Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrer Linux-VM installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Linux-VMs, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Die ChangeTracking-Erweiterung sollte in Ihren Linux-VM-Skalierungsgruppen installiert sein | Installieren Sie die ChangeTracking-Erweiterung in Linux-VM-Skalierungsgruppen, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrer Windows-VM installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Windows-VMs, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Die ChangeTracking-Erweiterung sollte in Ihren Windows-VM-Skalierungsgruppen installiert sein | Installieren Sie die ChangeTracking-Erweiterung in Windows-VM-Skalierungsgruppen, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Konfigurieren von Azure Defender für SQL-Agent auf VM | Konfigurieren Sie Windows-Computer für die automatische Installation von Azure Defender für SQL-Agent, auf dem der Azure Monitor-Agent installiert ist. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Erstellt eine Ressourcengruppe und einen Log Analytics-Arbeitsbereich in derselben Region, in der auch der Computer enthalten ist. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Konfigurieren der Sicherung für Azure-Datenträger (Managed Disks), die ein bestimmtes Tag für einen bestimmten Sicherungstresor in derselben Region enthalten | Erzwingen der Sicherung für alle Azure-Datenträger (Managed Disks), die ein bestimmtes Tag für einen zentralen Sicherungstresor enthalten. Weitere Informationen finden Sie unter https://aka.ms/AB-DiskBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Konfigurieren der Sicherung für Azure-Datenträger (Managed Disks), die kein bestimmtes Tag für einen bestimmten Sicherungstresor in derselben Region enthalten | Erzwingen der Sicherung für alle Azure-Datenträger (Managed Disks), die kein bestimmtes Tag für einen zentralen Sicherungstresor enthalten. Weitere Informationen finden Sie unter https://aka.ms/AB-DiskBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Konfigurieren der ChangeTracking-Erweiterung für Linux-VM-Skalierungsgruppen | Konfigurieren Sie Linux-VM-Skalierungsgruppen so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Preview]: Konfigurieren der ChangeTracking-Erweiterung für Linux-VMs | Konfigurieren Sie Linux-VMs so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Konfigurieren der ChangeTracking-Erweiterung für Windows-VM-Skalierungsgruppen | Konfigurieren Sie Windows-VM-Skalierungsgruppen so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Konfigurieren der ChangeTracking-Erweiterung für Windows-VMs | Konfigurieren Sie Windows-VMs so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Konfigurieren virtueller Linux-Computer für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand | Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Konfigurieren von Linux-VMs zum Installieren von AMA für Änderungsnachverfolgung und Bestand mit benutzerseitig zugewiesener verwalteter Identität | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Linux-Computern zum Aktivieren von Änderungsnachverfolgung und Bestand. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0-preview |
[Vorschau]: Konfigurieren von Linux-VMSS für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand | Stellen Sie eine Zuordnung bereit, um Linux-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Konfigurieren von Linux-VMMS zum Installieren von AMA für Änderungsnachverfolgung und Bestand mit benutzerseitig zugewiesener verwalteter Identität | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung für Ihre Linux-VM-Skalierungsgruppen zum Aktivieren von Änderungsnachverfolgung und Bestand. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0-preview |
[Vorschau]: Unterstützte Linux-VM-Skalierungsgruppen zum automatischen Installieren des Azure-Sicherheits-Agents konfigurieren | Konfigurieren Sie unterstützte Linux-VM-Skalierungsgruppen so, dass der Azure-Sicherheits-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Unterstützte Linux-VM-Skalierungsgruppen zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie für unterstützte Linux-VM-Skalierungsgruppen die automatische Installation der Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 6.1.0-preview |
[Vorschau]: Unterstützte Linux-VMs konfigurieren, um den sicheren Start automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Linux-Computer so, dass „Sicherer Start“ automatisch aktiviert wird, um schädliche und nicht autorisierte Änderungen an der Startkette zu verhindern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. | DeployIfNotExists, Disabled | 5.0.0-preview |
[Vorschau]: Unterstützte Linux-VMs zum automatischen Installieren des Azure Security-Agents konfigurieren | Konfigurieren Sie unterstützte Linux-VMs für die automatische Installation des Azure Security-Agents. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 7.0.0-preview |
[Vorschau]: Unterstützte Linux-VMs zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie für unterstützte Linux-VMs die automatische Installation der Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 7.1.0-preview |
[Vorschau]: Unterstützte VMs konfigurieren, um vTPM automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Computer so, dass vTPM automatisch aktiviert wird, um „Kontrollierter Start“ und andere Sicherheitsfeatures des Betriebssystems zu erleichtern, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Unterstützte Windows-Computer zum automatischen Installieren des Azure Security-Agents konfigurieren | Unterstützte Windows-Computer zum automatischen Installieren des Azure Security-Agents konfigurieren. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 5.1.0-preview |
[Vorschau]: Unterstützte Windows-VM-Skalierungsgruppen zum automatischen Installieren des Azure-Sicherheits-Agents konfigurieren | Hiermit konfigurieren Sie unterstützte Windows-VM-Skalierungsgruppen so, dass der Azure-Sicherheits-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Ziel-VM-Skalierungsgruppen unter Windows müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 2.1.0-preview |
[Vorschau]: Unterstützte Windows-VM-Skalierungsgruppen zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie für unterstützte Windows-VM-Skalierungsgruppen die automatische Installation der Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 4.1.0-preview |
[Vorschau]: Unterstützte Windows-VMs konfigurieren, um den sicheren Start automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Windows-Computer so, dass „Sicherer Start“ automatisch aktiviert wird, um schädliche und nicht autorisierte Änderungen an der Startkette zu verhindern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. | DeployIfNotExists, Disabled | 3.0.0-preview |
[Vorschau]: Unterstützte Windows-VMs zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie für unterstützte Windows-VMs die automatische Installation der Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 5.1.0-preview |
[Vorschau]: Konfigurieren einer systemseitig zugewiesenen verwalteten Identität zum Aktivieren von Azure Monitor-Zuweisungen auf VMs | Konfigurieren Sie eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs, die von Azure Monitor unterstützt werden und über keine systemseitig zugewiesene verwaltete Identität verfügen. Eine systemseitig zugewiesene verwaltete Identität ist Voraussetzung für sämtliche Azure Monitor-Zuweisungen und muss den Computern zugewiesen werden, bevor eine Azure Monitor-Erweiterung verwendet wird. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | Modify, Disabled | 6.0.0-preview |
[Vorschau]: Konfigurieren von VMs, die mit Images der Shared Image Gallery erstellt wurden, um die Erweiterung für den Gastnachweis zu installieren | Konfigurieren Sie VMs, die mit Images der Shared Image Gallery erstellt wurden, um die Erweiterung für den Gastnachweis automatisch zu installieren, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Konfigurieren von VMSS, die mit Images der Shared Image Gallery erstellt wurden, um die Erweiterung für den Gastnachweis zu installieren | Konfigurieren Sie VMSS, die mit Images aus der Shared Image Gallery erstellt wurden, um die Erweiterung für den Gastnachweis automatisch zu installieren, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 2.1.0-preview |
[Vorschau]: Konfigurieren von Windows Server, um lokale Benutzer zu deaktivieren. | Erstellt eine Gastkonfigurationszuweisung, um die Deaktivierung lokaler Benutzer unter Windows Server zu konfigurieren. Dadurch wird sichergestellt, dass auf Windows Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | DeployIfNotExists, Disabled | 1.2.0-preview |
[Vorschau]: Konfigurieren virtueller Windows-Computer für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand | Stellen Sie eine Zuordnung bereit, um virtuelle Windows-Computer mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Konfigurieren von Windows-VMs zum Installieren von AMA für Änderungsnachverfolgung und Bestand mit benutzerseitig zugewiesener verwalteter Identität | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Windows-Computern zum Aktivieren von Änderungsnachverfolgung und Bestand. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.1.0-preview |
[Vorschau]: Konfigurieren von Windows-VMSS für die Zuordnung zu einer Datensammlungsregel für Änderungsnachverfolgung und Bestand | Stellen Sie eine Zuordnung bereit, um Windows-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Konfigurieren von Windows-VMSS zum Installieren von AMA für Änderungsnachverfolgung und Bestand mit benutzerseitig zugewiesener verwalteter Identität | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung für Ihre Windows-VM-Skalierungsgruppen zum Aktivieren von Änderungsnachverfolgung und Bestand. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.1.0-preview |
[Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt auf virtuellen Linux-Computern | Stellen Sie den Agent für Microsoft Defender für Endpunkt auf den entsprechenden Images virtueller Linux-Computer bereit. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
[Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt auf virtuellen Windows-Computern | Stellen Sie Microsoft Defender für Endpunkt auf den entsprechenden Images virtueller Windows-Computer bereit. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
[Vorschau]: Aktivieren der vom System zugewiesenen Identität für SQL-VM- | Aktivieren Sie die systemseitig zugewiesene Identität im großen Stil auf SQL-VMs. Sie müssen diese Richtlinie auf Abonnementebene zuweisen. Die Zuweisung auf Ressourcengruppenebene funktioniert nicht wie erwartet. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie auf unterstützten Linux-VMs die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Vorschau]: Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie in unterstützten Linux-VM-Skalierungsgruppen die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 5.1.0-preview |
[Vorschau]: Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie auf unterstützten VMs die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Windows-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 4.0.0-preview |
[Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie in unterstützten VM-Skalierungsgruppen die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Windows-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 3.1.0-preview |
[Preview]: Linux-Computer müssen die Anforderungen der Azure-Sicherheitsbaseline für Docker-Hosts erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Der Computer ist nicht richtig für eine der Empfehlungen in der Azure-Sicherheitsbaseline für Docker-Hosts konfiguriert. | AuditIfNotExists, Disabled | 1.2.0-preview |
[Vorschau]: Linux-Computer müssen die STIG-Complianceanforderung für Azure Compute erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in den STIG-Konformitätsanforderungen für Azure Compute nicht richtig konfiguriert ist. DISA (Defense Information Systems Agency) bietet technische Leitfäden, STIG (Security Technical Implementation Guide), zur Sicherung des Compute-Betriebssystems gemäß den Anforderungen des US-Verteidigungsministeriums (Department of Defense, DoD). Weitere Details finden Sie unter https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-preview |
[Vorschau]: Auf Linux-Computern mit installierter OMI muss mindestens Version 1.6.8-1 installiert sein | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Aufgrund eines Sicherheitsfixes, der in Version 1.6.8-1 des OMI-Pakets für Linux enthalten ist, sollten alle Computer auf das neueste Release aktualisiert werden. Upgraden Sie Apps/Pakete, die OMI verwenden, um das Problem zu beheben. Weitere Informationen finden Sie unter https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-preview |
[Vorschau]: Linux-VMs sollten nur signierte und vertrauenswürdige Startkomponenten verwenden | Alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) müssen von vertrauenswürdigen Herausgebern signiert werden. Defender für Cloud hat nicht vertrauenswürdige Betriebssystemstartkomponenten auf einem oder mehreren Ihrer Linux-Computer identifiziert. Um Ihre Computer vor potenziell schädlichen Komponenten zu schützen, fügen Sie sie Ihrer Positivliste hinzu, oder entfernen Sie die identifizierten Komponenten. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Linux-VMs sollten Secure Boot verwenden | Zum Schutz vor der Installation von auf Schadsoftware basierten Rootkits und Startkits aktivieren Sie „Sicherer Start“ auf unterstützten virtuellen Linux-Computern. „Sicherer Start“ stellt sicher, dass nur signierte Betriebssysteme und Treiber ausgeführt werden können. Diese Bewertung gilt nur für virtuelle Linux-Computer, auf denen der Azure Monitor-Agent installiert ist. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Die Log Analytics-Erweiterung sollte für die aufgeführten VM-Images aktiviert sein | Meldet virtuelle Computer als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1-preview |
[Vorschau]: Auf Computern sollten Ports geschlossen sein, die Angriffsvektoren verfügbar machen könnten | Die Nutzungsbedingungen von Azure verhindern die Verwendung von Azure-Diensten auf eine Weise, die einen Microsoft-Server oder das Netzwerk beschädigen, deaktivieren, überlasten oder beeinträchtigen könnte. Die durch diese Empfehlung identifizierten verfügbar gemachten Ports müssen geschlossen werden, um die Sicherheit weiter zu erhöhen. Für jeden identifizierten Port enthält die Empfehlung auch eine Erläuterung der potenziellen Bedrohung. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Verwaltete Datenträger sollten zonenresilient sein | Verwaltete Datenträger können entweder als zonenausgerichtet, zonenredundant oder nichts davon konfiguriert werden. Verwaltete Datenträger mit genau einer Zonenzuweisung sind zonenausgerichtet. Verwaltete Datenträger mit einem SKU-Namen, der auf ZRS endet, sind zonenredundant. Diese Richtlinie unterstützt die Identifizierung und Erzwingung dieser Resilienzkonfigurationen für verwaltete Datenträger. | Audit, Deny, Disabled | 1.0.0-preview |
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Vorschau]: Für unterstützte Windows-VMs muss der sichere Neustart aktiviert sein | Die Aktivierung von „Sicherer Start“ auf unterstützten virtuellen Computern dient als Schutz vor schädlichen und nicht autorisierten Änderungen der Startkette. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. Diese Bewertung gilt für Windows-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | Audit, Disabled | 4.0.0-preview |
[Vorschau]: Legt die Voraussetzung für die Planung wiederkehrender Updates auf virtuellen Azure-Maschinen fest. | Diese Richtlinie legt die erforderliche Voraussetzung fest, um wiederkehrende Updates im Azure Update Manager zu planen, indem die Patch-Orchestrierung auf "Vom Kunden verwaltete Zeitpläne" konfiguriert wird. Diese Änderung legt den Patchmodus automatisch auf "AutomaticByPlatform" fest und aktiviert "BypassPlatformSafetyChecksOnUserSchedule" auf "True" auf Azure-VMs. Die Voraussetzung gilt nicht für Arc-fähige Server. Weitere Informationen - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, Disabled | 1.1.0-preview |
[Vorschau]: Skalierungssätze für VMs sollten zonenresilient sein | VM-Skalierungsgruppen können entweder mit Zonenausrichtung, Zonenredundanz oder keinem konfiguriert werden. VM-Skalierungsgruppen, die genau einen Eintrag in ihrem Zonenarray aufweisen, werden als zonenausgerichtet betrachtet. Im Gegensatz dazu werden VM-Skalierungsgruppen mit drei oder mehr Einträgen in ihrem Zonenarray und einer Kapazität von mindestens drei als zonenredundant erkannt. Diese Richtlinie hilft dabei, diese Resilienzkonfigurationen zu identifizieren und zu erzwingen. | Audit, Deny, Disabled | 1.0.0-preview |
[Vorschau]: Der Gastnachweisstatus der virtuellen Computer sollte fehlerfrei sein | Der Gastnachweis wird durchgeführt, indem ein vertrauenswürdiges Protokoll (TCGLog) an einen Nachweisserver gesendet wird. Der Server verwendet diese Protokolle zur Ermittlung, ob Startkomponenten vertrauenswürdig sind. Diese Bewertung dient dazu, Gefährdungen der Startkette zu erkennen, die das Ergebnis einer Startkit- oder Rootkit-Infektion sein könnten. Diese Bewertung gilt nur für virtuelle Computer mit aktiviertem vertrauenswürdigen Start, auf denen die Erweiterung für den Gastnachweis installiert ist. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: VMs sollten zonenausgerichtet sein | VMs können so konfiguriert werden, dass sie entweder zonenausgerichtet sind oder nicht. Sie werden als zonenausgerichtet betrachtet, wenn sie nur einen Eintrag in ihrem Zonenarray haben. Diese Richtlinie stellt sicher, dass sie für den Betrieb innerhalb einer einzelnen Verfügbarkeitszone konfiguriert sind. | Audit, Deny, Disabled | 1.0.0-preview |
[Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden | Aktivieren Sie ein virtuelles TPM-Gerät auf unterstützten virtuellen Computern, um die Nutzung von „Kontrollierter Start“ und anderen Sicherheitsfeatures des Betriebssystems zu ermöglichen, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs. | Audit, Disabled | 2.0.0-preview |
[Vorschau]: Windows-Computer müssen die STIG-Konformitätsanforderungen für Azure Compute erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in den STIG-Konformitätsanforderungen nicht richtig konfiguriert ist. DISA (Defense Information Systems Agency) bietet technische Leitfäden, STIG (Security Technical Implementation Guide), zur Sicherung des Compute-Betriebssystems gemäß den Anforderungen des US-Verteidigungsministeriums (Department of Defense, DoD). Weitere Details finden Sie unter https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-preview |
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
Zulässige SKUs für VM-Größen | Über diese Richtlinie können Sie einen Satz von SKUs für VM-Größen angeben, die Ihre Organisation bereitstellen kann. | Verweigern | 1.0.1 |
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. | AuditIfNotExists, Disabled | 3.1.0 |
Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. | AuditIfNotExists, Disabled | 3.1.0 |
Linux-Computer überwachen, auf denen die angegebenen Anwendungen nicht installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die Chef InSpec-Ressource angibt, dass mindestens eins der durch den Parameter angegebenen Pakete nicht installiert ist. | AuditIfNotExists, Disabled | 4.2.0 |
Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. | AuditIfNotExists, Disabled | 3.1.0 |
Linux-Computer überwachen, auf denen die angegebenen Anwendungen installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die Chef InSpec-Ressource angibt, dass mindestens eins der durch den Parameter angegebenen Pakete installiert ist. | AuditIfNotExists, Disabled | 4.2.0 |
Überwachen des SSH-Sicherheitsstatus für Linux (mit OSConfig) | Diese Richtlinie überwacht die Sicherheitskonfiguration des SSH-Servers auf Linux-Computern (Azure-VMs und Arc-fähige Computer). Weitere Informationen, einschließlich Voraussetzungen, Einstellungen im Geltungsbereich, Standardwerten und Anpassungen, finden Sie unter https://aka.ms/SshPostureControlOverview | AuditIfNotExists, Disabled | 1.0.1 |
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden. | Überwachung | 1.0.0 |
Windows-Computer überwachen, auf denen angegebene Mitglieder in der Administratorengruppe fehlen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eins der im Richtlinienparameter angegebenen Mitglieder nicht in der lokalen Administratorgruppe enthalten ist. | auditIfNotExists | 2.0.0 |
Netzwerkkonnektivität von Windows-Computern überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn ein Netzwerkverbindungsstatus für eine IP-Adresse oder einen TCP-Port nicht dem Richtlinienparameter entspricht. | auditIfNotExists | 2.0.0 |
Windows-Computer mit nicht konformer DSC-Konfiguration überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn durch den Windows PowerShell-Befehl „Get-DSCConfigurationStatus“ zurückgegeben wird, dass die DSC-Konfiguration für den Computer nicht konform ist. | auditIfNotExists | 3.0.0 |
Windows-Computer überwachen, auf denen der Log Analytics-Agent nicht wie erwartet verbunden ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Agent nicht installiert ist, oder wenn er installiert ist, das COM-Objekt „AgentConfigManager.MgmtSvcCfg“ jedoch zurückgibt, dass er nicht bei dem Arbeitsbereich registriert ist, der der im Richtlinienparameter angegebenen ID entspricht. | auditIfNotExists | 2.0.0 |
Windows-Computer überwachen, auf denen die angegebenen Dienste nicht installiert sind und ausgeführt werden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn das Ergebnis des Windows PowerShell-Befehls „Get-Service“ nicht den Dienstnamen mit entsprechendem Status enthält (gemäß Angabe durch den Richtlinienparameter). | auditIfNotExists | 3.0.0 |
Windows-Computer ohne aktivierte serielle Windows-Konsole überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn auf dem Computer die Software der seriellen Konsole nicht installiert ist oder wenn die EMS-Portnummer oder die Baudrate nicht mit den Werten aus den Richtlinienparametern konfiguriert ist. | auditIfNotExists | 3.0.0 |
Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen. Der Standardwert für eindeutige Kennwörter ist 24. | AuditIfNotExists, Disabled | 2.1.0 |
Windows-Computer überwachen, die nicht in die angegebene Domäne eingebunden sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Wert der Eigenschaft „Domain“ in der WMI-Klasse „win32_computersystem“ nicht dem Wert im Richtlinienparameter entspricht. | auditIfNotExists | 2.0.0 |
Windows-Computer überwachen, die nicht auf die angegebene Zeitzone festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Wert der Eigenschaft „StandardName“ in der WMI-Klasse „Win32_TimeZone“ nicht der für den Richtlinienparameter ausgewählten Zeitzone entspricht. | auditIfNotExists | 3.0.0 |
Windows-Computer überwachen, auf denen Zertifikate innerhalb der angegebenen Anzahl von Tagen ablaufen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn das Ablaufdatum von Zertifikaten im angegebenen Speicher außerhalb der als Parameter angegeben Anzahl von Tagen liegt. Die Richtlinie bietet auch die Möglichkeit, nur bestimmte Zertifikate zu überprüfen oder bestimmte Zertifikate auszuschließen, und Sie können angeben, ob abgelaufene Zertifikate gemeldet werden sollen. | auditIfNotExists | 2.0.0 |
Windows-Computer überwachen, die nicht die angegebenen Zertifikate im vertrauenswürdigen Stamm enthalten | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eines der durch den Richtlinienparameter angegebenen Zertifikate nicht im vertrauenswürdigen Stammzertifikatspeicher des Computers (Cert:\LocalMachine\Root) enthalten ist. | auditIfNotExists | 3.0.0 |
Windows-Computer überwachen, für die nicht das maximale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das maximale Kennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das maximale Kennwortalter beträgt 70 Tage. | AuditIfNotExists, Disabled | 2.1.0 |
Windows-Computer überwachen, für die nicht das minimale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das Mindestkennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das Mindestalter des Kennworts beträgt 1 Tag. | AuditIfNotExists, Disabled | 2.1.0 |
Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist. | AuditIfNotExists, Disabled | 2.0.0 |
Windows-VMs ohne die angegebene Windows PowerShell-Ausführungsrichtlinie überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Windows PowerShell-Befehl „Get-ExecutionPolicy“ einen anderen Wert zurückgibt als denjenigen, der im Richtlinienparameter angegeben wurde. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-VMs ohne Installation der angegebenen Windows PowerShell-Module überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn ein Modul an einem durch die Umgebungsvariable „PSModulePath“ angegebenen Speicherort nicht verfügbar ist. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die keine Mindestkennwortlänge festgelegt ist. Der Standardwert für die Mindestkennwortlänge beträgt 14 Zeichen | AuditIfNotExists, Disabled | 2.1.0 |
Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. | AuditIfNotExists, Disabled | 2.0.0 |
Windows-Computer überwachen, auf denen die angegebenen Anwendungen nicht installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Anwendungsname an keinem der folgenden Registrierungspfade gefunden wird: „HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall“, „HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall“, „HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall“. | auditIfNotExists | 2.0.0 |
Windows-Computer überwachen, die zusätzliche Konten in der Administratorgruppe enthalten | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe Mitglieder enthält, die im Richtlinienparameter nicht angegeben sind. | auditIfNotExists | 2.0.0 |
Windows-Computer überwachen, die nicht innerhalb der angegebenen Anzahl von Tagen neu gestartet wurden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die WMI-Eigenschaft „LastBootUpTime“ in der Klasse „Win32_Operatingsystem“ außerhalb des durch den Richtlinienparameter angegebenen Bereichs von Tagen liegt. | auditIfNotExists | 2.0.0 |
Windows-Computer überwachen, auf denen die angegebenen Anwendungen installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Anwendungsname an einem der folgenden Registrierungspfade gefunden wird: „HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall“, „HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall“, „HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall“. | auditIfNotExists | 2.0.0 |
Windows-Computer überwachen, auf denen die angegebenen Mitglieder in der Administratorengruppe enthalten sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe mindestens eins der Mitglieder enthält, die im Richtlinienparameter angegeben sind. | auditIfNotExists | 2.0.0 |
Windows-VMs mit ausstehendem Neustart überwachen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn aus einem der folgenden Gründe ein Neustart des Computers aussteht: komponentenbasierte Wartung, Windows-Update, ausstehende Dateiumbenennung, ausstehende Computerumbenennung, ausstehender Neustart durch den Konfigurations-Manager. Jede Erkennung verfügt über einen eigenen Registrierungspfad. | auditIfNotExists | 2.0.0 |
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
Azure Backup muss für Virtual Machines aktiviert sein. | Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Cloud Services-Rolleninstanzen (erweiterter Support) müssen sicher konfiguriert werden. | Cloud Services-Rolleninstanzen (erweiterter Support) werden vor Angriffen geschützt, indem sichergestellt wird, dass sie keinen Schwachstellen im Betriebssystem ausgesetzt sind. | AuditIfNotExists, Disabled | 1.0.0 |
Für Cloud Services-Rolleninstanzen (erweiterter Support) muss eine Lösung zum Schutz von Endpunkten installiert sein | Schützen Sie Ihre Cloud Services-Rolleninstanzen (erweiterter Support) vor Bedrohungen und Sicherheitsrisiken, indem Sie sicherstellen, dass eine Lösung für den Schutz von Endpunkten installiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Für Cloud Services-Rolleninstanzen (erweiterter Support) müssen Systemupdates installiert sein | Schützen Sie Ihre Cloud Services-Rolleninstanzen (erweiterter Support), indem Sie sicherstellen, dass die neuesten Sicherheitsupdates und alle kritischen Updates installiert wurden. | AuditIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Azure Defender for Servers als deaktiviert für alle Ressourcen (Ressourcenebene) | Azure Defender for Servers verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. Diese Richtlinie deaktiviert den Defender for Servers-Plan für alle Ressourcen (VMs, VMSSs und ARC-Computer) im ausgewählten Bereich (Abonnement oder Ressourcengruppe). | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Azure Defender for Servers als deaktiviert für Ressourcen (Ressourcenebene) mit dem ausgewählten Tag | Azure Defender for Servers verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. Diese Richtlinie deaktiviert den Defender for Servers-Plan für alle Ressourcen (VMs, VMSSs und ARC-Computer) mit den ausgewählten Tagnamen und -wert(en). | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Azure Defender for Servers als aktiviert (Unterplan „P1“) für alle Ressourcen (Ressourcenebene) mit dem ausgewählten Tag | Azure Defender for Servers verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. Diese Richtlinie aktiviert den Defender for Servers-Plan (mit Unterplan „P1“) für alle Ressourcen (VMs, VMSSs und ARC-Computer) mit den ausgewählten Tagnamen und -wert(en). | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Azure Defender for Servers als aktiviert (mit Unterplan „P1“) für alle Ressourcen (Ressourcenebene) | Azure Defender for Servers verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. Diese Richtlinie aktiviert den Defender for Servers-Plan (mit Unterplan „P1“) für alle Ressourcen (VMs und ARC-Computer) im ausgewählten Bereich (Abonnement oder Ressourcengruppe). | DeployIfNotExists, Disabled | 1.0.0 |
Sicherung für VMs mit angegebenem Tag in einem neuen Recovery Services-Tresor mit einer Standardrichtlinie konfigurieren | Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie einen Recovery Services-Tresor am gleichen Ort und in der gleichen Ressourcengruppe wie der virtuelle Computer bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Sie können optional virtuelle Computer einschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 9.4.0 |
Sicherung für VMs mit angegebenem Tag in einem vorhandenen Recovery Services-Tresor am selben Standort konfigurieren | Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie sie in einem vorhandenen zentralen Recovery Services-Tresor am gleichen Ort und im gleichen Abonnement wie der virtuelle Computer sichern. Dies ist nützlich, wenn die Sicherungen für alle Ressourcen in einem Abonnement in Ihrer Organisation von einem zentralen Team verwaltet werden. Sie können optional virtuelle Computer einschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 9.4.0 |
Sicherung für VMs ohne angegebenes Tag in einem neuen Recovery Services-Tresor mit einer Standardrichtlinie konfigurieren | Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie einen Recovery Services-Tresor am gleichen Ort und in der gleichen Ressourcengruppe wie der virtuelle Computer bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Sie können optional virtuelle Computer ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 9.4.0 |
Sicherung für VMs ohne angegebenes Tag in einem vorhandenen Recovery Services-Tresor am selben Standort konfigurieren | Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie sie in einem vorhandenen zentralen Recovery Services-Tresor am gleichen Ort und im gleichen Abonnement wie der virtuelle Computer sichern. Dies ist nützlich, wenn die Sicherungen für alle Ressourcen in einem Abonnement in Ihrer Organisation von einem zentralen Team verwaltet werden. Sie können optional virtuelle Computer ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 9.4.0 |
Konfigurieren der Notfallwiederherstellung auf VMs durch Aktivieren der Replikation über Azure Site Recovery | Virtuelle Computer ohne Notfallwiederherstellungskonfigurationen sind anfällig für Ausfälle und andere Unterbrechungen. Wenn für den virtuellen Computer noch keine Notfallwiederherstellung konfiguriert ist, wird dies durch Aktivieren der Replikation unter Verwendung vordefinierter Konfigurationen initiiert, um die Geschäftskontinuität zu gewährleisten. Sie können optional virtuelle Computer einschließen/ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
Datenträgerzugriffsressourcen mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Linux-Computern für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer, VM-Skalierunggruppen und Arc-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 6.5.1 |
Konfigurieren eines Linux-Servers zum Deaktivieren lokaler Benutzer | Erstellt eine Gastkonfigurationszuweisung, um die Deaktivierung lokaler Benutzer auf einem Linux-Server zu konfigurieren. Dadurch wird sichergestellt, dass auf Linux-Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | DeployIfNotExists, Disabled | 1.3.0-preview |
Konfigurieren von Linux Virtual Machine Scale Sets für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um Linux-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 4.4.1 |
Konfigurieren Sie Linux-VM-Skalierungsgruppen, um Azure Monitor-Agent mit systemseitig zugewiesener verwalteter identitätsbasierter Authentifizierung auszuführen | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung in Ihren Linux-VM-Skalierungsgruppen zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
Konfigurieren Sie Linux-VM-Skalierungsgruppen, um Azure Monitor-Agent mit benutzerseitig zugewiesener verwalteter identitätsbasierter Authentifizierung auszuführen | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung in Ihren Linux-VM-Skalierungsgruppen zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.8.0 |
Konfigurieren virtueller Linux-Computer für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 4.4.1 |
Konfigurieren Sie Linux-VMs, um Azure Monitor-Agent mit systemseitig zugewiesener verwalteter identitätsbasierter Authentifizierung auszuführen | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Linux-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
Konfigurieren Sie Linux-VMs, um Azure Monitor-Agent mit benutzerseitig zugewiesener verwalteter identitätsbasierter Authentifizierung auszuführen | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Linux-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.8.0 |
Konfigurieren von Computern für den Empfang eines Anbieters für Sicherheitsrisikobewertung | Azure Defender umfasst eine kostenlose Überprüfung auf Sicherheitsrisiken für Ihre Computer. Sie benötigen keine Qualys-Lizenz und auch kein Qualys-Konto – alles erfolgt nahtlos innerhalb von Security Center. Wenn Sie diese Richtlinie aktivieren, stellt Azure Defender automatisch den Qualys-Anbieter zur Bewertung von Sicherheitsrisiken auf allen unterstützten Computern bereit, auf denen er noch nicht installiert ist. | DeployIfNotExists, Disabled | 4.0.0 |
Verwaltete Datenträger zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre verwaltete Datenträgerressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/disksprivatelinksdoc. | Modify, Disabled | 2.0.0 |
Konfigurieren der regelmäßigen Überprüfung auf fehlende Systemupdates auf Azure-VMs | Konfigurieren Sie die automatische Bewertung (alle 24 Stunden) für Betriebssystemupdates auf nativen virtuellen Azure-Computern. Sie können den Zuweisungsbereich gemäß Computerabonnement, Ressourcengruppe, Standort oder Tag steuern. Weitere Informationen für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
Konfigurieren sicherer Kommunikationsprotokolle (TLS 1.1 oder TLS 1.2) auf Windows-Computern | Erstellt eine Gastkonfigurationszuweisung zum Konfigurieren der angegebenen sicheren Protokollversion (TLS 1.1 oder TLS 1.2) auf einem Windows-Computer. | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurieren von virtuellen SQL-Computern für die automatische Installation von Azure Monitor Agent | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Windows-SQL-Virtual Machines. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0 |
Konfigurieren von virtuellen SQL-Computern für die automatische Installation von Microsoft Defender für SQL | Konfigurieren Sie Windows SQL-Virtual Machines für die automatische Installation der Microsoft Defender for SQL-Erweiterung. Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. | DeployIfNotExists, Disabled | 1.5.0 |
Konfigurieren des SSH-Sicherheitsstatus für Linux (mit OSConfig) | Diese Richtlinie überwacht und konfiguriert die Sicherheitskonfiguration des SSH-Servers auf Linux-Computern (Azure-VMs und Arc-fähige Computer). Weitere Informationen, einschließlich Voraussetzungen, Einstellungen im Geltungsbereich, Standardwerten und Anpassungen, finden Sie unter https://aka.ms/SshPostureControlOverview | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurieren Sie die Zeitzone auf Windows-Computern. | Diese Richtlinie erstellt eine Gastkonfigurationszuweisung, um die angegebene Zeitzone auf virtuellen Windows-Computern festzulegen. | deployIfNotExists | 2.1.0 |
VMs für das Onboarding in Azure Automanage konfigurieren | Azure Automanage registriert, konfiguriert und überwacht VMs anhand von Best Practices, die im Microsoft Cloud Adoption Framework für Azure definiert sind. Verwenden Sie diese Richtlinie, um die automatische Verwaltung auf den ausgewählten Bereich anzuwenden. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
Konfigurieren Sie VMs für das Onboarding in Azure Automanage mit benutzerdefiniertem Konfigurationsprofil | Azure Automanage registriert, konfiguriert und überwacht VMs anhand von Best Practices, die im Microsoft Cloud Adoption Framework für Azure definiert sind. Verwenden Sie diese Richtlinie, um Automanage mit Ihrem eigenen angepassten Konfigurationsprofil auf Ihren ausgewählten Bereich anzuwenden. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
Konfigurieren von Windows-Computern für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um virtuelle Windows-Computer, VM-Skalierunggruppen und Arc-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 4.5.1 |
Konfigurieren von Windows Virtual Machine Scale Sets für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um Windows-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 3.3.1 |
Konfigurieren Sie Skalierungsgruppen von Windows-VMs für die Ausführung von Azure Monitor-Agents mithilfe der systemseitig zugewiesenen verwalteten Identität | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung in Ihren Windows-VM-Skalierungsgruppen zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
Konfigurieren Sie Skalierungsgruppen von Windows-VMs für die Ausführung von Azure Monitor-Agents mithilfe von verwalteter identitätsbasierter Authentifizierung | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung in Ihren Windows-VM-Skalierungsgruppen zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.6.0 |
Konfigurieren virtueller Windows-Computer für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um virtuelle Windows-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, Disabled | 3.3.1 |
Konfigurieren Sie Windows-VMs für die Ausführung von Azure Monitor-Agents mithilfe der systemseitig zugewiesenen verwalteten Identität | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Windows-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 4.4.0 |
Konfigurieren Sie Windows-VMs für die Ausführung von Azure Monitor-Agents mit benutzerseitig zugewiesener verwalteter identitätsbasierter Authentifizierung | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren virtuellen Windows-Computern zum Sammeln von Telemetriedaten vom Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.6.0 |
Erstellen und Zuweisen einer integrierten benutzerzugewiesenen verwalteten Identität | Weisen Sie eine integrierte benutzerseitig zugewiesene verwaltete Identität im großen Stil zu SQL-VMs zu. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.7.0 |
Für die aufgelisteten VM-Images muss der Dependency-Agent aktiviert werden | Meldet VMs als nicht konform, wenn das VM-Image nicht in der definierten Liste enthalten und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, während Unterstützung hinzugefügt wird. | AuditIfNotExists, Disabled | 2.0.0 |
Für die aufgelisteten VM-Images muss der Dependency-Agent in VM-Skalierungsgruppen aktiviert werden | Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der definierten Liste enthalten und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, während Unterstützung hinzugefügt wird. | AuditIfNotExists, Disabled | 2.0.0 |
Bereitstellen: Aktivierung des Dependency-Agents in Windows-VM-Skalierungsgruppen konfigurieren | Hiermit wird der Dependency-Agent für Windows-VM-Skalierungsgruppen bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. | DeployIfNotExists, Disabled | 3.2.0 |
Bereitstellen: Aktivierung des Dependency-Agents auf Windows-VMs konfigurieren | Hiermit wird der Dependency-Agent für Windows-VMs bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. | DeployIfNotExists, Disabled | 3.2.0 |
Bereitstellen – Konfigurieren der Log Analytics-Erweiterung zum Aktivieren in Windows-VM-Skalierungsgruppen | Stellen Sie die Log Analytics-Erweiterung für Windows-VM-Skalierungsgruppen bereit, wenn das VM-Image in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. | DeployIfNotExists, Disabled | 3.1.0 |
Bereitstellen – Konfigurieren der Log Analytics-Erweiterung zum Aktivieren auf virtuellen Windows-Computern | Stellen Sie die Log Analytics-Erweiterung für Windows-VMs bereit, wenn das VM-Image in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. | DeployIfNotExists, Disabled | 3.1.0 |
Microsoft IaaSAntimalware-Standarderweiterung für Windows Server bereitstellen | Mit dieser Richtlinie wird eine Microsoft IaaSAntimalware-Erweiterung mit einer Standardkonfiguration bereitgestellt, wenn eine VM nicht mit der Antischadsoftware-Erweiterung konfiguriert ist. | deployIfNotExists | 1.1.0 |
Dependency-Agent für Linux-VM-Skalierungsgruppen bereitstellen | Hiermit wird der Dependency-Agent für Linux-VM-Skalierungsgruppen bereitgestellt, wenn das VM-Image (Betriebssystem) in der definierten Liste enthalten und der Agent nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle virtuellen Computer in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. | deployIfNotExists | 5.1.0 |
Bereitstellen des Dependency-Agents für Linux-VM-Skalierungsgruppen mit Azure Monitoring-Agent-Einstellungen | Hiermit wird der Dependency-Agent für VM-Skalierungsgruppen unter Linux mit den Azure Monitoring-Agent-Einstellungen bereitgestellt, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und der Agent nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle virtuellen Computer in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. | DeployIfNotExists, Disabled | 3.2.0 |
Dependency-Agent für Linux-VMs bereitstellen | Geben Sie den Dependency-Agent für Linux-VMs an, wenn das VM-Image (Betriebssystem) in der definierten Liste enthalten und der Agent nicht installiert ist. | deployIfNotExists | 5.1.0 |
Bereitstellen des Dependency-Agents für Linux-VMs mit Azure Monitoring-Agent-Einstellungen | Hiermit wird der Dependency-Agent für virtuelle Linux-Computer mit den Azure Monitoring-Agent-Einstellungen bereitgestellt, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und der Agent nicht installiert ist. | DeployIfNotExists, Disabled | 3.2.0 |
Bereitstellen des Dependency-Agents, der für Windows-VM-Skalierungsgruppen mit Azure Monitoring-Agent-Einstellungen aktiviert werden soll | Hiermit wird der Dependency-Agent für VM-Skalierungsgruppe unter Windows mit dem Azure Monitoring-Agent-Einstellungen bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. | DeployIfNotExists, Disabled | 1.3.0 |
Bereitstellen des Dependency-Agents, der für virtuelle Windows-Computer mit Azure Monitoring-Agent-Einstellungen aktiviert werden soll | Hiermit wird der Dependency-Agent für virtuelle Windows-Computer mit Azure Monitoring-Agent-Einstellungen bereitgestellt, wenn das VM-Image in der definierten Liste vorhanden und der Agent nicht installiert ist. | DeployIfNotExists, Disabled | 1.3.0 |
Stellen Sie die Log Analytics-Erweiterung für Linux-VM-Skalierungsgruppen bereit. Weitere Informationen finden Sie weiter unten im „Hinweis zur Einstellung der Unterstützung“. | Stellen Sie die Log Analytics-Erweiterung für Linux-VM-Skalierungsgruppen bereit, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. Veraltungshinweis: Der Log Analytics-Agent wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. | deployIfNotExists | 3.0.0 |
Stellen Sie die Log Analytics-Erweiterung für Linux-VMs bereit. Weitere Informationen finden Sie weiter unten im „Hinweis zur Einstellung der Unterstützung“. | Stellen Sie die Log Analytics-Erweiterung für Linux-VMs bereit, wenn das VM-Image (Betriebssystem) in der definierten Liste vorhanden und die Erweiterung nicht installiert ist. Hinweis zur Einstellung der Unterstützung: Der Log Analytics-Agent befindet sich in einem veralteten Pfad und wird nach dem 31. August 2024 nicht mehr unterstützt. Sie müssen vor diesem Datum zum Azure Monitor-Agent als Ersatz migrieren. | deployIfNotExists | 3.0.0 |
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Datenträgerzugriffsressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
Datenträger und Betriebssystemimage sollten TrustedLaunch unterstützen | TrustedLaunch verbessert die Sicherheit eines virtuellen Computers, der das Betriebssystemdatenträger- und Betriebssystemimage erfordert, um ihn zu unterstützen (Gen 2). Weitere Informationen zu TrustedLaunch finden Sie unter https://aka.ms/trustedlaunch | Audit, Disabled | 1.0.0 |
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
Endpoint Protection sollte auf Ihren Computern installiert sein | Installieren Sie eine unterstützte Endpoint Protection-Lösung, um Ihre Computer vor Bedrohungen und Sicherheitsrisiken zu schützen. | AuditIfNotExists, Disabled | 1.0.0 |
Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein | Hiermit überprüfen Sie die Existenz und die Integrität einer Endpoint Protection-Lösung in Ihren VM-Skalierungsgruppen, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. | AuditIfNotExists, Disabled | 3.0.0 |
Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
Hotpatch muss für Azure Edition-VMs für Windows-Server aktiviert sein. | Minimieren Sie Neustarts, und installieren Sie Updates schnell mit Hotpatch. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/automanage/automanage-hotpatch. | Audit, Deny, Disabled | 1.0.0 |
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 2.2.0 |
Linux-Computer sollten nur lokale Konten enthalten, die zulässig sind. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Die Verwaltung von Benutzerkonten mit Azure Active Directory ist eine bewährte Methode für die Verwaltung von Identitäten. Das Reduzieren lokaler Computerkonten trägt dazu bei, die Verbreitung von Identitäten zu verhindern, die außerhalb eines zentralen Systems verwaltet werden. Computer sind nicht konform, wenn lokale Benutzerkonten vorhanden sind, die aktiviert und nicht im Richtlinienparameter aufgeführt sind. | AuditIfNotExists, Disabled | 2.2.0 |
Für Linux-VM-Skalierungsgruppen sollte der Azure Monitor-Agent installiert sein. | Linux-VM-Skalierungsgruppen sollten über den bereitgestellten Azure Monitor-Agent überwacht und gesichert werden. Der Azure Monitor-Agent sammelt Telemetriedaten vom Gastbetriebssystem. Mit dieser Richtlinie werden VM-Skalierunggruppen mit unterstützten Betriebssystemimages in unterstützten Regionen überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.3.0 |
Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | Obwohl die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers standardmäßig im Ruhezustand mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt werden; Ressourcendatenträger (temporäre Datenträger), Datencaches und Daten, die zwischen Compute- und Speicherressourcen übertragen werden, werden nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um Abhilfe zu schaffen. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
Auf virtuellen Linux-Computern sollte der Azure Monitor-Agent installiert sein | Virtuelle Linux-Computer sollten über den bereitgestellten Azure Monitor-Agent überwacht und gesichert werden. Der Azure Monitor-Agent sammelt Telemetriedaten vom Gastbetriebssystem. Mit diese Richtlinie werden virtuelle Computer mit unterstützten Betriebssystemimages in unterstützten Regionen überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.3.0 |
Lokale Authentifizierungsmethoden sollten auf Linux-Servern deaktiviert werden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn lokale Authentifizierungsmethoden auf Linux-Servern nicht deaktiviert sind. Dadurch wird validiert, dass auf Linux-Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | AuditIfNotExists, Disabled | 1.2.0-preview |
Lokale Authentifizierungsmethoden sollten auf Windows-Servern deaktiviert werden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn lokale Authentifizierungsmethoden auf Windows-Servern nicht deaktiviert sind. Dadurch wird validiert, dass auf Windows-Server nur über ein AAD-Konto (Azure Active Directory) oder durch explizit durch diese Richtlinie zugelassene Benutzer zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | AuditIfNotExists, Disabled | 1.0.0-preview |
Für Cloud Services-Rolleninstanzen (erweiterter Support) muss der Log Analytics-Agent installiert sein. | Security Center erfasst Daten aus Cloud Services-Rolleninstanzen (erweiterter Support), um eine Überwachung auf Sicherheitsrisiken und Bedrohungen durchzuführen. | AuditIfNotExists, Disabled | 2.0.0 |
Die Log Analytics-Erweiterung sollte für die aufgelisteten VM-Images in den VM-Skalierungsgruppen aktiviert sein | Meldet VM-Skalierungsgruppen als nicht konform, wenn das VM-Image nicht in der definierten Liste vorhanden und der Agent nicht installiert ist. | AuditIfNotExists, Disabled | 2.0.1 |
Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird | Um sicherzustellen, dass regelmäßige Bewertungen fehlender Systemupdates automatisch alle 24 Stunden ausgelöst werden, sollte die AssessmentMode-Eigenschaft auf „AutomaticByPlatform“ festgelegt werden. Erfahren Sie mehr über die AssessmentMode-Eigenschaft für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
Geheime Ergebnisse auf Computern müssen aufgelöst werden | Überprüft VMs, um festzustellen, ob sie geheime Erkenntnisse aus den geheimen Scan-Lösungen auf Ihren VMs enthalten. | AuditIfNotExists, Disabled | 1.0.2 |
Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert werden könnte, haben nun die Möglichkeit, eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus/-modus auf der Infrastrukturebene zu nutzen (unter Verwendung von plattformseitig verwalteten Schlüsseln). Für die Verwendung der Mehrfachverschlüsselung sind Datenträgerverschlüsselungssätze erforderlich. Weitere Informationen finden Sie unter https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
Verwaltete Datenträger müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass ein verwalteter Datenträger nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung verwalteter Datenträger einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/disksprivatelinksdoc. | Audit, Disabled | 2.0.0 |
Verwaltete Datenträger müssen für die Verschlüsselung mit kundenseitig verwalteten Schlüsseln bestimmte Datenträgerverschlüsselungssätze verwenden | Durch die Anforderung zur Verwendung bestimmter Datenträgerverschlüsselungssätze mit verwalteten Datenträgern erhalten Sie die Kontrolle über die Schlüssel, mit denen ruhende Daten verschlüsselt werden. Sie können beim Anfügen an einen Datenträger die zulässigen Verschlüsselungssätze auswählen und alle anderen Verschlüsselungssätze ablehnen. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 2.0.0 |
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
Microsoft Antimalware für Azure muss für die automatische Aktualisierung von Schutzsignaturen konfiguriert sein | Diese Richtlinie überwacht alle virtuellen Windows-Computer, die nicht für die automatische Aktualisierung von Microsoft Antimalware-Schutzsignaturen konfiguriert sind. | AuditIfNotExists, Disabled | 1.0.0 |
Die Microsoft IaaSAntimalware-Erweiterung muss auf Windows-Servern bereitgestellt werden | Diese Richtlinie überwacht alle Windows Server-VMs ohne bereitgestellte Microsoft IaaSAntimalware-Erweiterung. | AuditIfNotExists, Disabled | 1.1.0 |
Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen | Hiermit werden Server ohne installierten Endpoint Protection-Agent über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Es dürfen nur genehmigte VM-Erweiterungen installiert werden | Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen. | Audit, Deny, Disabled | 1.0.0 |
Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für die Inhalte Ihrer verwalteten Datenträger zu verwalten. Standardmäßig werden ruhende Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel benötigt. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
Private Endpunkte für Gastkonfigurationszuweisungen sollten aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem eine private Verbindung mit der Gastkonfiguration für VMs aktiviert wird. VMs sind nur dann konform, wenn sie über das Tag „EnablePrivateNetworkGC“ verfügen. Dieses Tag erzwingt die sichere Kommunikation über eine private Verbindung mit der Gastkonfiguration für VMs. Die private Verbindung schränkt den Zugriff auf Datenverkehr ein, der nur aus bekannten Netzwerken stammt, und verhindert den Zugriff von allen anderen IP-Adressen, einschließlich von Adressen innerhalb von Azure. | Audit, Deny, Disabled | 1.1.0 |
Schützen Sie Ihre Daten mit Authentifizierungsanforderungen beim Exportieren oder Hochladen auf einen Datenträger oder in eine Momentaufnahme. | Bei Verwendung der Export-/Upload-URL überprüft das System, ob der Benutzer über eine Identität in Azure Active Directory und über die erforderlichen Berechtigungen zum Exportieren/Hochladen der Daten verfügt. Weitere Informationen finden Sie unter „aka.ms/DisksAzureADAuth“. | Modify, Disabled | 1.0.0 |
Automatische Patches für Betriebssystemimages in VM-Skalierungsgruppen erzwingen | Diese Richtlinie erzwingt die Aktivierung automatischer Patches für Betriebssystemimages in VM-Skalierungsgruppen zum ständigen Schutz virtueller Computer durch sicheres monatliches Anwenden der neuesten Sicherheitspatches. | deny | 1.0.0 |
Planen wiederkehrender Updates mit dem Azure Update-Manager | Sie können den Azure Update-Manager in Azure zum Speichern wiederkehrender Bereitstellungszeitpläne verwenden, um Betriebssystemupdates für Ihre Windows Server- und Linux-Computer in Azure, in lokalen Umgebungen und in anderen Cloudumgebungen zu installieren, die mit Servern mit Azure Arc-Unterstützung verbunden sind. Diese Richtlinie ändert auch den Patchmodus für die Azure Virtual Machine-VM in „AutomaticByPlatform“. Weitere Informationen: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.12.0 |
Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. | AuditIfNotExists, Disabled | 1.0.0 |
Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) | Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. | AuditIfNotExists, Disabled | 1.0.1 |
Die Legacy-Log Analytics-Erweiterung sollte nicht auf Linux-VM-Skalierungsgruppen installiert sein | Verhindern Sie automatisch die Installation des Legacy-Log Analytics-Agents als letzten Schritt der Migration von Legacy-Agents zum Azure Monitor-Agent. Nachdem Sie vorhandene Legacy-Erweiterungen deinstalliert haben, verweigert diese Richtlinie alle zukünftigen Installationen der Legacy-Agent-Erweiterung in Linux-VM-Skalierungsgruppen. Weitere Informationen: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
Die Legacy-Log Analytics-Erweiterung sollte nicht auf virtuellen Linux-Computern installiert sein | Verhindern Sie automatisch die Installation des Legacy-Log Analytics-Agents als letzten Schritt der Migration von Legacy-Agents zum Azure Monitor-Agent. Nachdem Sie vorhandene Legacy-Erweiterungen deinstalliert haben, verweigert diese Richtlinie alle zukünftigen Installationen der Legacy-Agent-Erweiterung in virtuellen Linux-Computern. Weitere Informationen: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
Die Legacy-Log Analytics-Erweiterung sollte nicht auf VM-Skalierungsgruppen installiert sein | Verhindern Sie automatisch die Installation des Legacy-Log Analytics-Agents als letzten Schritt der Migration von Legacy-Agents zum Azure Monitor-Agent. Nachdem Sie vorhandene Legacy-Erweiterungen deinstalliert haben, verweigert diese Richtlinie alle zukünftigen Installationen der Legacy-Agent-Erweiterung in Windows-VM-Skalierungsgruppen. Weitere Informationen: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
Die Legacy-Log Analytics-Erweiterung sollte nicht auf virtuellen Computern installiert sein | Verhindern Sie automatisch die Installation des Legacy-Log Analytics-Agents als letzten Schritt der Migration von Legacy-Agents zum Azure Monitor-Agent. Nachdem Sie vorhandene Legacy-Erweiterungen deinstalliert haben, verweigert diese Richtlinie alle zukünftigen Installationen der Legacy-Agent-Erweiterung in virtuellen Windows-Computern. Weitere Informationen: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
Die Log Analytics-Erweiterung sollte für VM-Skalierungsgruppen installiert sein | Diese Richtlinie überwacht alle Windows-/Linux-VM-Skalierungsgruppen, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1 |
Für den virtuellen Computer sollte TrustedLaunch aktiviert sein | Aktivieren Sie TrustedLaunch auf dem virtuellen Computer für erhöhte Sicherheit, verwenden Sie VM-SKU (Gen 2), was TrustedLaunch unterstützt. Weitere Informationen zu TrustedLaunch finden Sie unter https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, Disabled | 1.0.0 |
Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
Virtual Machines sollten mit einem angegebenen Arbeitsbereich verbunden sein | Meldet Virtual Machines als nicht konform, wenn sie keine Protokolle an den Log Analytics-Arbeitsbereich senden, der in der Richtlinien-/Initiativenzuweisung angegeben ist. | AuditIfNotExists, Disabled | 1.1.0 |
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
Die Log Analytics-Erweiterung sollte auf virtuellen Computern installiert sein. | Diese Richtlinie überwacht, ob auf allen Windows-/Linux-VMs die Log Analytics-Erweiterung installiert ist. | AuditIfNotExists, Disabled | 1.0.1 |
Die VM-Erweiterung „Gastkonfiguration“ muss mit systemseitig zugewiesener verwalteter Identität bereitgestellt werden. | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
Auf Windows-Computern muss Windows Defender so konfiguriert werden, dass Schutzsignaturen innerhalb eines Tages aktualisiert werden. | Um einen angemessenen Schutz vor neu veröffentlichter Schadsoftware bereitzustellen, müssen Windows Defender-Schutzsignaturen regelmäßig aktualisiert werden, um neu veröffentlichte Schadsoftware zu berücksichtigen. Diese Richtlinie wird nicht auf Server mit Arc-Verbindung angewendet und erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Windows-Computer müssen Windows Defender-Echtzeitschutz aktivieren. | Windows-Computer müssen den Echtzeitschutz in Windows Defender aktivieren, um ausreichenden Schutz vor neu veröffentlichter Schadsoftware zu bieten. Diese Richtlinie gilt nicht für Server mit Arc-Verbindung und erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: Systemsteuerung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: Systemsteuerung“ für die Eingabepersonalisierung und das Verhindern der Aktivierung von Sperrbildschirmen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: MSS (Legacy)“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: MSS (Legacy)“ für automatische Anmeldung, Bildschirmschoner, Netzwerkverhalten, sichere DLLs und Ereignisprotokoll aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: Netzwerk“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: Netzwerk“ für Gastanmeldungen, gleichzeitige Verbindungen, Netzwerkbrücken, ICS und Multicastnamensauflösung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Administrative Vorlagen: System“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Administrative Vorlagen: System“ für Einstellungen zur Steuerung von Verwaltungsfunktionalität und Remoteunterstützung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Konten“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Konten“ für die Einschränkung der Verwendung lokaler Konten mit leeren Kennwörtern und den Gastkontostatus aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Überwachen“ erfüllen | Windows-Computer müssen über die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Überwachen“ zum Erzwingen der Unterkategorie der Überwachungsrichtlinie und zum Herunterfahren verfügen, wenn Sicherheitsüberwachungen nicht protokolliert werden können. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Geräte“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Geräte“ für das Abdocken ohne Anmeldung, für die Installation von Druckertreibern und das Formatieren/Auswerfen von Medien aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Interaktive Anmeldung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Interaktive Anmeldung“ zur Anzeige des Namens des letzten Benutzers und zum Anfordern von STRG+ALT+ENT aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Microsoft-Netzwerk (Client)“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Microsoft-Netzwerk (Client)“ für das Microsoft-Netzwerk (Client/Server) und SMB v1 aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Microsoft-Netzwerk (Server)“ zum Deaktivieren des SMB v1-Servers aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerkzugriff“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Netzwerkzugriff“ für anonyme Benutzer, lokale Konten und den Remotezugriff auf die Registrierung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Netzwerksicherheit“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Netzwerksicherheit“ für lokales Systemverhalten, PKU2U, LAN Manager, LDAP-Client und NTLM-SSP aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Wiederherstellungskonsole“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Wiederherstellungskonsole“ für das Zulassen von Diskettenkopiervorgängen und den Zugriff auf alle Laufwerke und Ordner aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Herunterfahren“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Herunterfahren“ zum Zulassen des Herunterfahrens ohne Anmeldung und zum Löschen der Auslagerungsdatei des virtuellen Arbeitsspeichers aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Systemobjekte“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Systemobjekte“ zur Groß-/Kleinschreibung für Nicht-Windows-Subsysteme und den Berechtigungen interner Systemobjekte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Systemeinstellungen“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Systemeinstellungen“ für Zertifikatregeln ausführbarer Dateien für SRP und optionale Subsysteme aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitsoptionen: Benutzerkontensteuerung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitsoptionen: Benutzerkontensteuerung“ für Administratormodus, Verhalten der Eingabeaufforderung für erhöhte Rechte und die Virtualisierung von Fehlern bei Schreibvorgängen für Dateien und Registrierung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Sicherheitseinstellungen: Kontorichtlinien“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Sicherheitseinstellungen: Kontorichtlinien“ für Kennwortverlauf, Kennwortalter, Kennwortlänge, Kennwortkomplexität und die Speicherung von Kennwörtern mit umkehrbarer Verschlüsselung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Kontoanmeldung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoanmeldung“ zum Überwachen der Überprüfung von Anmeldeinformationen und anderer Kontoanmeldeereignisse aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Kontoverwaltung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoverwaltung“ zum Überwachen der Anwendungs-, Sicherheits- und Benutzergruppenverwaltung und anderer Verwaltungsereignisse aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Detaillierte Nachverfolgung“ zum Überwachen von DPAPI, Prozesserstellung/-beendigung, RPC-Ereignissen und PNP-Aktivität aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Anmelden/Abmelden“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Anmelden/Abmelden“ zum Überwachen von IPSec, Netzwerkrichtlinie, Ansprüchen, Kontosperrung, Gruppenmitgliedschaft und Anmelde-/Abmeldeereignissen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Objektzugriff“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Objektzugriff“ zum Überwachen von Dateien, Registrierung, SAM, Speicher, Filterung, Kernel und weiteren Systemtypen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Richtlinienänderung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Kontoanmeldung“ zum Überwachen von Änderungen an Systemüberwachungsrichtlinien aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: Rechteverwendung“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: Rechteverwendung“ zum Überwachen nicht sensibler und anderer Rechte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Systemüberwachungsrichtlinien: System“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Systemüberwachungsrichtlinien: System“ zum Überwachen von IPsec-Treiber, Systemintegrität, Systemerweiterungen, Statusänderungen und weiteren Systemereignissen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Zuweisen von Benutzerrechten“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Zuweisen von Benutzerrechten“ für lokale Anmeldung, RDP, Zugriff aus dem Netzwerk und viele weitere Benutzeraktivitäten aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Windows-Komponenten“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Windows-Komponenten“ für Standardauthentifizierung, unverschlüsselten Datenverkehr, Microsoft-Konten, Telemetrie, Cortana und das Windows-Verhalten in Bezug auf weitere Aspekte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen für „Windows-Firewalleigenschaften“ erfüllen | Windows-Computer müssen die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie „Windows-Firewalleigenschaften“ für Firewallzustand, Verbindungen, Regelverwaltung und Benachrichtigungen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 2.0.0 |
Windows-Computer sollten nur lokale Konten enthalten, die zulässig sind. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Diese Definition wird unter Windows Server 2012 oder 2012 R2 nicht unterstützt. Die Verwaltung von Benutzerkonten mit Azure Active Directory ist eine bewährte Methode für die Verwaltung von Identitäten. Das Reduzieren lokaler Computerkonten trägt dazu bei, die Verbreitung von Identitäten zu verhindern, die außerhalb eines zentralen Systems verwaltet werden. Computer sind nicht konform, wenn lokale Benutzerkonten vorhanden sind, die aktiviert und nicht im Richtlinienparameter aufgeführt sind. | AuditIfNotExists, Disabled | 2.0.0 |
Für Windows-VM-Skalierungsgruppen sollte der Azure Monitor-Agent installiert sein | Windows-VM-Skalierungsgruppen sollten über den bereitgestellten Azure Monitor-Agent überwacht und gesichert werden. Der Azure Monitor-Agent sammelt Telemetriedaten vom Gastbetriebssystem. VM-Skalierungsgruppen mit unterstützten Betriebssystemen und in unterstützten Regionen werden auf Azure Monitor-Agent-Bereitstellung überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
Virtuelle Windows-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | Obwohl die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers standardmäßig im Ruhezustand mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt werden; Ressourcendatenträger (temporäre Datenträger), Datencaches und Daten, die zwischen Compute- und Speicherressourcen übertragen werden, werden nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um Abhilfe zu schaffen. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
Auf virtuellen Windows-Computern sollte der Azure Monitor-Agent installiert sein | Virtuelle Windows-Computer sollten über den bereitgestellten Azure Monitor-Agent überwacht und gesichert werden. Der Azure Monitor-Agent sammelt Telemetriedaten vom Gastbetriebssystem. Virtuelle Windows-Computer mit unterstützten Betriebssystemen und in unterstützten Regionen werden auf Azure Monitor-Agent-Bereitstellung überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
Microsoft.VirtualMachineImages
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Microsoft.ClassicCompute
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
Endpoint Protection sollte auf Ihren Computern installiert sein | Installieren Sie eine unterstützte Endpoint Protection-Lösung, um Ihre Computer vor Bedrohungen und Sicherheitsrisiken zu schützen. | AuditIfNotExists, Disabled | 1.0.0 |
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
Geheime Ergebnisse auf Computern müssen aufgelöst werden | Überprüft VMs, um festzustellen, ob sie geheime Erkenntnisse aus den geheimen Scan-Lösungen auf Ihren VMs enthalten. | AuditIfNotExists, Disabled | 1.0.2 |
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen | Hiermit werden Server ohne installierten Endpoint Protection-Agent über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.