你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
已启用 Azure Arc 的服务器的 Azure Policy 内置定义
此页是已启用 Azure Arc 的服务器的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
已启用 Azure Arc 的服务器
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览版]:应在计算机上启用托管标识 | 由 Automanage 管理的资源应具有托管标识。 | Audit、Disabled | 1.0.0-preview |
[预览版]:Automanage 配置文件分配应为“符合” | 由 Automanage 管理的资源的状态应为 Conformant 或 ConformantCorrected。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:应在 Linux Arc 计算机上安装 Azure 安全代理 | 请在 Linux Arc 计算机上安装 Azure 安全代理,以监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:应在 Windows Arc 计算机上安装 Azure 安全代理 | 请在 Windows Arc 计算机上安装 Azure 安全代理,以监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:应在 Linux Arc 计算机上安装 ChangeTracking 扩展 | 在 Linux Arc 计算机上安装 ChangeTracking 扩展以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:应在 Windows Arc 计算机上安装 ChangeTracking 扩展 | 在 Windows Arc 计算机上安装 ChangeTracking 扩展以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览]:使用连接到默认 Log Analytics 工作区的 Log Analytics 代理配置已启用 Azure Arc 的 Linux 计算机 | 通过安装将数据发送到 Microsoft Defender for Cloud 创建的默认 Log Analytics 工作区的 Log Analytics 代理,使用 Microsoft Defender for Cloud 功能保护已启用 Azure Arc 的 Linux 计算机。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览]:使用连接到默认 Log Analytics 工作区的 Log Analytics 代理配置已启用 Azure Arc 的 Windows 计算机 | 通过安装将数据发送到 Microsoft Defender for Cloud 创建的默认 Log Analytics 工作区的 Log Analytics 代理,使用 Microsoft Defender for Cloud 功能保护已启用 Azure Arc 的 Windows 计算机。 | DeployIfNotExists、Disabled | 1.1.0-preview |
[预览版]:为 Linux Arc 计算机配置 ChangeTracking 扩展 | 将 Linux Arc 计算机配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[预览版]:为 Windows Arc 计算机配置 ChangeTracking 扩展 | 将 Windows Arc 计算机配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 | DeployIfNotExists、Disabled | 2.0.0-preview |
[预览版]:将已启用 Arc 的 Linux 计算机配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将已启用 Arc 的 Linux 计算机链接到指定的数据收集规则,并启用 ChangeTracking 和库存。 随着支持的增加,位置列表会随着时间而更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览]: 将已启用 Arc 的 Linux 计算机配置为安装用于 ChangeTracking 和库存的 AMA | 在已启用 Arc 的 Linux 计算机上自动部署 Azure Monitor 代理扩展,以启用 ChangeTracking 和库存。 如果支持区域,则此策略将安装扩展。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.3.0-preview |
[预览版]:配置受支持的 Linux Arc 计算机以自动安装 Azure 安全代理 | 配置受支持的 Linux Arc 计算机以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标 Linux Arc 计算机必须位于受支持的位置。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:配置受支持的 Windows Arc 计算机以自动安装 Azure 安全代理 | 配置受支持的 Windows Arc 计算机以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标 Windows Arc 计算机必须位于受支持的位置。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:将启用了 Windows Arc 的计算机配置为与 ChangeTracking 和库存的数据收集规则相关联 | 部署关联以将已启用 Arc 的 Windows 计算机链接到指定的数据收集规则,并启用 ChangeTracking 和库存。 随着支持的增加,位置列表会随着时间而更新。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:配置已启用 Arc 的 Windows 计算机以安装用于 ChangeTracking 和库存的 AMA | 在已启用 Arc 的 Windows 计算机上自动部署 Azure Monitor 代理扩展,以启用 ChangeTracking 和库存。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:配置 Windows Server 以禁用本地用户。 | 创建来宾配置分配,以在 Windows Server 上配置禁用本地用户。 这可确保 Windows Server 只能通过 AAD (Azure Active Directory) 帐户或此策略明确允许的用户列表访问,从而改善整体安全状况。 | DeployIfNotExists、Disabled | 1.2.0-preview |
[预览版]:拒绝扩展安全更新 (ESU) 许可证创建或修改。 | 此策略使你能够限制 Windows Server 2012 Arc 计算机的 ESU 许可证的创建或修改。 有关定价的更多详细信息,请访问 https://aka.ms/ArcWS2012ESUPricing | 拒绝、已禁用 | 1.0.0-preview |
[预览版]:在 Linux 混合计算机上部署 Microsoft Defender for Endpoint 代理 | 在 Linux 混合计算机上部署 Microsoft Defender for Endpoint 代理 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[预览版]:在 Windows Azure Arc 计算机上部署 Microsoft Defender for Endpoint 代理 | 在 Windows Azure Arc 计算机上部署 Microsoft Defender for Endpoint。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
[预览版]:启用扩展安全更新 (ESU) 许可证,以在 Windows 2012 计算机的支持生命周期结束后使其保持受保护状态。 | 启用扩展安全更新 (ESU) 许可证,甚至可以在 Windows 2012 计算机的支持生命周期结束后使其保持受保护状态。 若要了解如何准备通过 Azure Arc 为 Windows Server 2012 提供扩展安全更新,请访问 https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates。 有关定价的更多详细信息,请访问 https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists、Disabled | 1.0.0-preview |
[预览版]:扩展安全更新程序应安装在 Windows Server 2012 Arc 计算机上。 | Windows Server 2012 Arc 计算机应该已安装 Microsoft 发布的所有扩展安全更新程序。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol | AuditIfNotExists、Disabled | 1.0.0-preview |
[预览版]:Linux 计算机应满足 Docker 主机的 Azure 安全基线要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 计算机未根据 Docker 主机的 Azure 安全基线中的某条建议进行正确配置。 | AuditIfNotExists、Disabled | 1.2.0-preview |
:Linux 计算机应满足 Azure 计算的 STIG 合规性要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算的 STIG 合规性要求中的某条建议进行正确配置,则计算机不合规。 根据美国国防部 (DoD) 之要求,国防信息系统局 (DISA) 提供安全技术实施指南 (STIG) 以保护计算操作系统。 有关详细信息,请参阅 https://public.cyber.mil/stigs/。 | AuditIfNotExists、Disabled | 1.2.0-preview |
:安装了 OMI 的 Linux 计算机应具有版本 1.6.8-1 或更高版本 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 由于 Linux OMI 包版本 1.6.8-1 中包含的安全修补程序,所有计算机都应更新到最新版本。 升级使用 OMI 解决问题的应用/包。 有关详细信息,请参阅 https://aka.ms/omiguidance。 | AuditIfNotExists、Disabled | 1.2.0-preview |
[预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 此策略审核是否有 Linux Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
[预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 此策略审核是否有 Windows Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
[预览版]:Nexus 计算机应满足安全基线要求 | 利用 Azure Policy 来宾配置代理进行审核。 此策略确保计算机遵守 Nexus 计算安全基线要求,包括旨在增强计算机以使之免受一系列漏洞和不安全配置影响的各种建议(仅限 Linux)。 | AuditIfNotExists、Disabled | 1.1.0-preview |
[预览]:Windows 计算机应满足 Azure 计算的 STIG 合规性要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算的 STIG 合规性要求中的某条建议进行正确配置,则计算机不合规。 根据美国国防部 (DoD) 之要求,国防信息系统局 (DISA) 提供安全技术实施指南 (STIG) 以保护计算操作系统。 有关详细信息,请参阅 https://public.cyber.mil/stigs/。 | AuditIfNotExists、Disabled | 1.0.0-preview |
审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
审核未将密码文件权限设为 0644 的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
审核未安装指定应用程序的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Chef InSpec 资源指示未安装参数提供的一个或多个包,则计算机不合规。 | AuditIfNotExists、Disabled | 4.2.0 |
审核具有不使用密码的帐户的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
审核安装了指定应用程序的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Chef InSpec 资源指示安装了参数提供的一个或多个包,则计算机不合规。 | AuditIfNotExists、Disabled | 4.2.0 |
审核 Linux 的 SSH 安全状况(由 OSConfig 提供支持) | 此策略审核 Linux 计算机上的 SSH 服务器安全配置(Azure VM 和已启用 Arc 的计算机)。 有关详细信息,包括先决条件、范围设置、默认值和自定义设置,请参阅 https://aka.ms/SshPostureControlOverview | AuditIfNotExists、Disabled | 1.0.1 |
审核缺少管理员组中任何指定成员的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组不包含策略参数中列出的一个或多个成员,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核 Windows 计算机网络连接 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 IP 和 TCP 端口的网络连接状态与策略参数不匹配,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核 DSC 配置不合规的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 返回计算机的 DSC 配置不合规,则计算机不合规。 | auditIfNotExists | 3.0.0 |
审核其 Log Analytics 代理未按预期连接的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果未安装代理,或者安装了代理,但 COM 对象 AgentConfigManager.MgmtSvcCfg 返回它已注册到策略参数中指定的 ID 以外的工作区,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核未安装指定的服务且“正在运行”的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-Service 的结果不包括具有策略参数指定的匹配状态的服务名称,则计算机不合规。 | auditIfNotExists | 3.0.0 |
审核未启用 Windows 串行控制台的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未安装串行控制台软件,或没有为 EMS 端口号或波特率配置与策略参数相同的值,则计算机不合规。 | auditIfNotExists | 3.0.0 |
审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许在指定数量的唯一密码后重新使用密码,则这些计算机是不合规的。 唯一密码的默认值为 24 | AuditIfNotExists、Disabled | 2.1.0 |
审核未加入指定域的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 WMI 类 win32_computersystem 中 Domain 属性的值与策略参数中的值不匹配,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核未设置为指定时区的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 WMI 类 Win32_TimeZone 中 StandardName 属性的值与策略参数的选定时区不匹配,则计算机不合规。 | auditIfNotExists | 3.0.0 |
审核包含将在指定天数内过期的证书的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果指定存储中的证书的到期日期超出了参数给定的天数范围,则计算机不合规。 该策略还提供仅检查特定证书或排除特定证书的选项,以及是否报告过期证书的选项。 | auditIfNotExists | 2.0.0 |
审核在受信任的根中不包含指定证书的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机受信任的根证书存储 (Cert:\LocalMachine\Root) 不包含策略参数列出的一个或多个证书,则计算机不合规。 | auditIfNotExists | 3.0.0 |
审核未将最长密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设置为指定天数,则这些计算机是不合规的。 最长密码期限的默认值为 70 天 | AuditIfNotExists、Disabled | 2.1.0 |
审核未将最短密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码期限设置为指定天数,则这些计算机是不合规的。 最短密码期限的默认值为 1 天 | AuditIfNotExists、Disabled | 2.1.0 |
审核未启用密码复杂性设置的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未启用密码复杂性设置,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
审核没有指定的 Windows PowerShell 执行策略的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-ExecutionPolicy 返回的值不是策略参数中所选的值,则计算机不符合要求。 | AuditIfNotExists、Disabled | 3.0.0 |
审核没有安装指定 Windows PowerShell 模块的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果模块在环境变量 PSModulePath 指定的位置中不可用,则计算机不符合要求。 | AuditIfNotExists、Disabled | 3.0.0 |
审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机没有将最短密码长度限制为特定字符数,则这些计算机是不合规的。 最短密码长度的默认值为 14 个字符 | AuditIfNotExists、Disabled | 2.1.0 |
审核未存储使用可逆加密的密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
审核未安装指定应用程序的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果在以下任何注册表路径中都找不到相关应用程序名称,则计算机不合规:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
审核管理员组中具有额外帐户的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中未列出的成员,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核未在指定天数内重启的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果类 Win32_Operatingsystem 中的 WMI 属性 LastBootUpTime 不在策略参数提供的天数范围内,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核安装了指定应用程序的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果在以下任何注册表路径中找到了相关应用程序名称,则计算机不合规:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
审核具有管理员组中指定成员的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中列出的一个或多个成员,则计算机不合规。 | auditIfNotExists | 2.0.0 |
审核正在等待重新启动的 Windows VM | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机由于以下任一原因正在等待重启,则计算机不合规:基于组件的服务、Windows 更新、挂起的文件重命名、挂起的计算机重命名、配置管理器等待重启。 每次检测都有唯一的注册表路径。 | auditIfNotExists | 2.0.0 |
对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 了解详细信息:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists、Disabled | 3.2.0 |
应使用专用终结点配置 Azure Arc 专用链接范围 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink。 | Audit、Disabled | 1.0.0 |
Azure Arc 专用链接范围应禁用公共网络访问权限 | 禁用公共网络访问权限通过确保 Azure Arc 资源无法通过公共 Internet 连接来提高安全性。 创建专用终结点可以限制 Azure Arc 资源的公开。 有关详细信息,请访问:https://aka.ms/arc/privatelink。 | Audit、Deny、Disabled | 1.0.0 |
应为已启用 Azure Arc 的服务器配置 Azure Arc 专用链接范围 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将已启用 Azure Arc 的服务器映射到配置了专用终结点的 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink。 | Audit、Deny、Disabled | 1.0.0 |
将安装了 SQL Server 扩展的已启用 Arc 的服务器配置为启用或禁用 SQL 最佳做法评估。 | 在已启用 Arc 的服务器上的 SQL Server 实例中启用或禁用 SQL 最佳做法评估,以评估最佳做法。 更多信息请访问 https://aka.ms/azureArcBestPracticesAssessment。 | DeployIfNotExists、Disabled | 1.0.1 |
配置已启用 Arc 的 SQL Server 以自动安装 Azure Monitor 代理 | 在启用 Windows Arc 的 SQL Server 上自动部署 Azure Monitor 代理扩展。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.3.0 |
配置已启用 Arc 的 SQL Server 以自动安装 Microsoft Defender for SQL | 配置已启用 Windows Arc 的 SQL Server 以自动安装 Microsoft Defender for SQL 代理。 Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 | DeployIfNotExists、Disabled | 1.2.0 |
配置已启用 Arc 的 SQL Server 以使用 Log Analytics 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.5.0 |
配置已启用 Arc 的 SQL Server 以使用用户定义的 LA 工作区自动安装 Microsoft Defender for SQL 和 DCR | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在用户定义的 Log Analytics 工作区所在的同一区域中创建资源组和数据收集规则。 | DeployIfNotExists、Disabled | 1.7.0 |
使用数据收集规则关联将已启用 Arc 的 SQL Server 配置为 Microsoft Defender for SQL DCR | 配置已启用 Arc 的 SQL Server 与 Microsoft Defender for SQL DCR 之间的关联。 删除此关联将中断对此已启用 Arc 的 SQL Server 的安全漏洞检测。 | DeployIfNotExists、Disabled | 1.1.0 |
使用数据收集规则关联将已启用 Arc 的 SQL Server 配置为 Microsoft Defender for SQL 用户定义的 DCR | 配置已启用 Arc 的 SQL Server 与 Microsoft Defender for SQL 用户定义的 DCR 之间的关联。 删除此关联将中断对此已启用 Arc 的 SQL Server 的安全漏洞检测。 | DeployIfNotExists、Disabled | 1.3.0 |
配置 Azure Arc 专用链接范围以禁用公共网络访问权限 | 禁用 Azure Arc 专用链接范围的公共网络访问权限,以便关联的 Azure Arc 资源无法通过公共 Internet 连接到 Azure Arc 服务。 这可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/arc/privatelink。 | 修改,已禁用 | 1.0.0 |
使用专用终结点配置 Azure Arc 专用链接范围 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Arc 专用链接范围,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink。 | DeployIfNotExists、Disabled | 2.0.0 |
将已启用 Azure Arc 的服务器配置为使用 Azure Arc 专用链接范围 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将已启用 Azure Arc 的服务器映射到配置了专用终结点的 Azure Arc 专用链接范围,降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/arc/privatelink。 | 修改,已禁用 | 1.0.0 |
将 Azure Defender for Servers 配置为对所有资源禁用(资源级别) | Azure Defender for Servers 可为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为选定范围(订阅或资源组)中的所有资源(VM、VMSS 和 ARC 计算机)禁用 Defender for Servers 计划。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Azure Defender for Servers 配置为对具有所选标记的资源(资源级别)禁用 | Azure Defender for Servers 可为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为具有选定标记名称和标记值的所有资源(VM、VMSS 和 ARC 计算机)禁用 Defender for Servers 计划。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Azure Defender for Servers 配置为对具有所选标记的所有资源(资源级别)启用(“P1”子计划) | Azure Defender for Servers 可为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为具有选定标记名称和标记值的所有资源(VM 和 ARC 计算机)启用 Defender for Servers 计划(和“P1”子计划配合使用)。 | DeployIfNotExists、Disabled | 1.0.0 |
将 Azure Defender for Servers 配置为对所有资源(资源级别)启用(和“P1”子计划配合使用) | Azure Defender for Servers 可为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为选定范围(订阅或资源组)中的所有资源(VM 和 ARC 计算机)启用 Defender for Servers 计划(和“P1”子计划配合使用)。 | DeployIfNotExists、Disabled | 1.0.0 |
在启用了 Azure Arc 的 Linux 服务器上配置依赖关系代理 | 安装 Dependency Agent 虚拟机扩展,通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Dependency Agent 来收集网络指标以及发现的有关在计算机上运行的进程和外部进程依赖项的数据。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists、Disabled | 2.1.0 |
使用 Azure Monitoring Agent 设置在启用了 Azure Arc 的 Linux 服务器上配置 Dependency Agent | 通过使用 Azure Monitoring Agent 设置安装 Dependency Agent 虚拟机扩展,在通过启用了 Arc 的服务器连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Dependency Agent 来收集网络指标以及发现的有关在计算机上运行的进程和外部进程依赖项的数据。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists、Disabled | 1.2.0 |
在启用了 Azure Arc 的 Windows 服务器上配置 Dependency Agent | 安装 Dependency Agent 虚拟机扩展,通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Dependency Agent 来收集网络指标以及发现的有关在计算机上运行的进程和外部进程依赖项的数据。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists、Disabled | 2.1.0 |
使用 Azure Monitoring Agent 设置在启用了 Azure Arc 的 Windows 服务器上配置 Dependency Agent | 通过使用 Azure Monitoring Agent 设置安装 Dependency Agent 虚拟机扩展,在通过启用了 Arc 的服务器连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Dependency Agent 来收集网络指标以及发现的有关在计算机上运行的进程和外部进程依赖项的数据。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists、Disabled | 1.2.0 |
将 Linux Arc 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 随着支持的增加,位置列表会随着时间而更新。 | DeployIfNotExists、Disabled | 2.2.1 |
将已启用 Linux Arc 的计算机配置为运行 Azure Monitor 代理 | 在已启用 Linux Arc 的计算机上自动部署 Azure Monitor 代理扩展,以从来宾操作系统收集遥测数据。 如果支持区域,则此策略将安装扩展。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 2.4.0 |
将 Linux 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Linux 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 6.5.1 |
将 Linux Server 配置为禁用本地用户。 | 创建来宾配置分配以配置在 Linux 服务器上禁用本地用户。 这可确保 Linux 服务器只能通过 AAD (Azure Active Directory) 帐户或此策略明确允许的用户列表访问,从而改善整体安全状况。 | DeployIfNotExists、Disabled | 1.3.0-preview |
在已启用 Azure Arc 的 Linux 服务器上配置 Log Analytics 扩展。 请参阅下面的弃用通知 | 安装 Log Analytics 虚拟机扩展,从而通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Log Analytics 代理收集来宾 OS 性能数据,并提供对其性能的见解。 查看更多 - https://aka.ms/vminsightsdocs。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” | DeployIfNotExists、Disabled | 2.1.1 |
在已启用 Azure Arc 的 Windows 服务器上配置 Log Analytics 扩展 | 安装 Log Analytics 虚拟机扩展,从而通过启用了 Arc 的服务器在连接到 Azure 的服务器和计算机上启用 VM 见解。 VM 见解使用 Log Analytics 代理收集来宾 OS 性能数据,并提供对其性能的见解。 查看更多 - https://aka.ms/vminsightsdocs。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 | DeployIfNotExists、Disabled | 2.1.1 |
配置计算机以接收漏洞评估提供程序 | Azure Defender 包含适用于计算机的漏洞扫描,不额外收费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 启用此策略后,Azure Defender 会自动将 Qualys 漏洞评估提供程序部署到尚未安装该代理的所有受支持的计算机。 | DeployIfNotExists、Disabled | 4.0.0 |
配置定期检查,以确认已启用 Arc 的服务器上缺少的系统更新 | 为已启用 Azure Arc 的服务器上的 OS 更新配置自动评估(每 24 小时)。 你可以根据计算机订阅、资源组、位置或标记来控制分配范围。 对于 Windows 计算机,请参阅 https://aka.ms/computevm-windowspatchassessmentmode了解详细信息;对于 Linux 计算机,请参阅 https://aka.ms/computevm-linuxpatchassessmentmode。 | modify | 2.3.0 |
在 Windows 计算机上配置安全通信协议(TLS 1.1 或 TLS 1.2) | 创建来宾配置分配以在 Windows 计算机上配置指定的安全协议版本(TLS 1.1 或 TLS 1.2)。 | DeployIfNotExists、Disabled | 1.0.1 |
为 Linux 配置 SSH 安全状况(由 OSConfig 提供支持) | 此策略审核和配置 Linux 计算机上的 SSH 服务器安全配置(Azure VM 和已启用 Arc 的计算机)。 有关详细信息,包括先决条件、范围设置、默认值和自定义设置,请参阅 https://aka.ms/SshPostureControlOverview | DeployIfNotExists、Disabled | 1.0.1 |
配置 Microsoft Defender for SQL Log Analytics 工作区 | Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组和 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.4.0 |
在 Windows 计算机上配置时区。 | 此策略创建一个 Guest Configuration 分配用于在 Windows 虚拟机上设置指定的时区。 | deployIfNotExists | 2.1.0 |
将虚拟机配置为加入 Azure Automanage | Azure Automanage 按照 Azure Microsoft 云采用框架中定义的最佳做法来注册、配置和监视虚拟机。 使用此策略将自动管理应用到所选范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 |
使用自定义配置文件将虚拟机配置为加入 Azure Automanage | Azure Automanage 按照 Azure Microsoft 云采用框架中定义的最佳做法来注册、配置和监视虚拟机。 使用此策略可将 Automanage 与你自己的自定义配置文件一起应用到所选范围。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
将 Windows Arc 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Windows Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 随着支持的增加,位置列表会随着时间而更新。 | DeployIfNotExists、Disabled | 2.2.1 |
配置已启用 Arc 的 Windows 计算机以运行 Azure Monitor 代理 | 在已启用 Arc 的 Windows 计算机上自动部署 Azure Monitor 代理扩展,以从来宾操作系统收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 2.4.0 |
将 Windows 计算机配置为与数据收集规则或数据收集终结点关联 | 部署关联以将 Windows 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 | DeployIfNotExists、Disabled | 4.5.1 |
应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档介绍了终结点保护评估 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists、Disabled | 1.0.0 |
应在计算机上安装 Endpoint Protection | 若要保护计算机免受威胁和漏洞的侵害,请安装受支持的 Endpoint Protection 解决方案。 | AuditIfNotExists、Disabled | 1.0.0 |
已启用 Arc 的 Linux 计算机应已安装 Azure Monitor 代理 | 应通过部署的 Azure Monitor 代理对已启用 Arc 的 Linux 计算机进行监视和保护。 Azure Monitor 代理从来宾 OS 收集遥测数据。 此策略将审核支持区域中已启用 Arc 的计算机。 了解详细信息:https://aka.ms/AMAOverview。 | AuditIfNotExists、Disabled | 1.2.0 |
Linux 计算机应符合 Azure 计算安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 | AuditIfNotExists、Disabled | 2.2.0 |
Linux 计算机应仅具有允许的本地帐户 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 使用 Azure Active Directory 管理用户帐户是标识管理的最佳做法。 减少本地计算机帐户有助于防止在中央系统外部管理的标识激增。 如果存在已启用但未在策略参数中列出的本地用户帐户,则计算机不合规。 | AuditIfNotExists、Disabled | 2.2.0 |
应在 Linux 计算机上禁用本地身份验证方法 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 服务器未禁用本地身份验证方法,则计算机不合规。 这可确保 Linux 服务器只能通过 AAD (Azure Active Directory) 帐户或此策略明确允许的用户列表访问,从而改善整体安全状况。 | AuditIfNotExists、Disabled | 1.2.0-preview |
应在 Windows 服务器上禁用本地身份验证方法 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 服务器未禁用本地身份验证方法,则计算机不合规。 这是为了验证 Windows Server 只能通过 AAD (Azure Active Directory) 帐户或此策略明确允许的用户列表访问,从而改善整体安全状况。 | AuditIfNotExists、Disabled | 1.0.0-preview |
计算机应配置为定期检查,以确认缺少的系统更新 | 为确保每 24 小时自动触发对缺失系统更新的定期评估,AssessmentMode 属性应设置为“AutomaticByPlatform”。 了解有关 AssessmentMode 属性的详细信息,对于 Windows 计算机,请参阅 https://aka.ms/computevm-windowspatchassessmentmode;对于 Linux 计算机,请参阅 https://aka.ms/computevm-linuxpatchassessmentmode。 | Audit、Deny、Disabled | 3.7.0 |
使用 Azure 更新管理器计划定期更新 | 可以使用 Azure 中的更新管理器来保存定期部署计划,以在 Azure、本地环境以及使用已启用 Azure Arc 的服务器进行连接的其他云环境中安装适用于 Windows Server 和 Linux 计算机的操作系统更新。 此策略还会将 Azure 虚拟机的修补模式更改为“AutomaticByPlatform”。 查看更多:https://aka.ms/umc-scheduled-patching | DeployIfNotExists、Disabled | 3.12.0 |
计算机上的 SQL Server 应已解决漏洞结果 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
为符合条件的已启用 Arc 的 SQL Server 实例订阅扩展安全更新。 | 为符合条件的已启用 Arc 并将“许可证类型”设置为“付费”或“PAYG”的 SQL Server 实例订阅扩展安全更新。 有关扩展安全更新 https://go.microsoft.com/fwlink/?linkid=2239401 的详细信息。 | DeployIfNotExists、Disabled | 1.0.0 |
应在计算机上安装系统更新(由更新中心提供技术支持) | 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 | AuditIfNotExists、Disabled | 1.0.1 |
不应在已启用 Azure Arc 的 Linux 服务器上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略将始终拒绝在已启用 Azure Arc 的 Linux 服务器上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
不应在已启用 Azure Arc 的 Windows 服务器上安装旧版 Log Analytics 扩展 | 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略将始终拒绝在已启用 Azure Arc 的 Windows 服务器上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA | 拒绝、审核、禁用 | 1.0.0 |
已启用 Arc 的 Windows 计算机应已安装 Azure Monitor 代理 | 应通过部署的 Azure Monitor 代理对已启用 Arc 的 Windows 计算机进行监视和保护。 Azure Monitor 代理从来宾 OS 收集遥测数据。 针对 Azure Monitor 代理部署监视支持区域中已启用 Arc 的 Windows 计算机。 了解详细信息:https://aka.ms/AMAOverview。 | AuditIfNotExists、Disabled | 1.2.0 |
应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
应将 Windows 计算机配置为使用安全通信协议 | 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
Windows 计算机应配置 Windows Defender 以在一天内更新保护签名 | 为了提供足够的保护来防御新发布的恶意软件,需要定期更新 Windows Defender 保护签名来应对新发布的恶意软件。 此策略不适用于连接了 Arc 的服务器,它要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.1 |
Windows 计算机应启用 Windows Defender 实时保护 | Windows 计算机应启用 Windows Defender 中的实时保护,以提供足够的保护来防御新发布的恶意软件。 此策略不适用于连接了 Arc 的服务器,它要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.1 |
Windows 计算机应符合“管理模板 - 控制面板”的要求 | 对于输入个性化和阻止启用锁屏界面,Windows 计算机应在“管理模板 - 控制面板”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“管理模板 - MSS (旧版)”的要求 | 对于自动登录、屏幕保护程序、网络行为、安全 DLL 和事件日志,Windows 计算机应在“管理模板 - MSS (旧版)”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“管理模板 - 网络”的要求 | Windows 计算机应在“管理模板 - 网络”类别中使用指定的组策略设置,用于来宾登录、并发连接、网桥、ICS 和多播名称解析。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“管理模板 - 系统”的要求 | 对于控制管理体验和远程协助的设置,Windows 计算机应在“管理模板 - 系统”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 帐户”的要求 | Windows 计算机应在“安全选项 - 帐户”类别中具有指定的组策略设置,以限制本地帐户使用空白密码和来宾帐户状态。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 审核”的要求 | Windows 计算机应在“安全选项 - 审核”类别中具有指定的组策略设置,以便在无法记录安全审核的情况下,强制实施审核策略子类别并进行关闭。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 设备”的要求 | Windows 计算机应在“安全选项 - 设备”类别中具有指定的组策略设置,以便在不登录的情况下进行移除、安装打印驱动程序以及设置格式/弹出媒体。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 交互式登录”的要求 | Windows 计算机应在“安全选项 - 交互式登录”类别中具有指定的组策略设置,以便显示上一个用户名并要求按 Ctrl-Alt-Del。此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - Microsoft 网络客户端”的要求 | 对于 Microsoft 网络客户端/服务器和 SMB v1,Windows 计算机应在“安全选项 - Microsoft 网络客户端”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求 | Windows 计算机应在“安全选项 - Microsoft 网络服务器”类别中具有指定的组策略设置,以禁用 SMB v1 服务器。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 网络访问”的要求 | Windows 计算机应在“安全选项 - 网络访问”类别中具有指定的组策略设置,以包含匿名用户、本地帐户的访问权限和对注册表的远程访问权限。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 网络安全”的要求 | Windows 计算机应在“安全选项 - 网络安全”类别中使用指定的组策略设置,以包含本地系统行为、PKU2U、LAN Manager、LDAP 客户端和 NTLM SSP。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 恢复控制台”的要求 | Windows 计算机应在“安全选项 - 恢复控制台”类别中具有指定的组策略设置,以便允许对所有驱动器和文件夹进行软盘复制和访问。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 关闭”的要求 | Windows 计算机应在“安全选项 - 关闭”类别中具有指定的组策略设置,以便允许在未登录的情况下关闭并清除虚拟内存页面文件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 系统对象”的要求 | 对于非 Windows 子系统不区分大小写和内部系统对象的权限,Windows 计算机应在“安全选项 - 系统对象”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 系统设置”的要求 | 对于 SRP 和可选子系统的可执行文件的证书规则,Windows 计算机应在“安全选项 - 系统设置”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 对于管理员模式、提升提示行为以及虚拟化文件和注册表写入失败,Windows 计算机应在“安全选项 - 用户帐户控制”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“安全设置 - 帐户策略”的要求 | 对于密码历史记录、使用期限、长度、复杂性以及使用可还原加密存储密码,Windows 计算机应在“安全设置 - 帐户策略”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 帐户登录”的要求 | Windows 计算机应在“系统审核策略 - 帐户登录”类别中具有指定的组策略设置,以便审核凭据验证和其他帐户登录事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 帐户管理”的要求 | Windows 计算机应在“系统审核策略 - 帐户管理”类别中具有指定的组策略设置,以便审核应用程序、安全性和用户组管理以及其他管理事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置,以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 登录与注销”的要求 | Windows 计算机应在“系统审核策略 - 登录与注销”类别中具有指定的组策略设置,以便审核 IPSec、网络策略、声明、帐户锁定、组成员身份和登录/注销事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 对象访问”的要求 | Windows 计算机应在“系统审核策略 - 对象访问”类别中具有指定的组策略设置,以便审核文件、注册表、SAM、存储、筛选、内核和其他系统类型。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 策略更改”的要求 | Windows 计算机应在“系统审核策略 - 策略更改”类别中具有指定的组策略设置,以便审核对系统审核策略所做的更改。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 特权使用”的要求 | Windows 计算机应在“系统审核策略 - 特权使用”类别中具有指定的组策略设置,以便审核非敏感特权和其他权限使用。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“系统审核策略 - 系统”的要求 | Windows 计算机应在“系统审核策略 - 系统”类别中具有指定的组策略设置,以便审核 IPsec 驱动程序、系统完整性、系统扩展、状态更改和其他系统事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“用户权限分配”的要求 | Windows 计算机应在“用户权限分配”类别中具有指定的组策略设置,以允许本地登录、RDP、从网络进行访问以及其他很多用户活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“Windows 组件”的要求 | 对于基本身份验证、未加密的流量、Microsoft 帐户、遥测、Cortana 和其他 Windows 行为,Windows 计算机应在“Windows 组件”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合“Windows 防火墙属性”的要求 | 对于防火墙状态、连接、规则管理和通知,Windows 计算机应在“Windows 防火墙属性”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows 计算机应符合 Azure 计算安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 | AuditIfNotExists、Disabled | 2.0.0 |
Windows 计算机应仅具有允许的本地帐户 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 Windows Server 2012 或 2012 R2 不支持此定义。 使用 Azure Active Directory 管理用户帐户是标识管理的最佳做法。 减少本地计算机帐户有助于防止在中央系统外部管理的标识激增。 如果存在已启用但未在策略参数中列出的本地用户帐户,则计算机不合规。 | AuditIfNotExists、Disabled | 2.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。