Partager via


Définitions intégrées d’Azure Policy pour Serveurs avec Azure Arc

Cette page constitue un index des définitions de stratégie intégrées d’Azure Policy pour Serveurs avec Azure Arc. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.

Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.

Serveurs avec Azure Arc

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : Une identité managée doit être activée sur vos machines Les ressources gérées par Automanage doivent avoir une identité managée. Audit, Désactivé 1.0.0-preview
[Préversion] : L’affectation du profil de configuration Automanage doit être conforme Les ressources gérées par Automanage doivent présenter l’état Conformant ou ConformantCorrected. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : L’agent Azure Security doit être installé sur vos machines Linux Arc Installez l’agent Azure Security sur vos machines Linux Arc afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : L’agent Azure Security doit être installé sur vos machines Windows Arc Installez l’agent Azure Security sur vos machines Windows Arc afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : l’extension ChangeTracking doit être installée sur votre machine Linux Arc Installez l’extension ChangeTracking sur les machines Linux Arc pour activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : l’extension ChangeTracking doit être installée sur votre machine Windows Arc Installez l’extension ChangeTracking sur les machines Windows Arc pour activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer les machines Linux avec Azure Arc avec des agents Log Analytics connectés à l’espace de travail Log Analytics par défaut Protégez vos machines Linux Azure Arc avec les fonctionnalités de Microsoft Defender pour le cloud en installant des agents Log Analytics qui envoient des données à un espace de travail Log Analytics par défaut créé par Microsoft Defender pour le cloud. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer les machines Windows avec Azure Arc avec des agents Log Analytics connectés à l’espace de travail Log Analytics par défaut Protégez vos machines Windows Azure Arc avec les fonctionnalités de Microsoft Defender pour le cloud en installant des agents Log Analytics qui envoient des données à un espace de travail Log Analytics par défaut créé par Microsoft Defender pour le cloud. DeployIfNotExists, Désactivé 1.1.0-preview
[Préversion] : configurer l’extension ChangeTracking pour les machines Linux Arc Configurez des machines Linux Arc pour installer automatiquement l’extension ChangeTracking et activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. DeployIfNotExists, Désactivé 2.0.0-preview
[Préversion] : configurer l’extension ChangeTracking pour les machines Windows Arc Configurez des machines Windows Arc pour installer automatiquement l’extension ChangeTracking et activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. DeployIfNotExists, Désactivé 2.0.0-preview
[Préversion] : Configurer des machines Linux avec Arc à associer à une règle de collecte de données pour l’inventaire et le suivi des modifications Déployez l’association pour lier les machines Linux avec Arc à la règle de collecte de données spécifiée pour activer l’inventaire et le suivi des modifications. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer les machines Linux avec Arc pour installer AMA pour l’inventaire et le suivi des modifications Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Linux avec Arc pour activer l’inventaire et le suivi des modifications. Cette stratégie installe l’extension si la région est prise en charge. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé préversion-1.3.0
[Préversion] : Configurer les machines Linux Arc prises en charge pour installer automatiquement l’agent Azure Security Configurez les machines Linux Arc prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines Linux Arc cibles doivent se trouver dans un emplacement pris en charge. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer les machines Windows Arc prises en charge pour installer automatiquement l’agent Azure Security Configurez les machines virtuelles Windows Arc prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines Windows Arc cibles doivent se trouver dans un emplacement pris en charge. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer des machines Windows avec Arc à associer à une règle de collecte de données pour l’inventaire et le suivi des modifications Déployez l’association pour lier les machines Windows avec Arc à la règle de collecte de données spécifiée pour activer l’inventaire et le suivi des modifications. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer les machines Windows avec Arc afin d’installer l’agent Azure Monitor pour l’inventaire et le suivi des modifications Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Windows avec Arc pour activer l’inventaire et le suivi des modifications. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Configurer Windows Server pour désactiver les utilisateurs locaux. Crée une affectation Configuration Invité pour configurer la désactivation des utilisateurs locaux sur Windows Server. Cela garantit que les serveurs Windows ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. DeployIfNotExists, Désactivé 1.2.0-preview
[Préversion] : refuser la création ou la modification de la licence des mises à jour de sécurité étendues (ESU). Cette stratégie vous permet de restreindre la création ou la modification des licences ESU pour les machines Arc Windows Server 2012. Pour plus d’informations sur la tarification, consultez https://aka.ms/ArcWS2012ESUPricing Deny, Disabled 1.0.0-preview
[Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines hybrides Linux Déploie l’agent Microsoft Defender pour point de terminaison sur des machines hybrides Linux DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines Windows Azure Arc Déploie Microsoft Defender pour point de terminaison sur des machines Windows Azure Arc. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Préversion] : activer la licence des mises à jour de sécurité étendues (ESU) pour protéger les machines Windows 2012 une fois leur cycle de vie de support terminé. Activer la licence des mises à jour de sécurité étendues (ESU) pour protéger les machines Windows 2012 même une fois leur cycle de vie de support terminé. Pour découvrir comment préparer la livraison des mises à jour de sécurité étendues pour Windows Server 2012 via Azure Arc, visitez https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Pour plus d’informations sur la tarification, consultez https://aka.ms/ArcWS2012ESUPricing DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : les mises à jour de sécurité étendues doivent être installées sur les machines Arc Windows Server 2012. Les machines Arc Windows Server 2012 doivent avoir installé toutes les mises à jour de sécurité étendues publiées par Microsoft. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, consultez https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure pour les hôtes Docker Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. La machine n'est pas configurée correctement pour l'une des recommandations de la base de référence de sécurité Azure pour les hôtes Docker. AuditIfNotExists, Désactivé 1.2.0-preview
[Préversion] : Les machines Linux doivent respecter l’exigence de conformité STIG pour le calcul Azure Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes suggestions de l’exigence de conformité STIG pour le calcul Azure. DISA (Defense Information Systems Agency) fournit des guides techniques STIG (Security Technical Implementation Guide) pour sécuriser le système d’exploitation de calcul selon les besoins du ministère de la Défense des États-Unis (DoD). Pour plus d’informations, https://public.cyber.mil/stigs/. AuditIfNotExists, Désactivé 1.2.0-preview
[Préversion] : Les machines Linux avec OMI installé doivent avoir la version 1.6.8-1 ou ultérieure Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. En raison d’un correctif de sécurité inclus dans la version 1.6.8-1 du package OMI pour Linux, toutes les machines doivent être mises à jour vers la dernière version. Mettez à niveau les applications/packages qui utilisent OMI pour résoudre le problème. Pour plus d’informations, consultez https://aka.ms/omiguidance. AuditIfNotExists, Désactivé 1.2.0-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1-preview
[Préversion] : les machines de calcul Nexus doivent respecter la base de référence de sécurité Utilise l’agent Azure Policy Guest Configuration pour l’audit. Cette stratégie garantit que les machines adhèrent à la base de référence de sécurité de calcul Nexus, englobant diverses recommandations conçues pour renforcer les machines contre une plage de vulnérabilités et de configurations non sécurisées (Linux uniquement). AuditIfNotExists, Désactivé 1.1.0-preview
[Préversion] : Les machines Windows doivent respecter les exigences de conformité STIG pour le calcul Azure Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines sont non conformes si elles ne sont pas configurées correctement par rapport à l’une des recommandations des exigences de conformité STIG pour Azure Compute. DISA (Defense Information Systems Agency) fournit des guides techniques STIG (Security Technical Implementation Guide) pour sécuriser le système d’exploitation de calcul selon les besoins du ministère de la Défense des États-Unis (DoD). Pour plus d’informations, https://public.cyber.mil/stigs/. AuditIfNotExists, Désactivé 1.0.0-preview
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe AuditIfNotExists, Désactivé 3.1.0
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 AuditIfNotExists, Désactivé 3.1.0
Auditer les machines Linux qui n’ont pas les applications spécifiées installées Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la ressource Chef InSpec indique qu’un ou plusieurs des packages fournis par le paramètre ne sont pas installés. AuditIfNotExists, Désactivé 4.2.0
Auditer les machines Linux qui ont des comptes sans mot de passe Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe AuditIfNotExists, Désactivé 3.1.0
Auditer les machines Linux qui ont les applications spécifiées installées Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la ressource Chef InSpec indique qu’un ou plusieurs des packages fournis par le paramètre sont installés. AuditIfNotExists, Désactivé 4.2.0
Auditer la posture de sécurité SSH pour Linux (avec OSConfig) Cette stratégie audite la configuration de la sécurité du serveur SSH sur les machines Linux (machines virtuelles Azure et machines avec Arc). Pour plus d’informations, notamment sur les prérequis, les paramètres applicables, les valeurs par défaut et la personnalisation, consultez https://aka.ms/SshPostureControlOverview AuditIfNotExists, Désactivé 1.0.1
Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local ne contient pas un ou plusieurs membres listés dans le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer la connectivité réseau des machines Windows Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’état d’une connexion réseau à un port IP et TCP ne correspond pas au paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows sur lesquelles la configuration DSC n’est pas conforme Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la commande Windows PowerShell Get-DSCConfigurationStatus retourne que la configuration DSC pour la machine n’est pas conforme. auditIfNotExists 3.0.0
Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’agent n’est pas installé ou s’il est installé, mais que l’objet COM AgentConfigManager.MgmtSvcCfg renvoie qu’il est inscrit auprès d’un espace de travail autre que l’ID spécifié dans le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows sur lesquelles les services spécifiés ne sont pas installés ni « En cours d’exécution » Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le résultat de la commande Windows PowerShell Get-Service n’inclut pas le nom du service dont l’état correspond à celui spécifié par le paramètre de stratégie. auditIfNotExists 3.0.0
Auditer les machines Windows sur lesquelles la console série Windows n’est pas activée Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le logiciel de console série n’est pas installé sur la machine ou si le numéro de port EMS ou la vitesse en bauds ne sont pas configurés avec les mêmes valeurs que les paramètres de stratégie. auditIfNotExists 3.0.0
Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les machines Windows autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24 AuditIfNotExists, Désactivé 2.1.0
Vérifier que les machines Windows ne sont pas jointes au domaine spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la valeur de la propriété Domain dans la classe WMI win32_computersystem ne correspond pas à la valeur du paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows qui ne sont pas définies sur le fuseau horaire spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la valeur de la propriété StandardName dans la classe WMI Win32_TimeZone ne correspond pas au fuseau horaire sélectionné pour le paramètre de stratégie. auditIfNotExists 3.0.0
Auditer les machines Windows qui contiennent des certificats arrivant à expiration dans le nombre spécifié de jours Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les certificats du magasin spécifié ont une date d’expiration hors limites pour le nombre de jours indiqué comme paramètre. La stratégie offre également la possibilité de rechercher uniquement des certificats spécifiques ou d’exclure des certificats spécifiques, et de signaler les certificats arrivés à expiration. auditIfNotExists 2.0.0
Auditer les machines Windows qui ne contiennent pas les certificats spécifiés dans la racine de confiance Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le magasin de certificats racines de confiance de l’ordinateur (Cert:\LocalMachine\Root) ne contient pas un ou plusieurs des certificats listés par le paramètre de stratégie. auditIfNotExists 3.0.0
Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie maximale de leur mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut de la durée de vie maximale du mot de passe est de 70 jours AuditIfNotExists, Désactivé 2.1.0
Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut pour la durée de vie minimale du mot de passe est de 1 jour AuditIfNotExists, Désactivé 2.1.0
Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Windows ne spécifiant pas la stratégie d’exécution Windows PowerShell Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la commande Windows PowerShell Get-ExecutionPolicy retourne une valeur différente de celle sélectionnée dans le paramètre de stratégie. AuditIfNotExists, Désactivé 3.0.0
Auditer les machines Windows sur lesquelles les modules Windows PowerShell spécifiés ne sont pas installés Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si un module n’est pas disponible à un emplacement spécifié par la variable d’environnement PSModulePath. AuditIfNotExists, Désactivé 3.0.0
Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères AuditIfNotExists, Désactivé 2.1.0
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Windows qui n’ont pas les applications spécifiées installées Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le nom de l’application est introuvable dans l’un des chemins de Registre suivants : HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditer les machines Windows qui ont des comptes supplémentaires dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient des membres qui ne sont pas listés dans le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows qui n’ont pas redémarré dans le nombre spécifié de jours Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la propriété WMI LastBootUpTime dans la classe Win32_Operatingsystem est en dehors de la plage de jours spécifiée par le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows qui ont les applications spécifiées installées Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le nom de l’application est présent dans l’un des chemins de Registre suivants : HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines virtuelles Windows avec un redémarrage en attente Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine est en attente de redémarrage pour l’une des raisons suivantes : maintenance basée sur les composants, Windows Update, changement de nom de fichier en attente, changement de nom d’ordinateur en attente, redémarrage du gestionnaire de configuration en attente. Chaque détection a un chemin de Registre unique. auditIfNotExists 2.0.0
L’authentification auprès des machines Linux doit exiger des clés SSH Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Désactivé 3.2.0
Les étendues de liaison privée Azure Arc doivent être configurées avec un point de terminaison privé Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux étendues de liaison privée Azure Arc, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Audit, Désactivé 1.0.0
Les étendues de liaison privée Azure Arc doivent désactiver l’accès au réseau public La désactivation de l’accès au réseau public améliore la sécurité en garantissant que les ressources Azure Arc ne peuvent pas se connecter via l’Internet public. La création de points de terminaison privés peut limiter l’exposition de vos ressources Azure Arc. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/arc/privatelink. Audit, Refuser, Désactivé 1.0.0
Les serveurs Azure Arc doivent être configurés avec une étendue de liaison privée Azure Arc Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Audit, Refuser, Désactivé 1.0.0
Configurez des serveurs compatibles avec Arc avec l’extension SQL Server installée pour activer ou désactiver l’évaluation des meilleures pratiques SQL Activez ou désactivez l’évaluation des meilleures pratiques SQL sur les instances SQL Server de vos serveurs compatibles avec Arc pour évaluer les meilleures pratiques. Pour en savoir plus, rendez-vous sur https://aka.ms/azureArcBestPracticesAssessment. DeployIfNotExists, Désactivé 1.0.1
Configurer les serveurs SQL avec Arc pour installer automatiquement l’agent Azure Monitor Automatisez le déploiement de l’extension Agent Azure Monitor sur vos serveurs SQL avec Arc Windows. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 1.3.0
Configurer les serveurs SQL avec Arc pour installer automatiquement Microsoft Defender pour SQL Configurez les serveurs SQL avec Arc Windows pris en charge pour installer automatiquement l’agent Microsoft Defender pour SQL. Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). DeployIfNotExists, Désactivé 1.2.0
Configurer les serveurs SQL avec Arc pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine. DeployIfNotExists, Désactivé 1.5.0
Configurer les serveurs SQL avec Arc pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics défini par l’utilisateur Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics défini par l’utilisateur. DeployIfNotExists, Désactivé 1.7.0
Configurer des serveurs SQL avec Arc avec association de règles de collecte de données à une DCR Microsoft Defender pour SQL Configurez l’association entre les serveurs SQL avec Arc et la DCR Microsoft Defender pour SQL. La suppression de cette association rompt la détection des failles de sécurité pour les serveurs SQL avec Arc. DeployIfNotExists, Désactivé 1.1.0
Configurer des serveurs SQL avec Arc avec association de règles de collecte de données à une DCR Microsoft Defender pour SQL définie par l’utilisateur Configurez l’association entre les serveurs SQL avec Arc et la DCR Microsoft Defender pour SQL définie par l’utilisateur. La suppression de cette association rompt la détection des failles de sécurité pour les serveurs SQL avec Arc. DeployIfNotExists, Désactivé 1.3.0
Configurer les étendues de liaison privée Azure Arc pour désactiver l’accès au réseau public Désactivez l’accès réseau public pour votre étendue de liaison privée Azure ARC afin que les ressources Azure Arc associées ne puissent pas se connecter aux services Azure Arc via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/arc/privatelink. Modifier, Désactivé 1.0.0
Configurer des étendues de liaison privée Azure Arc avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à l’étendue de liaison privée Azure Arc, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. DeployIfNotExists, Désactivé 2.0.0
Configurer des serveurs Azure Arc pour utiliser une étendue de liaison privée Azure Arc Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Modifier, Désactivé 1.0.0
Configurer la désactivation d’Azure Defender pour serveurs pour toutes les ressources (niveau de ressource) Azure Defender pour serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs et génère des recommandations de durcissement ainsi que des alertes sur les activités suspectes. Cette stratégie désactive le plan Defender pour serveurs pour toutes les ressources (machines virtuelles, groupes de machines virtuelles identiques et machines ARC) dans l’étendue sélectionnée (abonnement ou groupe de ressources). DeployIfNotExists, Désactivé 1.0.0
Configurer la désactivation d’Azure Defender pour serveurs pour les ressources (niveau de ressource) comportant l’étiquette sélectionnée Azure Defender pour serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs et génère des recommandations de durcissement ainsi que des alertes sur les activités suspectes. Cette stratégie désactive le plan Defender pour serveurs pour toutes les ressources (machines virtuelles, groupes de machines virtuelles identiques et machines ARC) comportant le nom d’étiquette et la ou les valeurs d’étiquette sélectionnés. DeployIfNotExists, Désactivé 1.0.0
Configurer l’activation d’Azure Defender pour serveurs (sous-plan « P1 ») pour toutes les ressources (niveau de ressource) comportant l’étiquette sélectionnée Azure Defender pour serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs et génère des recommandations de durcissement ainsi que des alertes sur les activités suspectes. Cette stratégie active le plan Defender pour serveurs (avec le sous-plan « P1 ») pour toutes les ressources (machines virtuelles et machines ARC) comportant le nom d’étiquette et la ou les valeurs d’étiquette sélectionnés. DeployIfNotExists, Désactivé 1.0.0
Configurer l’activation d’Azure Defender pour serveurs (avec le sous-plan « P1 ») pour toutes les ressources (niveau de ressource) Azure Defender pour serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs et génère des recommandations de durcissement ainsi que des alertes sur les activités suspectes. Cette stratégie active le plan Defender pour serveurs (avec le sous-plan « P1 ») pour toutes les ressources (machines virtuelles et machines ARC) dans l’étendue sélectionnée (abonnement ou groupe de ressources). DeployIfNotExists, Désactivé 1.0.0
Configurer Dependency Agent sur les serveurs Linux avec Azure Arc Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle Dependency Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. DeployIfNotExists, Désactivé 2.1.0
Configurer Dependency Agent sur serveurs Linux avec Azure Arc avec les paramètres de l’agent Azure Monitoring Agent Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l’extension de machine virtuelle de Dependency Agent avec les paramètres Azure Monitoring Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. DeployIfNotExists, Désactivé 1.2.0
Configurer Dependency Agent sur les serveurs Windows avec Azure Arc Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle de Dependency Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. DeployIfNotExists, Désactivé 2.1.0
Configurer Dependency Agent sur serveurs Windows avec Azure Arc avec les paramètres de l’agent Azure Monitoring Agent Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l’extension de machine virtuelle de Dependency Agent avec les paramètres Azure Monitoring Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. DeployIfNotExists, Désactivé 1.2.0
Configurer des machines Arc Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données Déployez Association pour lier des machines Linux avec Arc à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 2.2.1
Configurer des machines Linux avec Arc pour exécuter l’agent Azure Monitor Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Linux avec Arc pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si la région est prise en charge. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 2.4.0
Configurer des machines Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données Déployez l’Association pour lier des machines virtuelles Linux, des groupes de machines virtuelles identiques et des machines Arc à la règle de collecte de données spécifiée, ou le point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 6.5.1
Configurez le serveur Linux pour désactiver les utilisateurs locaux. Crée une affectation Configuration Invité pour configurer la désactivation des utilisateurs locaux sur un serveur Linux. Cela garantit que les serveurs Linux ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. DeployIfNotExists, Désactivé préversion-1.3.0
Configurer l’extension Log Analytics sur des serveurs Linux activés pour Azure Arc. Voir l’avis de dépréciation ci-dessous Activez des insights de machines virtuelles sur des serveurs et des ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle de l'agent Log Analytics. VM Insights utilise l'agent Log Analytics pour collecter les données de performances du système d'exploitation invité afin de fournir des insights sur ses performances. En savoir plus : https://aka.ms/vminsightsdocs. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer avant cette date vers « l’Agent Azure Monitor » qui le remplace DeployIfNotExists, Désactivé 2.1.1
Configurer l’extension Log Analytics sur des serveurs Windows avec Azure Arc Activez des insights de machines virtuelles sur des serveurs et des ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle de l'agent Log Analytics. VM Insights utilise l'agent Log Analytics pour collecter les données de performances du système d'exploitation invité afin de fournir des insights sur ses performances. En savoir plus : https://aka.ms/vminsightsdocs. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. DeployIfNotExists, Désactivé 2.1.1
Configurer des machines pour recevoir un fournisseur d’évaluation des vulnérabilités Azure Defender comprend l’analyse des vulnérabilités de vos machines sans coût supplémentaire. Vous n’avez pas besoin d’une licence Qualys ni même de compte Qualys : tout est traité de manière fluide dans Security Center. Quand vous activez cette stratégie, Azure Defender déploie automatiquement l’agent d’évaluation des vulnérabilités de Qualys sur tous les ordinateurs pris en charge qui en sont dépourvus. DeployIfNotExists, Désactivé 4.0.0
Configurer la vérification périodique des mises à jour système manquantes sur les serveurs compatibles Azure Arc Configurez l’auto-évaluation (toutes les 24 heures) des mises à jour du système d’exploitation sur les serveurs avec Azure Arc. Vous pouvez contrôler l’étendue de l’attribution en fonction de l’abonnement de l’ordinateur, du groupe de ressources, de l’emplacement ou de l’étiquette. Découvrez-en plus à ce sujet pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. modify 2.3.0
Configurer des protocoles de communication sécurisés (TLS 1.1 ou TLS 1.2) sur des machines Windows Crée une affectation Guest Configuration pour configurer la version de protocole sécurisée spécifiée (TLS 1.1 ou TLS 1.2) sur la machine Windows. DeployIfNotExists, Désactivé 1.0.1
Configurer la posture de sécurité SSH pour Linux (avec OSConfig) Cette stratégie audite et configure la configuration de la sécurité du serveur configurer SSH sur les machines Linux (machines virtuelles Azure et machines avec Arc). Pour plus d’informations, notamment sur les prérequis, les paramètres applicables, les valeurs par défaut et la personnalisation, consultez https://aka.ms/SshPostureControlOverview DeployIfNotExists, Désactivé 1.0.1
Configurer l’espace de travail Log Analytics Microsoft Defender pour SQL Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources et un espace de travail Log Analytics dans la même région que la machine. DeployIfNotExists, Désactivé 1.4.0
Configurer le fuseau horaire sur les machines Windows. Cette stratégie crée une attribution Guest Configuration pour définir le fuseau horaire spécifié sur des machines virtuelles Windows. deployIfNotExists 2.1.0
Configurer des machines virtuelles à intégrer à Azure Automanage Azure Automanage inscrit, configure et surveille les machines virtuelles selon les meilleures pratiques définies dans le Cloud Adoption Framework de Microsoft pour Azure. Utilisez cette stratégie pour appliquer Automanage à l’étendue sélectionnée. AuditIfNotExists, DeployIfNotExists, Désactivé 2.4.0
Configurer les machines virtuelles à intégrer à Azure Automanage avec un profil de configuration personnalisé Azure Automanage inscrit, configure et surveille les machines virtuelles selon les meilleures pratiques définies dans le Cloud Adoption Framework de Microsoft pour Azure. Utilisez cette stratégie pour appliquer Automanage avec votre propre profil de configuration personnalisé à votre étendue sélectionnée. AuditIfNotExists, DeployIfNotExists, Désactivé 1.4.0
Configurer des machines Arc Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données Déployez Association pour lier des machines Windows avec Arc à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 2.2.1
Configurer des machines Windows avec Arc pour exécuter l’agent Azure Monitor Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Windows avec Arc pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 2.4.0
Configurer des machines Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données Déployez l’Association pour lier des machines virtuelles Windows, des groupes de machines virtuelles identiques et des machines Arc à la règle de collecte de données spécifiée, ou le point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 4.5.1
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Désactivé 1.0.0
Endpoint Protection doit être installé sur vos machines Pour protéger vos machines contre les menaces et les vulnérabilités, installez une solution de protection des points de terminaison prise en charge. AuditIfNotExists, Désactivé 1.0.0
L’agent Azure Monitor doit être installé sur des machines Linux avec Arc Les machines Linux avec Arc doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie audite les machines avec Arc dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 1.2.0
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 2.2.0
Les machines Linux doivent disposer uniquement de comptes locaux autorisés Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. La gestion des comptes d’utilisateur à l’aide d’Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction des comptes de machine locale permet d’empêcher la prolifération des identités managées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes d’utilisateur locaux activés et non listés dans le paramètre de stratégie. AuditIfNotExists, Désactivé 2.2.0
Les méthodes d’authentification locales doivent être désactivées sur les ordinateurs Linux Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les serveurs Linux n’ont pas les méthodes d’authentification locales désactivées. Cela permet de valider que les serveurs Linux ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. AuditIfNotExists, Désactivé 1.2.0-preview
Les méthodes d’authentification locales doivent être désactivées sur Serveurs Windows Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les serveurs Windows n’ont pas les méthodes d’authentification locales désactivées. Cela permet de valider que les serveurs Windows ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. AuditIfNotExists, Désactivé 1.0.0-preview
Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes Pour garantir que les évaluations périodiques des mises à jour système manquantes sont déclenchées automatiquement toutes les 24 heures, la propriété AssessmentMode doit être définie sur « AutomaticByPlatform ». Découvrez-en plus sur la propriété AssessmentMode pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. Audit, Refuser, Désactivé 3.7.0
Planifier des mises à jour régulières à l’aide d’Azure Update Manager Vous pouvez utiliser Azure Update Manager dans Azure pour enregistrer des planifications de déploiement périodiques afin d’installer des mises à jour du système d’exploitation pour vos machines Windows Server et Linux dans Azure, dans des environnements locaux et dans d’autres environnements cloud connectés à l’aide de serveurs avec Azure Arc. Cette stratégie modifie également le mode de correctif de la machine virtuelle Azure en « AutomaticByPlatform ». Pour en savoir plus : https://aka.ms/umc-scheduled-patching DeployIfNotExists, Désactivé 3.12.0
Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. AuditIfNotExists, Désactivé 1.0.0
Abonnez les instances SQL Server avec Arc éligibles aux mises à jour de sécurité étendues. Abonnez les instances SQL Server avec Arc éligibles avec le type de licence défini sur Payé ou PAYG aux mises à jour de sécurité étendues. Plus d’informations sur les mises à jour de sécurité étendue https://go.microsoft.com/fwlink/?linkid=2239401. DeployIfNotExists, Désactivé 1.0.0
Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. AuditIfNotExists, Désactivé 1.0.1
L’extension Log Analytics héritée ne doit pas être installée sur des serveurs Linux avec Azure Arc Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des serveurs Linux avec Azure Arc. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des serveurs Windows avec Azure Arc Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des serveurs Windows avec Azure Arc. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’agent Azure Monitor doit être installé sur des machines Windows avec Arc Les machines Windows avec Arc doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les machines Windows avec Arc dans les régions prises en charge sont supervisées pour le déploiement de l’agent Azure Monitor. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 1.2.0
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. AuditIfNotExists, Désactivé 4.1.1
Les machines Windows doivent configurer Windows Defender pour mettre à jour les signatures de protection dans un délai d’un jour Pour fournir une protection adéquate contre les nouveaux programmes malveillants, les signatures de protection Windows Defender doivent être mises à jour régulièrement pour tenir compte des nouveaux programmes malveillants. Cette stratégie n’est pas appliquée aux serveurs connectés à Arc et nécessite que les prérequis de la configuration Invité aient été déployés dans l’étendue d’affectation de la stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.1
Les machines Windows doivent activer la protection en temps réel Windows Defender Les machines Windows doivent activer la protection en temps réel dans Windows Defender pour fournir une protection adéquate contre les nouveaux programmes malveillants. Cette stratégie n’est pas applicable aux serveurs connectés à Arc et nécessite que les prérequis de la configuration Invité aient été déployés dans l’étendue d’affectation de la stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.1
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Panneau de configuration » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Panneau de configuration » pour la personnalisation de l’entrée et la prévention de l’activation des écrans de verrouillage. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - MSS (hérité) » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - MSS (hérité) » pour l’ouverture de session automatique, l’économiseur d’écran, le comportement réseau, la DLL sécurisée et le journal des événements. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Réseau » pour les ouvertures de session d’invité, les connexions simultanées, le pont réseau, ICS et la résolution de noms de multidiffusion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Système » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Système » pour les paramètres qui contrôlent l’expérience administrative et l’assistance à distance. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Comptes » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Comptes » pour limiter l’utilisation par le compte local de mots de passe vides et pour l’état du compte Invité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Audit » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Audit » pour forcer les sous-catégories de stratégie d’audit et pour l’arrêt en cas d’incapacité à journaliser les audits de sécurité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Appareils » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Appareils » pour la désancrage sans ouverture de session, l’installation des pilotes d’impression et le formatage/éjection de médias. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Ouverture de session interactive » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Ouverture de session interactive » pour afficher le nom du dernier utilisateur et exiger Ctrl-Alt-Suppr. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences pour « Options de sécurité - Client réseau Microsoft » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Serveur réseau Microsoft » pour le client/serveur réseau Microsoft et SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Serveur réseau Microsoft » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Serveur réseau Microsoft » pour désactiver le serveur SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Accès réseau » pour inclure l’accès des utilisateurs anonymes, des comptes locaux et l’accès à distance au Registre. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Sécurité réseau » pour inclure le comportement du système local, PKU2U, LAN Manager, le client LDAP et NTLM SSP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Console de récupération » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Console de récupération » pour autoriser la copie de disquettes et l’accès à tous les lecteurs et dossiers. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Arrêt » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Arrêt » pour autoriser l’arrêt sans ouverture de session et l’effacement du fichier d’échange de mémoire virtuelle. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Objets système » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Objets système » pour le non-respect de la casse pour les sous-systèmes non-Windows et les autorisations des objets système internes. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Paramètres système » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Paramètres système » pour les règles de certificat sur les exécutables pour SRP et les sous-systèmes facultatifs. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Contrôle de compte d’utilisateur » pour le mode pour les administrateurs, le comportement d’invite d’élévation et la virtualisation des échecs d’écriture dans les fichiers et les registres. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Paramètres de sécurité - Stratégies de compte » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Paramètres de sécurité - Stratégies de compte » pour l’historique, l’âge, la longueur et la complexité des mots de passe, et leur stockage à l’aide du chiffrement réversible. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Connexion de compte » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Connexion de compte » pour l’audit de la validation des informations d’identification et d’autres événements d’ouverture de session de compte. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Gestion de compte » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Gestion de compte » pour l’audit de la gestion des applications, de la sécurité et des groupes d’utilisateurs, et d’autres événements de gestion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Ouverture et fermeture de session » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Ouverture et fermeture de session » pour l’audit d’IPSec, de la stratégie réseau, des revendications, du verrouillage de compte, de l’appartenance au groupe et des événements d’ouverture/de fermeture de session. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Accès aux objets » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Accès aux objets » pour l’audit des fichiers, du Registre, de SAM, du stockage, du filtrage, du noyau et d’autres types de système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Changement de stratégie » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Changement de stratégie » pour l’audit des modifications apportées aux stratégies d’audit du système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Utilisation de privilège » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Utilisation de privilège » pour l’audit de l’utilisation des privilèges non sensibles et autres. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Système » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Système » pour l’audit du pilote IPsec, de l’intégrité du système, de l’extension système, du changement d’état et d’autres événements système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Attribution de droits de l’utilisateur » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Attribution de droits de l’utilisateur » pour autoriser l’ouverture de session localement, RDP, l’accès à partir du réseau et plusieurs autres activités utilisateur. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Composants Windows » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Composants Windows » pour l’authentification de base, le trafic non chiffré, les comptes Microsoft, la télémétrie, Cortana et d’autres comportements de Windows. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Propriétés de pare-feu Windows » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Propriétés de pare-feu Windows » pour l’état du pare-feu, les connexions, la gestion des règles et les notifications. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent disposer uniquement de comptes locaux autorisés Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Cette définition n’est pas prise en charge sur Windows Server 2012 ou 2012 R2. La gestion des comptes d’utilisateur à l’aide d’Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction des comptes de machine locale permet d’empêcher la prolifération des identités managées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes d’utilisateur locaux activés et non listés dans le paramètre de stratégie. AuditIfNotExists, Désactivé 2.0.0

Étapes suivantes