Extensión de la configuración de la máquina con Azure Policy
La extensión de configuración con máquina de Azure Policy se puede usar para auditar la configuración de una máquina virtual. La configuración de la máquina admite máquinas virtuales de Azure de forma nativa. Los servidores físicos y los servidores virtuales que no son de Azure son compatibles con servidores habilitados para Azure Arc, VMware vSphere habilitado para Azure Arco System Center Virtual Machine Manager habilitado para Azure Arc.
Para encontrar la lista de directivas de configuración de la máquina, busque Configuración de la máquina en la página del portal de Azure Policy o ejecute este cmdlet en una ventana de PowerShell para buscar la lista:
Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Machine Configuration"}
Nota:
La funcionalidad de configuración de la máquina se actualiza periódicamente para admitir conjuntos de directivas adicionales. Compruebe periódicamente si hay nuevas directivas admitidas y evalúe si le resultarán útiles.
Implementación
Utilice el siguiente script de ejemplo de PowerShell para implementar estas directivas para llevar a cabo lo siguiente:
- Compruebe que la configuración de seguridad de las contraseñas en equipos Windows y Linux está establecida correctamente.
- Compruebe que los certificados no están próximos a expirar en máquinas virtuales Windows.
Antes de ejecutar este script, utilice el cmdlet Connect-AzAccount para iniciar sesión. Al ejecutar el script, debe proporcionar el nombre de la suscripción a la que quiere aplicar las directivas.
# Assign machine configuration policy.
param (
[Parameter(Mandatory=$true)]
[string] $SubscriptionName
)
$Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
$scope = "/subscriptions/" + $Subscription.Id
$PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
$CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"
New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus
New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus
Pasos siguientes
Aprenda a Habilitar el seguimiento y las alertas de los cambios críticos de archivos, servicios, software y el registro.