你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟机的 Azure Policy 内置定义

适用于:✔️ Linux VM ✔️ Windows VM ✔️ 灵活规模集 ✔️ 统一规模集

此页是 Azure 虚拟机的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义

每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:应在计算机上启用托管标识 由 Automanage 管理的资源应具有托管标识。 Audit、Disabled 1.0.0-preview
[预览]:添加用户分配的托管标识,以在虚拟机上启用来宾配置分配 此策略将用户分配的托管标识添加到 Azure 中托管的虚拟机,这些虚拟机受来宾配置支持。 用户分配的托管标识是所有来宾配置分配的先决条件,并且必须在使用任何来宾配置策略定义之前添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、DeployIfNotExists、Disabled 2.1.0-preview
[预览版]:将内置的用户分配的托管标识分配给虚拟机规模集 创建并分配内置用户分配的托管标识,或大规模向虚拟机规模集分配预创建的用户分配的托管标识。 有关更详细的文档,请访问 aka.ms/managedidentitypolicy。 AuditIfNotExists、DeployIfNotExists、Disabled 1.1.0-preview
[预览]:将内置的用户分配的托管标识分配给虚拟机 创建并分配内置用户分配的托管标识,或大规模向虚拟机分配预创建的用户分配的托管标识。 有关更详细的文档,请访问 aka.ms/managedidentitypolicy。 AuditIfNotExists、DeployIfNotExists、Disabled 1.1.0-preview
[预览版]:Automanage 配置文件分配应为“符合” 由 Automanage 管理的资源的状态应为 Conformant 或 ConformantCorrected。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:应为托管磁盘启用 Azure 备份 通过启用 Azure 备份来确保托管磁盘的保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 AuditIfNotExists、Disabled 1.0.0-preview
[预览版]:应在 Linux 虚拟机规模集上安装 Azure 安全代理 在 Linux 虚拟机规模集上安装 Azure 安全代理,以便监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 AuditIfNotExists、Disabled 2.0.0-preview
[预览版]:应在 Linux 虚拟机上安装 Azure 安全代理 在 Linux 虚拟机上安装 Azure 安全代理,以便监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 AuditIfNotExists、Disabled 2.0.0-preview
[预览版]:应在 Windows 虚拟机规模集上安装 Azure 安全代理 在 Windows 虚拟机规模集上安装 Azure 安全代理,以便监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 AuditIfNotExists、Disabled 2.1.0-preview
[预览版]:应在 Windows 虚拟机上安装 Azure 安全代理 在 Windows 虚拟机上安装 Azure 安全代理,以便监视计算机的安全配置和漏洞。 可以在 Azure 安全中心查看和管理评估结果。 AuditIfNotExists、Disabled 2.1.0-preview
[预览版]:应在虚拟机上启用启动诊断 Azure 虚拟机应已启用启动诊断。 Audit、Disabled 1.0.0-preview
[预览版]:应在 Linux 虚拟机上安装 ChangeTracking 扩展 在 Linux 虚拟机上安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 AuditIfNotExists、Disabled 2.0.0-preview
[预览版]:应在 Linux 虚拟机规模集上安装 ChangeTracking 扩展 在 Linux 虚拟机规模集上安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 AuditIfNotExists、Disabled 2.0.0-preview
[预览版]:应在 Windows 虚拟机上安装 ChangeTracking 扩展 在 Windows 虚拟机上安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 AuditIfNotExists、Disabled 2.0.0-preview
[预览版]:应在 Windows 虚拟机规模集上安装 ChangeTracking 扩展 在 Windows 虚拟机规模集上安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure 监视代理支持的虚拟机和位置。 AuditIfNotExists、Disabled 2.0.0-preview
[预览]:在虚拟机上配置 Azure Defender for SQL 代理 将 Windows 计算机配置为自动安装 Azure Defender for SQL 代理,其中已安装 Azure Monitor 代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建一个资源组和 Log Analytics 工作区。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 1.0.0-preview
[预览]:将具有给定标记的 Azure 磁盘(托管磁盘)配置为备份到同一区域中的现有备份保管库 对包含中央备份保管库的给定标记的所有 Azure 磁盘(托管磁盘)强制执行备份。 有关详细信息,请访问 https://aka.ms/AB-DiskBackupAzPolicies DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0-preview
[预览]:将没有给定标记的 Azure 磁盘(托管磁盘)配置为备份到同一区域中的现有备份保管库 对不包含中央备份保管库的给定标记的所有 Azure 磁盘(托管磁盘)强制执行备份。 有关详细信息,请访问 https://aka.ms/AB-DiskBackupAzPolicies DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0-preview
[预览版]:为 Linux 虚拟机规模集配置 ChangeTracking 扩展 将 Linux 虚拟机规模集配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 DeployIfNotExists、Disabled 2.0.0-preview
[预览版]:为 Linux 虚拟机配置 ChangeTracking 扩展 将 Linux 虚拟机配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 DeployIfNotExists、Disabled 2.0.0-preview
[预览版]:为 Windows 虚拟机规模集配置 ChangeTracking 扩展 将 Windows 虚拟机规模集配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 DeployIfNotExists、Disabled 2.0.0-preview
[预览版]:为 Windows 虚拟机配置 ChangeTracking 扩展 将 Windows 虚拟机配置为自动安装 ChangeTracking 扩展,以在 Azure 安全中心启用文件完整性监视 (FIM)。 FIM 会检查操作系统文件、Windows 注册表、应用程序软件、Linux 系统文件等,以查找可能表明存在攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置。 DeployIfNotExists、Disabled 2.0.0-preview
[预览版]:将 Linux 虚拟机配置为与 ChangeTracking 和库存的数据收集规则相关联 部署关联以将 Linux 虚拟机链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 1.0.0-preview
[预览版]:配置 Linux VM 以使用用户分配的托管标识安装用于更改跟踪和库存的 AMA 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以启用更改跟踪和库存。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 1.5.0-preview
[预览版]:将 Linux VMSS 配置为与 ChangeTracking 和库存的数据收集规则相关联 部署关联以将 Linux 虚拟机规模集链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 1.0.0-preview
[预览版]:配置 Linux VMSS 以使用用户分配的托管标识安装用于更改跟踪和库存的 AMA 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以启用更改跟踪和库存。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 1.4.0-预览版
[预览版]:配置支持的 Linux 虚拟机规模集以自动安装 Azure 安全代理 配置受支持的 Linux 虚拟机规模集以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 2.0.0-preview
[预览版]:配置支持的 Linux 虚拟机规模集以自动安装来宾证明扩展 配置受支持的 Linux 虚拟机规模集以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 DeployIfNotExists、Disabled 6.1.0-preview
[预览版]:配置支持的 Linux 虚拟机以自动启用安全启动 配置受支持的 Linux 虚拟机以自动启用安全启动,从而减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 DeployIfNotExists、Disabled 5.0.0-preview
[预览版]:配置支持的 Linux 虚拟机以自动安装 Azure 安全代理 配置受支持的 Linux 虚拟机以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 7.0.0-preview
[预览版]:配置支持的 Linux 虚拟机以自动安装来宾证明扩展 配置受支持的 Linux 虚拟机以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 DeployIfNotExists、Disabled 7.1.0-preview
[预览版]:配置支持的虚拟机以自动启用 vTPM 配置受支持的虚拟机以自动启用 vTPM,从而帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 DeployIfNotExists、Disabled 2.0.0-preview
[预览]:配置支持的 Windows 计算机以自动安装 Azure 安全代理 配置受支持的 Windows 计算机以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标虚拟机必须位于受支持的位置。 DeployIfNotExists、Disabled 5.1.0-preview
[预览版]:配置支持的 Windows 虚拟机规模集以自动安装 Azure 安全代理 配置受支持的 Windows 虚拟机规模集以自动安装 Azure 安全代理。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 目标 Windows 虚拟机规模集必须位于受支持的位置。 DeployIfNotExists、Disabled 2.1.0-preview
[预览版]:配置支持的 Windows 虚拟机规模集以自动安装来宾证明扩展 配置受支持的 Windows 虚拟机规模集以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 DeployIfNotExists、Disabled 4.1.0-preview
[预览版]:配置支持的 Windows 虚拟机以自动启用安全启动 配置受支持的 Windows 虚拟机以自动启用安全启动,从而减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 DeployIfNotExists、Disabled 3.0.0-preview
[预览版]:配置支持的 Windows 虚拟机以自动安装来宾证明扩展 配置受支持的 Windows 虚拟机以自动安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 DeployIfNotExists、Disabled 5.1.0-preview
[预览版]:配置系统分配的托管标识,以在 VM 上启用 Azure Monitor 分配 将系统分配的托管标识配置到托管在 Azure 中的虚拟机,这些虚拟机受 Azure Monitor 支持,但没有系统分配的托管标识。 系统分配的托管标识是所有 Azure Monitor 分配的先决条件,在使用任何 Azure Monitor 扩展之前必须被添加到计算机。 目标虚拟机必须位于受支持的位置。 修改,已禁用 6.0.0-preview
[预览版]:配置使用共享映像库映像创建的 VM 以安装来宾证明扩展 配置使用共享映像库映像创建的虚拟机以自动安装来宾证明扩展,从而允许 Azure 安全中心主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 DeployIfNotExists、Disabled 2.0.0-preview
[预览版]:配置使用共享映像库映像创建的 VMSS 以安装来宾证明扩展 配置使用共享映像库映像创建的 VMSS 以自动安装来宾证明扩展,从而允许 Azure 安全中心主动证明并监视启动完整性。 启动完整性是通过远程证明来证明的。 DeployIfNotExists、Disabled 2.1.0-preview
[预览]:配置 Windows Server 以禁用本地用户。 创建来宾配置分配,以在 Windows Server 上配置禁用本地用户。 这可确保 Windows Server 只能通过 AAD (Azure Active Directory) 帐户或此策略明确允许的用户列表访问,从而改善整体安全状况。 DeployIfNotExists、Disabled 1.2.0-preview
[预览版]:将 Windows 虚拟机配置为与 ChangeTracking 和库存的数据收集规则相关联 部署关联以将 Windows 虚拟机链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 1.0.0-preview
[预览版]:配置 Windows VM 以使用用户分配的托管标识安装用于更改跟踪和库存的 AMA 在 Windows 虚拟机上自动部署 Azure Monitor 代理扩展,以启用更改跟踪和库存。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 1.1.0-preview
[预览版]:将 Windows VMSS 配置为与 ChangeTracking 和库存的数据收集规则相关联 部署关联以将 Windows 虚拟机规模集链接到指定的数据收集规则,从而启用更改跟踪和库存。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 1.0.0-preview
[预览版]:配置 Windows VMSS 以使用用户分配的托管标识安装用于更改跟踪和库存的 AMA 在 Windows 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以启用更改跟踪和库存。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 1.1.0-preview
[预览版]:在 Linux 虚拟机上部署 Microsoft Defender for Endpoint 代理 在适用的 Linux VM 映像上部署 Microsoft Defender for Endpoint 代理。 DeployIfNotExists、AuditIfNotExists、Disabled 3.0.0-preview
[预览版]:在 Windows 虚拟机上部署 Microsoft Defender for Endpoint 代理 在适用的 Windows VM 映像上部署 Microsoft Defender for Endpoint。 DeployIfNotExists、AuditIfNotExists、Disabled 2.0.1-preview
[预览]: 为 SQL 虚拟机启用系统分配的标识 大规模对 SQL 虚拟机启用系统分配的标识。 需要在订阅级别分配此策略。 在资源组级别分配将无法按预期工作。 DeployIfNotExists、Disabled 1.0.0-preview
[预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 在受支持的 Linux 虚拟机上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机。 AuditIfNotExists、Disabled 6.0.0-preview
[预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机规模集。 AuditIfNotExists、Disabled 5.1.0-preview
[预览版]:应在支持的 Windows 虚拟机上安装来宾证明扩展 在受支持的虚拟机上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Windows 虚拟机。 AuditIfNotExists、Disabled 4.0.0-preview
[预览版]:应在支持的 Windows 虚拟机规模集上安装来宾证明扩展 在受支持的虚拟机规模集上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Windows 虚拟机规模集。 AuditIfNotExists、Disabled 3.1.0-preview
[预览版]:Linux 计算机应满足 Docker 主机的 Azure 安全基线要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 计算机未根据 Docker 主机的 Azure 安全基线中的某条建议进行正确配置。 AuditIfNotExists、Disabled 1.2.0-preview
:Linux 计算机应满足 Azure 计算的 STIG 合规性要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算的 STIG 合规性要求中的某条建议进行正确配置,则计算机不合规。 根据美国国防部 (DoD) 之要求,国防信息系统局 (DISA) 提供安全技术实施指南 (STIG) 以保护计算操作系统。 有关详细信息,请参阅 https://public.cyber.mil/stigs/ AuditIfNotExists、Disabled 1.2.0-preview
:安装了 OMI 的 Linux 计算机应具有版本 1.6.8-1 或更高版本 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 由于 Linux OMI 包版本 1.6.8-1 中包含的安全修补程序,所有计算机都应更新到最新版本。 升级使用 OMI 解决问题的应用/包。 有关详细信息,请参阅 https://aka.ms/omiguidance AuditIfNotExists、Disabled 1.2.0-preview
[预览]:Linux 虚拟机应仅使用已签名且受信任的启动组件 所有 OS 启动组件(启动加载程序、内核、内核驱动程序)都必须由受信任的发布者签名。 Defender for Cloud 已识别一个或多个 Linux 虚拟机上不受信任的 OS 启动组件。 若要保护计算机免受潜在恶意组件的攻击,请将它们添加到你的允许列表,或删除已识别的组件。 AuditIfNotExists、Disabled 1.0.0-preview
[预览版]:Linux 虚拟机应使用安全启动 若要防止安装基于恶意软件的 Rootkit 和引导工具包,请在受支持的 Linux 虚拟机上启用安全引导。 安全引导可确保仅允许运行已签名的操作系统和驱动程序。 这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。 AuditIfNotExists、Disabled 1.0.0-preview
[预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 如果虚拟机映像不在定义的列表中,并且未安装扩展,则会将虚拟机报告为不合规。 AuditIfNotExists、Disabled 2.0.1-preview
[预览]:计算机应关闭可能暴露攻击途径的端口 Azure 使用条款禁止以可能损坏、禁用、超载或损害任何 Microsoft 服务器或网络的方式使用 Azure 服务。 为了持续安全,需要关闭此建议确定的暴露端口。 对于每个确定的端口,该建议还提供了对潜在威胁的解释。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]:托管磁盘应具有区域复原能力 托管磁盘可配置为区域对齐、区域冗余或两者均不。 只有一个区域分配的托管磁盘是区域对齐的。 SKU 名称以 ZRS 结尾的托管磁盘是区域冗余的。 此策略有助于为托管磁盘标识和强制执行这些复原配置。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
[预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
[预览版]:应在支持的 Windows 虚拟机上启用安全启动 在受支持的 Windows 虚拟机上启用安全启动,以减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 此评估适用于受信任启动和机密 Windows 虚拟机。 Audit、Disabled 4.0.0-preview
[预览]:设置在 Azure 虚拟机上计划定期更新的先决条件。 此策略通过将补丁业务流程配置为“客户管理的计划”来设置在 Azure 更新管理器上计划定期更新所需的先决条件。 此更改会自动将补丁模式设置为“AutomaticByPlatform”,并在 Azure VM 上将“BypassPlatformSafetyChecksOnUserSchedule”设置为“True”。 先决条件不适用于已启用 Arc 的服务器。 了解详细信息 - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites DeployIfNotExists、Disabled 1.1.0-preview
[预览]: 虚拟机规模集应为区域复原 虚拟机规模集可以配置为区域对齐、区域冗余或两者都不是。 在其区域数组中恰好有一个条目的虚拟机规模集将被视为区域对齐。 与之对比的是,如果虚拟机规模集在其区域数组中有 3 个或更多条目,且至少有 3 个容量,则它们将被识别为“区域冗余”。 此策略有助于识别和强制执行这些恢复配置。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:虚拟机来宾证明状态应为正常 通过向证明服务器发送受信任的日志 (TCGLog) 来执行来宾证明。 服务器使用这些日志来确定引导组件是否可信。 这项评估旨在检测引导链的泄漏,这可能是引导工具包或 Rootkit 感染所导致的。 这项评估仅适用于安装了来宾证明扩展且支持受信任启动的虚拟机。 AuditIfNotExists、Disabled 1.0.0-preview
[预览]: 虚拟机应为区域对齐 虚拟机可以配置为区域对齐或不对齐。 如果它们在自己的区域数组中只有一个条目,则它们将被视为区域对齐。 此策略可确保它们配置为在单个可用性区域内运行。 Audit、Deny、Disabled 1.0.0-preview
[预览版]:应在支持的虚拟机上启用 vTPM 在受支持的虚拟机上启用虚拟 TPM 设备,以帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 此评估仅适用于已启用受信任启动的虚拟机。 Audit、Disabled 2.0.0-preview
[预览]:Windows 计算机应满足 Azure 计算的 STIG 合规性要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算的 STIG 合规性要求中的某条建议进行正确配置,则计算机不合规。 根据美国国防部 (DoD) 之要求,国防信息系统局 (DISA) 提供安全技术实施指南 (STIG) 以保护计算操作系统。 有关详细信息,请参阅 https://public.cyber.mil/stigs/ AuditIfNotExists、Disabled 1.0.0-preview
应在虚拟机上启用漏洞评估解决方案 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 AuditIfNotExists、Disabled 3.0.0
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.1.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.1.0
应限制在与虚拟机关联的网络安全组上使用所有网络端口 Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 AuditIfNotExists、Disabled 3.0.0
允许的虚拟机大小 SKU 此策略可便于指定组织可部署的一组虚拟机大小 SKU。 拒绝 1.0.1
审核允许在没有密码的情况下从帐户进行远程连接的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 AuditIfNotExists、Disabled 3.1.0
审核未将密码文件权限设为 0644 的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 AuditIfNotExists、Disabled 3.1.0
审核未安装指定应用程序的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Chef InSpec 资源指示未安装参数提供的一个或多个包,则计算机不合规。 AuditIfNotExists、Disabled 4.2.0
审核具有不使用密码的帐户的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 AuditIfNotExists、Disabled 3.1.0
审核安装了指定应用程序的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Chef InSpec 资源指示安装了参数提供的一个或多个包,则计算机不合规。 AuditIfNotExists、Disabled 4.2.0
审核 Linux 的 SSH 安全状况(由 OSConfig 提供支持) 此策略审核 Linux 计算机上的 SSH 服务器安全配置(Azure VM 和已启用 Arc 的计算机)。 有关详细信息,包括先决条件、范围设置、默认值和自定义设置,请参阅 https://aka.ms/SshPostureControlOverview AuditIfNotExists、Disabled 1.0.1
审核未配置灾难恢复的虚拟机 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc auditIfNotExists 1.0.0
审核未使用托管磁盘的 VM 此策略审核未使用托管磁盘的 VM 审核 1.0.0
审核缺少管理员组中任何指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组不包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 2.0.0
审核 Windows 计算机网络连接 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 IP 和 TCP 端口的网络连接状态与策略参数不匹配,则计算机不合规。 auditIfNotExists 2.0.0
审核 DSC 配置不合规的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 返回计算机的 DSC 配置不合规,则计算机不合规。 auditIfNotExists 3.0.0
审核其 Log Analytics 代理未按预期连接的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果未安装代理,或者安装了代理,但 COM 对象 AgentConfigManager.MgmtSvcCfg 返回它已注册到策略参数中指定的 ID 以外的工作区,则计算机不合规。 auditIfNotExists 2.0.0
审核未安装指定的服务且“正在运行”的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-Service 的结果不包括具有策略参数指定的匹配状态的服务名称,则计算机不合规。 auditIfNotExists 3.0.0
审核未启用 Windows 串行控制台的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未安装串行控制台软件,或没有为 EMS 端口号或波特率配置与策略参数相同的值,则计算机不合规。 auditIfNotExists 3.0.0
审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许在指定数量的唯一密码后重新使用密码,则这些计算机是不合规的。 唯一密码的默认值为 24 AuditIfNotExists、Disabled 2.1.0
审核未加入指定域的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 WMI 类 win32_computersystem 中 Domain 属性的值与策略参数中的值不匹配,则计算机不合规。 auditIfNotExists 2.0.0
审核未设置为指定时区的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 WMI 类 Win32_TimeZone 中 StandardName 属性的值与策略参数的选定时区不匹配,则计算机不合规。 auditIfNotExists 3.0.0
审核包含将在指定天数内过期的证书的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果指定存储中的证书的到期日期超出了参数给定的天数范围,则计算机不合规。 该策略还提供仅检查特定证书或排除特定证书的选项,以及是否报告过期证书的选项。 auditIfNotExists 2.0.0
审核在受信任的根中不包含指定证书的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机受信任的根证书存储 (Cert:\LocalMachine\Root) 不包含策略参数列出的一个或多个证书,则计算机不合规。 auditIfNotExists 3.0.0
审核未将最长密码期限设置为指定天数的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设置为指定天数,则这些计算机是不合规的。 最长密码期限的默认值为 70 天 AuditIfNotExists、Disabled 2.1.0
审核未将最短密码期限设置为指定天数的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码期限设置为指定天数,则这些计算机是不合规的。 最短密码期限的默认值为 1 天 AuditIfNotExists、Disabled 2.1.0
审核未启用密码复杂性设置的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未启用密码复杂性设置,则计算机不合规 AuditIfNotExists、Disabled 2.0.0
审核没有指定的 Windows PowerShell 执行策略的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-ExecutionPolicy 返回的值不是策略参数中所选的值,则计算机不符合要求。 AuditIfNotExists、Disabled 3.0.0
审核没有安装指定 Windows PowerShell 模块的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果模块在环境变量 PSModulePath 指定的位置中不可用,则计算机不符合要求。 AuditIfNotExists、Disabled 3.0.0
审核未将最短密码长度限制为特定字符数的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机没有将最短密码长度限制为特定字符数,则这些计算机是不合规的。 最短密码长度的默认值为 14 个字符 AuditIfNotExists、Disabled 2.1.0
审核未存储使用可逆加密的密码的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 AuditIfNotExists、Disabled 2.0.0
审核未安装指定应用程序的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果在以下任何注册表路径中都找不到相关应用程序名称,则计算机不合规:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 auditIfNotExists 2.0.0
审核管理员组中具有额外帐户的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中未列出的成员,则计算机不合规。 auditIfNotExists 2.0.0
审核未在指定天数内重启的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果类 Win32_Operatingsystem 中的 WMI 属性 LastBootUpTime 不在策略参数提供的天数范围内,则计算机不合规。 auditIfNotExists 2.0.0
审核安装了指定应用程序的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果在以下任何注册表路径中找到了相关应用程序名称,则计算机不合规:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 auditIfNotExists 2.0.0
审核具有管理员组中指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 2.0.0
审核正在等待重新启动的 Windows VM 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机由于以下任一原因正在等待重启,则计算机不合规:基于组件的服务、Windows 更新、挂起的文件重命名、挂起的计算机重命名、配置管理器等待重启。 每次检测都有唯一的注册表路径。 auditIfNotExists 2.0.0
对 Linux 虚拟机进行身份验证需要 SSH 密钥 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 了解详细信息:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed AuditIfNotExists、Disabled 3.2.0
应为虚拟机启用 Azure 备份 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 AuditIfNotExists、Disabled 3.0.0
应安全配置云服务(外延支持)角色实例 确保云服务(外延支持)角色实例未暴露于任何 OS 漏洞下,以防止这些实例受到攻击。 AuditIfNotExists、Disabled 1.0.0
云服务(外延支持)角色实例应安装终结点保护解决方案 确保已在云服务(外延支持)角色实例上安装终结点保护解决方案,以防止这些实例受到威胁和漏洞侵害。 AuditIfNotExists、Disabled 1.0.0
云服务(外延支持)角色实例应安装系统更新 确保已在云服务(外延支持)角色实例上安装最新的安全更新和关键更新,从而对这些实例进行保护。 AuditIfNotExists、Disabled 1.0.0
将 Azure Defender for Servers 配置为对所有资源禁用(资源级别) Azure Defender for Servers 可为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为选定范围(订阅或资源组)中的所有资源(VM、VMSS 和 ARC 计算机)禁用 Defender for Servers 计划。 DeployIfNotExists、Disabled 1.0.0
将 Azure Defender for Servers 配置为对具有所选标记的资源(资源级别)禁用 Azure Defender for Servers 可为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为具有选定标记名称和标记值的所有资源(VM、VMSS 和 ARC 计算机)禁用 Defender for Servers 计划。 DeployIfNotExists、Disabled 1.0.0
将 Azure Defender for Servers 配置为对具有所选标记的所有资源(资源级别)启用(“P1”子计划) Azure Defender for Servers 可为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为具有选定标记名称和标记值的所有资源(VM 和 ARC 计算机)启用 Defender for Servers 计划(和“P1”子计划配合使用)。 DeployIfNotExists、Disabled 1.0.0
将 Azure Defender for Servers 配置为对所有资源(资源级别)启用(和“P1”子计划配合使用) Azure Defender for Servers 可为服务器工作负荷提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 此策略将为选定范围(订阅或资源组)中的所有资源(VM 和 ARC 计算机)启用 Defender for Servers 计划(和“P1”子计划配合使用)。 DeployIfNotExists、Disabled 1.0.0
配置带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupIncludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.4.0
配置带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择包括包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupIncludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.4.0
配置不带给定标记的虚拟机上的备份并备份到包含默认策略的新恢复服务保管库 通过在与虚拟机相同的位置和资源组中部署恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的不同应用程序团队拥有单独的资源组并且需要管理自己的备份和还原时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMAppCentricBackupExcludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.4.0
配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 通过将虚拟机备份到与虚拟机相同的位置和订阅中的现有中央恢复服务保管库,为所有虚拟机强制实施备份。 当组织中的中央团队管理订阅中所有资源的备份时,这样做非常有用。 可以选择排除包含指定标记的虚拟机,以控制分配范围。 请参阅 https://aka.ms/AzureVMCentralBackupExcludeTag auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 9.4.0
通过 Azure Site Recovery 启用复制,以在虚拟机上配置灾难恢复 未配置灾难恢复的虚拟机容易受到中断和其他干扰的影响。 如果虚拟机尚未配置灾难恢复,则请使用预设配置启用复制来启动这一功能,以帮助实现业务连续性。 可以选择包含/排除包含指定标记的虚拟机以控制分配范围。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc DeployIfNotExists、Disabled 2.1.0
使用专用终结点配置磁盘访问资源 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到磁盘访问资源,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc DeployIfNotExists、Disabled 1.0.0
将 Linux 计算机配置为与数据收集规则或数据收集终结点关联 部署关联以将 Linux 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 6.5.1
将 Linux Server 配置为禁用本地用户。 创建来宾配置分配以配置在 Linux 服务器上禁用本地用户。 这可确保 Linux 服务器只能通过 AAD (Azure Active Directory) 帐户或此策略明确允许的用户列表访问,从而改善整体安全状况。 DeployIfNotExists、Disabled 1.3.0-preview
将 Linux 虚拟机规模集配置为与数据收集规则或数据收集终结点关联 部署关联以将 Linux 虚拟机规模集链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 4.4.1
配置 Linux 虚拟机规模集,以使用系统分配的、基于托管标识的身份验证运行 Azure Monitor 代理 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 3.6.0
配置 Linux 虚拟机规模集,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 在 Linux 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 3.8.0
将 Linux 虚拟机配置为与数据收集规则或数据收集终结点关联 部署关联以将 Linux 虚拟机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 4.4.1
配置 Linux 虚拟机,以使用系统分配的、基于托管标识的身份验证运行 Azure Monitor 代理 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 3.6.0
配置 Linux 虚拟机,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 在 Linux 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 3.8.0
配置计算机以接收漏洞评估提供程序 Azure Defender 包含适用于计算机的漏洞扫描,不额外收费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 启用此策略后,Azure Defender 会自动将 Qualys 漏洞评估提供程序部署到尚未安装该代理的所有受支持的计算机。 DeployIfNotExists、Disabled 4.0.0
将托管磁盘配置为禁用公用网络访问 禁用对托管磁盘资源的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc 修改,已禁用 2.0.0
配置定期检查,以确认 Azure 虚拟机上缺少的系统更新 为原生 Azure 虚拟机上的操作系统更新配置自动评估(每 24 小时)。 你可以根据计算机订阅、资源组、位置或标记来控制分配范围。 对于 Windows 计算机,请参阅 https://aka.ms/computevm-windowspatchassessmentmode了解详细信息;对于 Linux 计算机,请参阅 https://aka.ms/computevm-linuxpatchassessmentmode modify 4.8.0
在 Windows 计算机上配置安全通信协议(TLS 1.1 或 TLS 1.2) 创建来宾配置分配以在 Windows 计算机上配置指定的安全协议版本(TLS 1.1 或 TLS 1.2)。 DeployIfNotExists、Disabled 1.0.1
配置 SQL 虚拟机以自动安装 Azure Monitor 代理 在 Windows SQL 虚拟机上自动部署 Azure Monitor 代理扩展。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 1.5.0
配置 SQL 虚拟机以自动安装 Microsoft Defender for SQL 配置 Windows SQL 虚拟机以自动安装 Microsoft Defender for SQL 扩展。 Microsoft Defender for SQL 从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 DeployIfNotExists、Disabled 1.5.0
为 Linux 配置 SSH 安全状况(由 OSConfig 提供支持) 此策略审核和配置 Linux 计算机上的 SSH 服务器安全配置(Azure VM 和已启用 Arc 的计算机)。 有关详细信息,包括先决条件、范围设置、默认值和自定义设置,请参阅 https://aka.ms/SshPostureControlOverview DeployIfNotExists、Disabled 1.0.1
在 Windows 计算机上配置时区。 此策略创建一个 Guest Configuration 分配用于在 Windows 虚拟机上设置指定的时区。 deployIfNotExists 2.1.0
将虚拟机配置为加入 Azure Automanage Azure Automanage 按照 Azure Microsoft 云采用框架中定义的最佳做法来注册、配置和监视虚拟机。 使用此策略将自动管理应用到所选范围。 AuditIfNotExists、DeployIfNotExists、Disabled 2.4.0
使用自定义配置文件将虚拟机配置为加入 Azure Automanage Azure Automanage 按照 Azure Microsoft 云采用框架中定义的最佳做法来注册、配置和监视虚拟机。 使用此策略可将 Automanage 与你自己的自定义配置文件一起应用到所选范围。 AuditIfNotExists、DeployIfNotExists、Disabled 1.4.0
将 Windows 计算机配置为与数据收集规则或数据收集终结点关联 部署关联以将 Windows 虚拟机、虚拟机规模集和 Arc 计算机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 4.5.1
将 Windows 虚拟机规模集配置为与数据收集规则或数据收集终结点关联 部署关联以将 Windows 虚拟机规模集链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 3.3.1
配置 Windows 虚拟机规模集,以使用系统分配的托管标识运行 Azure Monitor 代理 在 Windows 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 3.4.0
配置 Windows 虚拟机规模集,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 在 Windows 虚拟机规模集上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 1.6.0
将 Windows 虚拟机配置为与数据收集规则或数据收集终结点关联 部署关联以将 Windows 虚拟机链接到指定的数据收集规则或指定的数据收集终结点。 位置和 OS 映像列表会随着支持的扩大而不断更新。 DeployIfNotExists、Disabled 3.3.1
配置 Windows 虚拟机,以使用系统分配的托管标识运行 Azure Monitor 代理 在 Windows 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果支持 OS 和区域并且启用了系统分配的托管标识,则此策略将安装扩展,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 4.4.0
配置 Windows 虚拟机,以使用用户分配的、基于托管标识的身份验证运行 Azure Monitor 代理 在 Windows 虚拟机上自动部署 Azure Monitor 代理扩展,以从来宾 OS 收集遥测数据。 如果操作系统和区域受支持,此策略将安装扩展并将其配置为使用指定的用户分配的托管标识,否则将跳过安装。 了解详细信息:https://aka.ms/AMAOverview DeployIfNotExists、Disabled 1.6.0
创建和分配内置用户分配的托管标识 创建内置用户分配的托管标识,并将其大规模分配给 SQL 虚拟机。 AuditIfNotExists、DeployIfNotExists、Disabled 1.7.0
应为列出的虚拟机映像启用 Dependency Agent 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 AuditIfNotExists、Disabled 2.0.0
应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机规模集报告为不合规。 OS 映像列表会随着支持的更新而不断更新。 AuditIfNotExists、Disabled 2.0.0
部署 - 将 Dependency Agent 配置为在 Windows 虚拟机规模集上启用 如果虚拟机映像在定义的列表中,并且未安装 Dependency Agent,则为 Windows 虚拟机规模集部署该代理。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 DeployIfNotExists、Disabled 3.2.0
部署 - 将 Dependency Agent 配置为在 Windows 虚拟机上启用 如果虚拟机映像在定义的列表中,并且未安装 Dependency Agent,则为 Windows 虚拟机部署该代理。 DeployIfNotExists、Disabled 3.2.0
部署 - 配置 Log Analytics 扩展,以在 Windows 虚拟机规模集上启用 如果虚拟机映像位于定义的列表中且未安装扩展,则为 Windows 虚拟机规模集部署 Log Analytics 扩展。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 DeployIfNotExists、Disabled 3.1.0
部署 - 将 Log Analytics 扩展配置为在 Windows 虚拟机上启用 如果虚拟机映像位于定义的列表中且未安装扩展,则为 Windows 虚拟机部署 Log Analytics 扩展。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理”。 DeployIfNotExists、Disabled 3.1.0
为 Windows Server 部署默认 Microsoft IaaSAntimalware 扩展 如果 VM 未配置反恶意软件扩展,则此策略部署使用默认配置的 Microsoft IaaSAntimalware 扩展。 deployIfNotExists 1.1.0
为 Linux 虚拟机规模集部署 Dependency Agent 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 deployIfNotExists 5.1.0
使用 Azure Monitoring Agent 设置为 Linux 虚拟机规模集部署 Dependency Agent 如果 VM 映像 (OS) 在定义的列表中且未安装代理,请使用 Azure Monitoring Agent 设置为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 DeployIfNotExists、Disabled 3.2.0
为 Linux 虚拟机部署 Dependency Agent 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,则为 Linux 虚拟机部署 Dependency Agent。 deployIfNotExists 5.1.0
使用 Azure Monitoring Agent 设置为 Linux 虚拟机部署 Dependency Agent 如果 VM 映像 (OS) 在定义的列表中且未安装代理,请使用 Azure Monitoring Agent 设置为 Linux 虚拟机部署 Dependency Agent。 DeployIfNotExists、Disabled 3.2.0
使用 Azure Monitoring Agent 设置部署要在 Windows 虚拟机规模集中启用的 Dependency Agent 如果虚拟机映像在定义的列表中且未安装代理,则使用 Azure Monitoring Agent 设置为 Windows 虚拟机规模集部署 Dependency Agent。 如果规模集 upgradePolicy 设置为 Manual,你需要通过更新该规模集中的所有虚拟机将扩展应用到这些虚拟机。 DeployIfNotExists、Disabled 1.3.0
使用 Azure Monitoring Agent 设置部署要在 Windows 虚拟机中启用的 Dependency Agen 如果虚拟机映像在定义的列表中且未安装代理,则使用 Azure Monitoring Agent 设置为 Windows 虚拟机部署 Dependency Agent。 DeployIfNotExists、Disabled 1.3.0
为 Linux 虚拟机规模集部署 Log Analytics 扩展。 请参阅下面的弃用通知 如果 VM 映像 (OS) 位于定义的列表中且未安装扩展,则为 Linux 虚拟机规模集部署 Log Analytics 扩展。 注意:如果规模集 upgradePolicy 设置为“Manual”,则需要通过对规模集调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 弃用通知:Log Analytics 代理在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” deployIfNotExists 3.0.0
为 Linux VM 部署 Log Analytics 扩展 请参阅下面的弃用通知 如果 VM 映像 (OS) 位于定义的列表中且未安装扩展,则为 Linux VM 部署 Log Analytics 扩展。 弃用通知:Log Analytics 代理已弃用,并且在 2024 年 8 月 31 日之后将不受支持。 必须在该日期之前迁移到替换的“Azure Monitor 代理” deployIfNotExists 3.0.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 3.1.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.2.0
磁盘访问资源应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc AuditIfNotExists、Disabled 1.0.0
磁盘和 OS 映像应支持 TrustedLaunch TrustedLaunch 提高了需要 OS 磁盘和 OS 映像来支持它的虚拟机的安全性(第 2 代)。 要详细了解 TrustedLaunch,请访问 https://aka.ms/trustedlaunch Audit、Disabled 1.0.0
应在计算机上解决 Endpoint Protection 运行状况问题 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档介绍了终结点保护评估 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection AuditIfNotExists、Disabled 1.0.0
应在计算机上安装 Endpoint Protection 若要保护计算机免受威胁和漏洞的侵害,请安装受支持的 Endpoint Protection 解决方案。 AuditIfNotExists、Disabled 1.0.0
应在虚拟机规模集上安装终结点保护解决方案 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 AuditIfNotExists、Disabled 3.0.0
应在计算机上安装来宾配置扩展 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.3
应为 Windows Server Azure Edition VM 启用热补丁 使用热补丁最大限度地减少重新启动并快速安装更新。 有关详细信息,请访问 https://docs.microsoft.com/azure/automanage/automanage-hotpatch Audit、Deny、Disabled 1.0.0
面向 Internet 的虚拟机应使用网络安全组进行保护 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应禁用虚拟机上的 IP 转发 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 AuditIfNotExists、Disabled 3.0.0
Linux 计算机应符合 Azure 计算安全基线的要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 AuditIfNotExists、Disabled 2.2.0
Linux 计算机应仅具有允许的本地帐户 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 使用 Azure Active Directory 管理用户帐户是标识管理的最佳做法。 减少本地计算机帐户有助于防止在中央系统外部管理的标识激增。 如果存在已启用但未在策略参数中列出的本地用户帐户,则计算机不合规。 AuditIfNotExists、Disabled 2.2.0
Linux 虚拟机规模集应已安装 Azure Monitor 代理 应通过部署的 Azure Monitor 代理监视并保护 Linux 虚拟机规模集。 Azure Monitor 代理从来宾 OS 收集遥测数据。 此策略将审核在支持区域中具有支持 OS 映像的虚拟机规模集。 了解详细信息:https://aka.ms/AMAOverview AuditIfNotExists、Disabled 3.3.0
Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost。 尽管虚拟机的 OS 和数据磁盘默认使用平台管理的密钥进行静态加密,但资源磁盘(临时磁盘)、数据缓存以及计算资源和存储资源之间流动的数据不加密。 请使用 Azure 磁盘加密或 EncryptionAtHost 进行修正。 访问 https://aka.ms/diskencryptioncomparison 以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.2.1
Linux 虚拟机应安装 Azure Monitor 代理 应通过部署的 Azure Monitor 代理监视并保护 Linux 虚拟机。 Azure Monitor 代理从来宾 OS 收集遥测数据。 此策略将审核在支持区域中具有支持操作系统映像的虚拟机。 了解详细信息:https://aka.ms/AMAOverview AuditIfNotExists、Disabled 3.3.0
应在 Linux 计算机上禁用本地身份验证方法 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 服务器未禁用本地身份验证方法,则计算机不合规。 这可确保 Linux 服务器只能通过 AAD (Azure Active Directory) 帐户或此策略明确允许的用户列表访问,从而改善整体安全状况。 AuditIfNotExists、Disabled 1.2.0-preview
应在 Windows 服务器上禁用本地身份验证方法 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 服务器未禁用本地身份验证方法,则计算机不合规。 这是为了验证 Windows Server 只能通过 AAD (Azure Active Directory) 帐户或此策略明确允许的用户列表访问,从而改善整体安全状况。 AuditIfNotExists、Disabled 1.0.0-preview
应在云服务(外延支持)角色实例上安装 Log Analytics 代理 安全中心会从云服务(外延支持)角色实例中收集数据,以监视是否存在安全漏洞和威胁。 AuditIfNotExists、Disabled 2.0.0
应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 如果虚拟机映像不在定义的列表中且未安装扩展,则将虚拟机规模集报告为不合规。 AuditIfNotExists、Disabled 2.0.1
计算机应配置为定期检查,以确认缺少的系统更新 为确保每 24 小时自动触发对缺失系统更新的定期评估,AssessmentMode 属性应设置为“AutomaticByPlatform”。 了解有关 AssessmentMode 属性的详细信息,对于 Windows 计算机,请参阅 https://aka.ms/computevm-windowspatchassessmentmode;对于 Linux 计算机,请参阅 https://aka.ms/computevm-linuxpatchassessmentmode Audit、Deny、Disabled 3.7.0
计算机应已解决机密结果 审核虚拟机以检测它们是否包含虚拟机上机密扫描解决方案的机密发现结果。 AuditIfNotExists、Disabled 1.0.2
应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险,可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 更多信息请访问 https://aka.ms/disks-doubleEncryption Audit、Deny、Disabled 1.0.0
托管磁盘应禁用公用网络访问 禁用公用网络访问可确保托管磁盘不会在公共 Internet 上公开,从而提高了安全性。 创建专用终结点可以限制托管磁盘的公开。 有关详细信息,请访问:https://aka.ms/disksprivatelinksdoc Audit、Disabled 2.0.0
托管磁盘应使用一组特定的磁盘加密集来进行客户管理的密钥加密 要求对托管磁盘使用一组特定的磁盘加密集可以控制用于静态加密的密钥。 可以选择允许的加密集,所有其他加密集在附加到磁盘时将被拒绝。 更多信息请访问 https://aka.ms/disks-cmk Audit、Deny、Disabled 2.0.0
应通过即时网络访问控制来保护虚拟机的管理端口 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 AuditIfNotExists、Disabled 3.0.0
应关闭虚拟机上的管理端口 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 AuditIfNotExists、Disabled 3.0.0
Microsoft Antimalware for Azure 应配置为自动更新保护签名 此策略会审核所有未配置自动更新 Microsoft Antimalware 保护签名的 Windows 虚拟机。 AuditIfNotExists、Disabled 1.0.0
应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 此策略会审核所有未部署 Microsoft IaaSAntimalware 扩展的 Windows Server VM。 AuditIfNotExists、Disabled 1.1.0
监视 Azure 安全中心 Endpoint Protection 的缺失情况 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 AuditIfNotExists、Disabled 3.0.0
应使用网络安全组来保护非面向 Internet 的虚拟机 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应当仅安装已批准的 VM 扩展 此策略约束未获批准的虚拟机扩展。 Audit、Deny、Disabled 1.0.0
应使用客户管理的密钥来加密 OS 和数据磁盘 使用客户管理的密钥来管理托管磁盘内容的静态加密。 默认情况下,使用平台管理的密钥对数据进行静态加密,但为了满足合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/disks-cmk Audit、Deny、Disabled 3.0.0
应启用来宾配置分配的专用终结点 专用终结点连接通过启用虚拟机来宾配置的专用连接来加强安全通信。 虚拟机将不符合条件,除非它们具有标记“EnablePrivateNetworkGC”。 此标记将通过虚拟机来宾配置的专用连接强制执行安全通信。 专用连接限制访问仅来自已知网络的流量,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 Audit、Deny、Disabled 1.1.0
在导出或上传到磁盘或快照时,通过身份验证要求来保护数据。 使用导出/上传 URL 时,系统会检查用户是否在 Azure Active Directory 中具有标识,并且是否具有导出/上传数据的必要权限。 请参阅 aka.ms/DisksAzureADAuth。 修改,已禁用 1.0.0
要求自动在虚拟机规模集上执行 OS 映像修补 该策略可强制启用虚拟机规模集上的自动 OS 映像修补程序,以便通过应用每月的最新安全修补程序始终确保虚拟机安全。 deny 1.0.0
使用 Azure 更新管理器计划定期更新 可以使用 Azure 中的更新管理器来保存定期部署计划,以在 Azure、本地环境以及使用已启用 Azure Arc 的服务器进行连接的其他云环境中安装适用于 Windows Server 和 Linux 计算机的操作系统更新。 此策略还会将 Azure 虚拟机的修补模式更改为“AutomaticByPlatform”。 查看更多:https://aka.ms/umc-scheduled-patching DeployIfNotExists、Disabled 3.12.0
计算机上的 SQL Server 应已解决漏洞结果 SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 AuditIfNotExists、Disabled 1.0.0
应在计算机上安装系统更新(由更新中心提供技术支持) 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 AuditIfNotExists、Disabled 1.0.1
不应在 Linux 虚拟机规模集上安装旧版 Log Analytics 扩展 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Linux 虚拟机规模集上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA 拒绝、审核、禁用 1.0.0
不应在 Linux 虚拟机上安装旧版 Log Analytics 扩展 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Linux 虚拟机上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA 拒绝、审核、禁用 1.0.0
不应在虚拟机规模集上安装旧版 Log Analytics 扩展 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Windows 虚拟机规模集上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA 拒绝、审核、禁用 1.0.0
不应在虚拟机上安装旧版 Log Analytics 扩展 作为从旧版代理迁移到 Azure Monitor 代理的最后一步,自动阻止安装旧版 Log Analytics 代理。 卸载现有旧版扩展后,此策略此后将始终拒绝在 Windows 虚拟机上安装旧版代理扩展。 了解详细信息:https://aka.ms/migratetoAMA 拒绝、审核、禁用 1.0.0
应在虚拟机规模集上安装 Log Analytics 扩展 此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 扩展。 AuditIfNotExists、Disabled 1.0.1
虚拟机应已启用 TrustedLaunch 在虚拟机上启用 TrustedLaunch 以增强安全性,并使用支持 TrustedLaunch 的 VM SKU(第 2 代)。 要详细了解 TrustedLaunch,请访问 https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch Audit、Disabled 1.0.0
虚拟机和虚拟机规模集应启用主机中加密 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe Audit、Deny、Disabled 1.0.0
虚拟机应连接到指定的工作区 如果虚拟机未记录到策略/计划分配中指定的 Log Analytics 工作区,则将虚拟机报告为不合规。 AuditIfNotExists、Disabled 1.1.0
应将虚拟机迁移到新的 Azure 资源管理器资源 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 Audit、Deny、Disabled 1.0.0
虚拟机应已安装 Log Analytics 扩展 此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 扩展。 AuditIfNotExists、Disabled 1.0.1
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1
应修复计算机上安全配置中的漏洞 建议通过 Azure 安全中心监视不满足配置的基线的服务器 AuditIfNotExists、Disabled 3.1.0
应在计算机上启用 Windows Defender 攻击防护 Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 AuditIfNotExists、Disabled 2.0.0
应将 Windows 计算机配置为使用安全通信协议 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 AuditIfNotExists、Disabled 4.1.1
Windows 计算机应配置 Windows Defender 以在一天内更新保护签名 为了提供足够的保护来防御新发布的恶意软件,需要定期更新 Windows Defender 保护签名来应对新发布的恶意软件。 此策略不适用于连接了 Arc 的服务器,它要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1
Windows 计算机应启用 Windows Defender 实时保护 Windows 计算机应启用 Windows Defender 中的实时保护,以提供足够的保护来防御新发布的恶意软件。 此策略不适用于连接了 Arc 的服务器,它要求来宾配置先决条件已部署到策略分配范围。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1
Windows 计算机应符合“管理模板 - 控制面板”的要求 对于输入个性化和阻止启用锁屏界面,Windows 计算机应在“管理模板 - 控制面板”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“管理模板 - MSS (旧版)”的要求 对于自动登录、屏幕保护程序、网络行为、安全 DLL 和事件日志,Windows 计算机应在“管理模板 - MSS (旧版)”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“管理模板 - 网络”的要求 Windows 计算机应在“管理模板 - 网络”类别中使用指定的组策略设置,用于来宾登录、并发连接、网桥、ICS 和多播名称解析。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“管理模板 - 系统”的要求 对于控制管理体验和远程协助的设置,Windows 计算机应在“管理模板 - 系统”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 帐户”的要求 Windows 计算机应在“安全选项 - 帐户”类别中具有指定的组策略设置,以限制本地帐户使用空白密码和来宾帐户状态。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 审核”的要求 Windows 计算机应在“安全选项 - 审核”类别中具有指定的组策略设置,以便在无法记录安全审核的情况下,强制实施审核策略子类别并进行关闭。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 设备”的要求 Windows 计算机应在“安全选项 - 设备”类别中具有指定的组策略设置,以便在不登录的情况下进行移除、安装打印驱动程序以及设置格式/弹出媒体。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 交互式登录”的要求 Windows 计算机应在“安全选项 - 交互式登录”类别中具有指定的组策略设置,以便显示上一个用户名并要求按 Ctrl-Alt-Del。此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - Microsoft 网络客户端”的要求 对于 Microsoft 网络客户端/服务器和 SMB v1,Windows 计算机应在“安全选项 - Microsoft 网络客户端”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求 Windows 计算机应在“安全选项 - Microsoft 网络服务器”类别中具有指定的组策略设置,以禁用 SMB v1 服务器。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 网络访问”的要求 Windows 计算机应在“安全选项 - 网络访问”类别中具有指定的组策略设置,以包含匿名用户、本地帐户的访问权限和对注册表的远程访问权限。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 网络安全”的要求 Windows 计算机应在“安全选项 - 网络安全”类别中使用指定的组策略设置,以包含本地系统行为、PKU2U、LAN Manager、LDAP 客户端和 NTLM SSP。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 恢复控制台”的要求 Windows 计算机应在“安全选项 - 恢复控制台”类别中具有指定的组策略设置,以便允许对所有驱动器和文件夹进行软盘复制和访问。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 关闭”的要求 Windows 计算机应在“安全选项 - 关闭”类别中具有指定的组策略设置,以便允许在未登录的情况下关闭并清除虚拟内存页面文件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 系统对象”的要求 对于非 Windows 子系统不区分大小写和内部系统对象的权限,Windows 计算机应在“安全选项 - 系统对象”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 系统设置”的要求 对于 SRP 和可选子系统的可执行文件的证书规则,Windows 计算机应在“安全选项 - 系统设置”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 对于管理员模式、提升提示行为以及虚拟化文件和注册表写入失败,Windows 计算机应在“安全选项 - 用户帐户控制”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“安全设置 - 帐户策略”的要求 对于密码历史记录、使用期限、长度、复杂性以及使用可还原加密存储密码,Windows 计算机应在“安全设置 - 帐户策略”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 帐户登录”的要求 Windows 计算机应在“系统审核策略 - 帐户登录”类别中具有指定的组策略设置,以便审核凭据验证和其他帐户登录事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 帐户管理”的要求 Windows 计算机应在“系统审核策略 - 帐户管理”类别中具有指定的组策略设置,以便审核应用程序、安全性和用户组管理以及其他管理事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置,以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 登录与注销”的要求 Windows 计算机应在“系统审核策略 - 登录与注销”类别中具有指定的组策略设置,以便审核 IPSec、网络策略、声明、帐户锁定、组成员身份和登录/注销事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 对象访问”的要求 Windows 计算机应在“系统审核策略 - 对象访问”类别中具有指定的组策略设置,以便审核文件、注册表、SAM、存储、筛选、内核和其他系统类型。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 策略更改”的要求 Windows 计算机应在“系统审核策略 - 策略更改”类别中具有指定的组策略设置,以便审核对系统审核策略所做的更改。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 特权使用”的要求 Windows 计算机应在“系统审核策略 - 特权使用”类别中具有指定的组策略设置,以便审核非敏感特权和其他权限使用。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“系统审核策略 - 系统”的要求 Windows 计算机应在“系统审核策略 - 系统”类别中具有指定的组策略设置,以便审核 IPsec 驱动程序、系统完整性、系统扩展、状态更改和其他系统事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“用户权限分配”的要求 Windows 计算机应在“用户权限分配”类别中具有指定的组策略设置,以允许本地登录、RDP、从网络进行访问以及其他很多用户活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“Windows 组件”的要求 对于基本身份验证、未加密的流量、Microsoft 帐户、遥测、Cortana 和其他 Windows 行为,Windows 计算机应在“Windows 组件”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合“Windows 防火墙属性”的要求 对于防火墙状态、连接、规则管理和通知,Windows 计算机应在“Windows 防火墙属性”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 3.0.0
Windows 计算机应符合 Azure 计算安全基线的要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 AuditIfNotExists、Disabled 2.0.0
Windows 计算机应仅具有允许的本地帐户 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 Windows Server 2012 或 2012 R2 不支持此定义。 使用 Azure Active Directory 管理用户帐户是标识管理的最佳做法。 减少本地计算机帐户有助于防止在中央系统外部管理的标识激增。 如果存在已启用但未在策略参数中列出的本地用户帐户,则计算机不合规。 AuditIfNotExists、Disabled 2.0.0
Windows 虚拟机规模集应安装 Azure Monitor 代理 应通过部署的 Azure Monitor 代理监视并保护 Windows 虚拟机规模集。 Azure Monitor 代理从来宾 OS 收集遥测数据。 监视在支持区域中具有支持 OS 的虚拟机规模集以进行 Azure Monitor 代理部署。 了解详细信息:https://aka.ms/AMAOverview AuditIfNotExists、Disabled 3.2.0
Windows 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost。 尽管虚拟机的 OS 和数据磁盘默认使用平台管理的密钥进行静态加密,但资源磁盘(临时磁盘)、数据缓存以及计算资源和存储资源之间流动的数据不加密。 请使用 Azure 磁盘加密或 EncryptionAtHost 进行修正。 访问 https://aka.ms/diskencryptioncomparison 以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.1.1
Windows 虚拟机应安装 Azure Monitor 代理 应通过部署的 Azure Monitor 代理监视并保护 Windows 虚拟机。 Azure Monitor 代理从来宾 OS 收集遥测数据。 监视在支持区域中具有支持 OS 的 Windows 虚拟机以进行 Azure Monitor 代理部署。 了解详细信息:https://aka.ms/AMAOverview AuditIfNotExists、Disabled 3.2.0

Microsoft.VirtualMachineImages

名称
(Azure 门户)
说明 效果 版本
(GitHub)
VM 映像生成器模板应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet 审核、已禁用、拒绝 1.1.0

Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机上启用漏洞评估解决方案 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 AuditIfNotExists、Disabled 3.0.0
应限制在与虚拟机关联的网络安全组上使用所有网络端口 Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 AuditIfNotExists、Disabled 3.0.0
审核未配置灾难恢复的虚拟机 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc auditIfNotExists 1.0.0
应在计算机上解决 Endpoint Protection 运行状况问题 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档介绍了终结点保护评估 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection AuditIfNotExists、Disabled 1.0.0
应在计算机上安装 Endpoint Protection 若要保护计算机免受威胁和漏洞的侵害,请安装受支持的 Endpoint Protection 解决方案。 AuditIfNotExists、Disabled 1.0.0
面向 Internet 的虚拟机应使用网络安全组进行保护 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应禁用虚拟机上的 IP 转发 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 AuditIfNotExists、Disabled 3.0.0
计算机应已解决机密结果 审核虚拟机以检测它们是否包含虚拟机上机密扫描解决方案的机密发现结果。 AuditIfNotExists、Disabled 1.0.2
应关闭虚拟机上的管理端口 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 AuditIfNotExists、Disabled 3.0.0
监视 Azure 安全中心 Endpoint Protection 的缺失情况 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 AuditIfNotExists、Disabled 3.0.0
应使用网络安全组来保护非面向 Internet 的虚拟机 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应将虚拟机迁移到新的 Azure 资源管理器资源 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 Audit、Deny、Disabled 1.0.0
应修复计算机上安全配置中的漏洞 建议通过 Azure 安全中心监视不满足配置的基线的服务器 AuditIfNotExists、Disabled 3.1.0

后续步骤