Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта страница представляет собой индекс Политика Azure встроенных определений политик для серверов с поддержкой Azure Arc. Дополнительные встроенные Политика Azure для других служб см. в разделе Политика Azure встроенные определения.
Имя каждого встроенного определения политики ссылается на определение политики на портале Azure. Используйте ссылку в столбце Version для просмотра источника в репозитории Политика Azure GitHub.
серверы с поддержкой Azure Arc
| Name (портал Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [предварительная версия]: на компьютерах должно быть включено управляемое удостоверение. | Ресурсы, управляемые automanage, должны иметь управляемое удостоверение. | Аудит, отключено | 1.0.0-preview |
| [предварительная версия]: аудит состояния безопасности SSH для Windows | Эта политика проверяет конфигурацию безопасности сервера SSH на Windows Server 2019, 2022 и 2025 компьютерах (Azure виртуальных машинах и компьютерах с поддержкой Arc). Дополнительные сведения, включая предварительные требования, параметры в области, значения по умолчанию и настройку, см. в разделе https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | AuditIfNotExists, отключено | 1.1.0-preview |
| [предварительная версия]: аудит Windows компьютеров, у которых нет Windows среды восстановления (WinRE | Выполняет аудит Windows компьютеров, чтобы проверить, включена ли среда восстановления Windows (WinRE) | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: назначение профиля конфигурации автоуправляемого управления должно соответствовать требованиям | Ресурсы, управляемые automanage, должны иметь состояние "Соответствие" или "Соответствие". | AuditIfNotExists, отключено | 1.0.0-preview |
| [Предварительная версия]. На виртуальной машине Linux с поддержкой Arc должно быть установлено расширение ChangeTracking | Установите расширение ChangeTracking на компьютерах Linux Arc, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: расширение ChangeTracking должно быть установлено на компьютере Windows Arc | Установите расширение ChangeTracking на Windows компьютерах Arc, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: настройка состояния безопасности SSH для Windows | Эта политика настраивает конфигурацию безопасности сервера SSH на Windows Server 2019, 2022 и 2025 компьютерах (Azure виртуальных машинах и компьютерах с поддержкой Arc). Дополнительные сведения, включая предварительные требования, параметры в области, значения по умолчанию и настройку, см. в разделе https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0-preview |
| [предварительная версия]: настройка среды восстановления Windows (WinRE) на Windows компьютерах | Создает назначение гостевой конфигурации для настройки включения среды восстановления Windows (WinRE) на Windows компьютерах. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0-preview |
| [предварительная версия]: настройте Windows Server для отключения локальных пользователей. | Создает назначение гостевой конфигурации для настройки отключения локальных пользователей на Windows Server. Это гарантирует, что Windows серверы могут получать доступ только с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | РазвернутьЕслиНеСуществует, Отключено | 1.3.0-preview |
| [Предварительная версия]. Запретить создание или изменение лицензии расширенных обновлений безопасности (ESUS). | Эта политика позволяет ограничить создание или изменение лицензий ESU для компьютеров Windows Server 2012 Arc. Дополнительные сведения о ценах см. на сайте https://aka.ms/ArcWS2012ESUPricing | Запрет, отключение | 1.0.0-preview |
| [предварительная версия]: развертывание агента Microsoft Defender для конечной точки на гибридных компьютерах Linux | Развертывание агента Microsoft Defender для конечной точки на гибридных компьютерах Linux | Развернуть, если не существует, Проверить, если не существует, Отключено | 2.0.1-preview |
| [предварительная версия]: развертывание агента Microsoft Defender для конечной точки на Windows Azure Arc компьютерах | Развертывает Microsoft Defender для конечной точки на Windows Azure Arc компьютерах. | Развернуть, если не существует, Проверить, если не существует, Отключено | 2.0.1-preview |
| [предварительная версия]: включите лицензию расширенных обновлений безопасности (ESUs) для защиты компьютеров Windows 2012 после окончания жизненного цикла поддержки. | Включите лицензию расширенных обновлений безопасности (ESUs), чтобы обеспечить защиту компьютеров Windows 2012 даже после завершения жизненного цикла поддержки. Узнайте, как подготовиться к доставке расширенных обновлений системы безопасности для Windows Server 2012 через AzureArc, посетите https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Дополнительные сведения о ценах см. на сайте https://aka.ms/ArcWS2012ESUPricing | РазвернутьЕслиНеСуществует, Отключено | 1.0.0-preview |
| [предварительная версия]: расширенные обновления системы безопасности должны быть установлены на Windows Server 2012 компьютерах Arc. | Windows Server 2012 компьютеры Arc должны установить все расширенные обновления безопасности, выпущенные Майкрософт. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: компьютеры Linux должны соответствовать требованиям для базовых показателей безопасности Azure для узлов Docker | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютер настроен неправильно для одной из рекомендаций в базовой Azure безопасности для узлов Docker. | AuditIfNotExists, отключено | 1.2.0-preview |
| [предварительная версия]: компьютеры Linux должны соответствовать требованиям соответствия STIG для вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер не настроен правильно для одной из рекомендаций в соответствии с требованиями соответствия STIG для Azure вычислений. DISA (Агентство оборонных информационных систем) предоставляет технические руководства STIG (Руководство по технической реализации безопасности) для защиты вычислительной ОС в порядке, требуемом Министерством обороны (DoD). Дополнительные сведения: https://public.cyber.mil/stigs/. | AuditIfNotExists, отключено | 1.2.0-preview |
| [Предварительная версия]: компьютеры Linux с установленной OMI должны иметь версию 1.6.8-1 или более позднюю версию. | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. В связи с исправлением безопасности, включенным в версию 1.6.8-1 пакета OMI для Linux, все компьютеры должны быть обновлены до последней версии. Обновите приложения и пакеты, использующие OMI, для устранения проблемы. Дополнительные сведения см. в разделе https://aka.ms/omiguidance. | AuditIfNotExists, отключено | 1.2.0-preview |
| [предварительная версия]: рабочие нагрузки Linux должны соответствовать официальному тесту безопасности CIS | Эта политика предоставляет возможность настраивать и развертывать тесты безопасности CIS для аудита в рабочих нагрузках Linux в Azure, локальных и гибридных средах. Содержимое тестов безопасности CIS в паритете с тестами, опубликованными на сайте https://cisecurity.org. Политика работает с помощью azure-osconfig. Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 2.0.0-preview |
| [предварительная версия]: Вычислительные машины Nexus должны соответствовать базовым требованиям безопасности | Использует агент гостевой конфигурации Политика Azure для аудита. Эта политика гарантирует, что компьютеры соответствуют базовым параметрам безопасности вычислений Nexus, охватывая различные рекомендации, предназначенные для укрепления компьютеров в отношении ряда уязвимостей и небезопасных конфигураций (только Для Linux). | AuditIfNotExists, отключено | 1.1.0-preview |
| [предварительная версия]: официальные тесты безопасности CIS для Windows Server | Эта политика предоставляет возможность настраивать и развертывать тесты безопасности CIS для аудита в Windows Server в Azure локальных и гибридных средах. Содержимое тестов безопасности CIS в паритете с тестами, опубликованными на сайте https://cisecurity.org. Требует, чтобы необходимые компоненты развертывались в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: Windows компьютеры должны соответствовать требованиям соответствия STIG для вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер настроен неправильно для одной из рекомендаций в требованиях к соответствию STIG для Azure вычислений. DISA (Агентство оборонных информационных систем) предоставляет технические руководства STIG (Руководство по технической реализации безопасности) для защиты вычислительной ОС в порядке, требуемом Министерством обороны (DoD). Дополнительные сведения: https://public.cyber.mil/stigs/. | AuditIfNotExists, отключено | 1.0.0-preview |
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, отключено | 3.1.0 |
| Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists, отключено | 3.1.0 |
| Аудит компьютеров Linux без заданных установленных приложений | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если ресурс Chef InSpec указывает, что не установлен один или несколько указанных в параметре пакетов. | AuditIfNotExists, отключено | 4.2.0 |
| Аудит компьютеров Linux с учетными записями без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. | AuditIfNotExists, отключено | 3.1.0 |
| Аудит компьютеров Linux с заданными установленными приложениями | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если ресурс Chef InSpec указывает, что установлен один или несколько указанных в параметре пакетов. | AuditIfNotExists, отключено | 4.2.0 |
| Аудит состояния безопасности SSH для Linux (на базе OSConfig) | Эта политика проверяет конфигурацию безопасности сервера SSH на компьютерах Linux (Azure виртуальных машинах и компьютерах с поддержкой Arc). Дополнительные сведения о предварительных требованиях, параметрах области, значениях по умолчанию и настройке см. в разделе . https://aka.ms/SshPostureControlOverview | AuditIfNotExists, отключено | 1.0.1 |
| Audit Windows компьютеры, отсутствующие ни одного из указанных участников в группе "Администраторы | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если в локальной группе администраторов отсутствует один или несколько участников, указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Audit Windows сетевые подключения | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если сетевое подключение по некоторому IP-адресу и порту TCP не соответствует параметру политики. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры, на которых конфигурация DSC не соответствует требованиям | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если команда PowerShell Get-DSCConfigurationStatus Windows возвращает, что конфигурация DSC для компьютера не соответствует требованиям. | auditIfNotExists | 3.0.0 |
| Audit Windows компьютеры, на которых агент Log Analytics не подключен должным образом | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если на них не установлен агент либо агент установлен, но COM-объект AgentConfigManager.MgmtSvcCfg сообщает, что этот агент зарегистрирован в рабочей области с идентификатором, отличным от указанного в параметре политики. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры, на которых не установлены указанные службы, и "Выполнение" | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если результат команды PowerShell Windows Get-Service не включает имя службы с соответствующим состоянием, указанным параметром политики. | auditIfNotExists | 3.0.0 |
| Audit Windows компьютеры, на которых Windows последовательная консоль не включена | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если на них не установлено программное обеспечение последовательной консоли или номер и скорость порта EMS имеют не те значения, которые указаны в параметрах политики. | auditIfNotExists | 3.0.0 |
| Audit Windows компьютеры, которые позволяют повторно использовать пароли после указанного числа уникальных паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютерах, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 | AuditIfNotExists, отключено | 2.1.0 |
| Audit Windows компьютеры, которые не присоединены к указанному домену | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если значение свойства Domain в классе WMI win32_computersystem не совпадает с тем, которое указано в параметре политики. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры, которые не заданы в указанном часовом поясе | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если значение свойства StandardName в классе WMI Win32_TimeZone не совпадает с выбранным часовым поясом в параметре политики. | auditIfNotExists | 4.0.0 |
| Audit Windows компьютеры, содержащие сертификаты, истекшие в течение указанного числа дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если срок действия сертификатов в указанном хранилище не входит в диапазон числа дней, заданных в качестве параметра. Также эта политика позволяет проверять только конкретные сертификаты или исключать из проверки конкретные сертификаты, а также сообщать о сертификатах с истекшим сроком действия. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры, не содержащие указанные сертификаты в доверенном корневом каталоге | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если хранилище доверенных корневых сертификатов (CERT:\LocalMachine\Root) на них не содержит один или несколько сертификатов, указанных в параметре политики. | auditIfNotExists | 3.0.0 |
| Audit Windows компьютеры, не имеющие максимального срока действия пароля | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютерах, не имеющих максимального возраста пароля, заданного для указанного количества дней. Значение по умолчанию для максимального срока действия пароля — 70 дней | AuditIfNotExists, отключено | 2.1.0 |
| Audit Windows компьютерах, не имеющих минимального возраста пароля | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютерах, которые не имеют минимального возраста пароля, заданного для указанного количества дней. Значение по умолчанию для минимального возраста пароля — 1 день | AuditIfNotExists, отключено | 2.1.0 |
| Audit Windows компьютеры с включенным параметром сложности паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютеры, у которых нет параметра сложности паролей | AuditIfNotExists, отключено | 2.0.0 |
| Audit Windows компьютеры, не имеющие указанной политики выполнения Windows PowerShell | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если команда PowerShell Windows Get-ExecutionPolicy возвращает значение, отличное от того, что было выбрано в параметре политики. | AuditIfNotExists, отключено | 3.0.0 |
| Audit Windows компьютерах, не имеющих указанных модулей PowerShell Windows | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если модуль недоступен в расположении, указанном в переменной среды PSModulePath. | AuditIfNotExists, отключено | 3.0.0 |
| Audit Windows компьютеры, которые не ограничивают минимальную длину пароля указанным числом символов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютерах, которые не ограничивают минимальную длину пароля указанным числом символов. Значение по умолчанию для минимальной длины пароля — 14 символов | AuditIfNotExists, отключено | 2.1.0 |
| Audit Windows компьютеры, которые не хранят пароли с помощью обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютеры, которые не хранят пароли с помощью обратимого шифрования | AuditIfNotExists, отключено | 2.0.0 |
| Audit Windows компьютеры, не имеющие указанных приложений | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если имя приложения не найдено ни в одном из следующих путей реестра: HKLM:SOFTWARE\Майкрософт\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Майкрософт\Windows\CurrentVersion\Uninstall, HKCU:Software\Майкрософт\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютерах с дополнительными учетными записями в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит участников, не указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры, которые не перезагрузились в течение указанного числа дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если свойство WMI LastBootUpTime в классе Win32_Operatingsystem выходит за пределы диапазона дней, указанного в параметре политики. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры с установленными указанными приложениями | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если имя приложения найдено в любом из следующих путей реестра: HKLM:SOFTWARE\Майкрософт\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Майкрософт\Windows\CurrentVersion\Uninstall, HKCU:Software\Майкрософт\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры с указанными участниками в группе "Администраторы | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит одного или нескольких участников, указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Audit Windows виртуальные машины с ожидающей перезагрузкой | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер ожидает перезагрузки по каким-либо из следующих причин: обслуживание на основе компонентов, клиентский компонент Центра обновления Windows, ожидающее переименование файла, ожидающее переименование компьютера, ожидающее перезагрузка configuration manager. Каждое обнаружение имеет уникальный путь реестра. | auditIfNotExists | 2.0.0 |
| При аутентификации на компьютерах Linux должны использоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Самый безопасный вариант проверки подлинности на виртуальной машине Linux Azure по протоколу SSH — с парой открытого закрытого ключа, также известной как ключи SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, отключено | 3.2.0 |
| Azure Arc Приватный канал Области следует настроить с частной конечной точкой | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с Azure Arc Приватный канал области снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. | Аудит, отключено | 1.0.0 |
| Azure Arc Приватный канал Области должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что Azure Arc ресурсы не могут подключаться через общедоступный Интернет. Создание частных конечных точек может ограничить воздействие Azure Arc ресурсов. См. дополнительные сведения: https://aka.ms/arc/privatelink. | Аудит, отказ в доступе, отключено | 1.0.0 |
| серверы с поддержкой Azure Arc должны быть настроены с Azure Arc Приватный канал областью | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя серверы с Azure Arc областью Azure Arc Приватный канал, настроенной с частной конечной точкой, риски утечки данных сокращаются. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Configure Arc Server с установленным расширением SQL Server для включения или отключения оценки рекомендаций SQL. | Включите или отключите оценку рекомендаций SQL на экземплярах SQL Server на серверах с поддержкой Arc, чтобы оценить рекомендации. Узнайте больше по адресу https://aka.ms/azureArcBestPracticesAssessment. | РазвернутьЕслиНеСуществует, Отключено | 1.0.1 |
| Configure Arc Server для автоматической установки агента Azure Monitor | Автоматизация развертывания расширения агента Azure Monitor на Windows серверах SQL Server с поддержкой Arc. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 1.3.0 |
| Configure Arc Server для автоматической установки Microsoft Defender для SQL | Настройте Windows СЕРВЕРы SQL Server с поддержкой Arc, чтобы автоматически установить Microsoft Defender для агента SQL. Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| Configure Arc Server для автоматической установки Microsoft Defender для SQL и DCR с рабочей областью Log Analytics | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов, правило сбора данных и Log Analytics рабочую область в том же регионе, что и компьютер. | РазвернутьЕслиНеСуществует, Отключено | 1.6.0 |
| Configure Arc Server для автоматической установки Microsoft Defender для SQL и DCR с определяемой пользователем рабочей областью LA | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. | РазвернутьЕслиНеСуществует, Отключено | 1.8.0 |
| Configure Arc Server с сопоставлением правил сбора данных для Microsoft Defender для sql DCR | Настройте связь между серверами SQL с поддержкой Arc и Microsoft Defender для DCR SQL. Удаление этой связи приведет к разрыву обнаружения уязвимостей системы безопасности для этих серверов SQL с поддержкой Arc. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Configure Arc Server с сопоставлением правил сбора данных для Microsoft Defender для определяемого пользователем DCR | Настройте связь между серверами SQL с поддержкой Arc и Microsoft Defender для определяемого пользователем DCR SQL. Удаление этой связи приведет к разрыву обнаружения уязвимостей системы безопасности для этих серверов SQL с поддержкой Arc. | РазвернутьЕслиНеСуществует, Отключено | 1.3.0 |
| Configure Azure Arc Приватный канал Области для отключения доступа к общедоступной сети | Отключите доступ к общедоступной сети для области Azure Arc Приватный канал, чтобы связанные Azure Arc ресурсы не могут подключаться к службам Azure Arc через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/arc/privatelink. | Изменить, Отключено | 1.0.0 |
| Configure Azure Arc Приватный канал Области с частными конечными точками | Частные конечные точки подключают виртуальные сети к Azure службам без общедоступного IP-адреса в источнике или назначении. Сопоставляя частные конечные точки с Azure Arc Приватный канал областями, можно уменьшить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. | РазвернутьЕслиНеСуществует, Отключено | 2.0.0 |
| серверы Configure Azure Arc для включения автоматического обновления | Функция автоматического обновления позволяет серверам оставаться в обновлении без каких-либо действий от пользователя после согласия. Эта политика гарантирует, что серверы с поддержкой Azure Arc настроены для автоматического обновления. | Изменить, Отключено | 1.0.0 |
| серверы Configure Azure Arc для использования Azure Arc Приватный канал области | Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя серверы с Azure Arc областью Azure Arc Приватный канал, настроенной с частной конечной точкой, риски утечки данных сокращаются. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. | Изменить, Отключено | 1.0.0 |
| Configure Azure Defender для серверов, отключаемых для всех ресурсов (уровня ресурсов) | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. Эта политика отключит план Defender для серверов для всех ресурсов (виртуальных машин, виртуальных машин и компьютеров ARC) в выбранной области (подписке или группе ресурсов). | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Configure Azure Defender для серверов, отключаемых для ресурсов (уровня ресурсов) с выбранным тегом | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. Эта политика отключит план Defender для серверов для всех ресурсов (виртуальных машин, VMSSs и КОМПЬЮТЕРОВ ARC), имеющих выбранное имя тега и значения тега. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Configure Azure Defender, чтобы серверы были включены (подплан "P1" для всех ресурсов (уровня ресурсов) с выбранным тегом | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. Эта политика позволит включить план Defender для серверов (с подпланом P1) для всех ресурсов (виртуальных машин и компьютеров ARC), имеющих выбранное имя тега и значения тега. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Configure Azure Defender для серверов, которые должны быть включены (с подпланом P1) для всех ресурсов (уровня ресурсов) | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. Эта политика позволит включить план Defender для серверов (с подпланом P1) для всех ресурсов (виртуальных машин и компьютеров ARC) в выбранной области (подписке или группе ресурсов). | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка расширения ChangeTracking для компьютеров Linux Arc | Настройте компьютеры Linux Arc для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом Azure Monitor. | РазвернутьЕслиНеСуществует, Отключено | 2.1.0 |
| Настройка расширения ChangeTracking для компьютеров Windows Arc | Настройте компьютеры Windows Arc для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом Azure Monitor. | РазвернутьЕслиНеСуществует, Отключено | 2.1.0 |
| Configure Dependency Agent на серверах Linux с поддержкой Azure Arc | Включите аналитику виртуальных машин на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины агента зависимостей. Аналитика ВМ использует Dependency Agent для сбора метрик сети и обнаруженных данных о процессах, выполняемых на компьютере, а также о зависимостях внешних процессов. Подробнее: https://aka.ms/vminsightsdocs. | РазвернутьЕслиНеСуществует, Отключено | 2.1.0 |
| Configure Dependency agent on Azure Arc enabled Linux server with Azure Monitoring Agent settings | Включите аналитику виртуальных машин на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины агента зависимостей с параметрами агента мониторинга Azure. Аналитика ВМ использует Dependency Agent для сбора метрик сети и обнаруженных данных о процессах, выполняемых на компьютере, а также о зависимостях внешних процессов. Подробнее: https://aka.ms/vminsightsdocs. | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| агент зависимостей Configure на Azure Arc серверах с поддержкой Windows | Включите аналитику виртуальных машин на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины агента зависимостей. Аналитика ВМ использует Dependency Agent для сбора метрик сети и обнаруженных данных о процессах, выполняемых на компьютере, а также о зависимостях внешних процессов. Подробнее: https://aka.ms/vminsightsdocs. | РазвернутьЕслиНеСуществует, Отключено | 2.1.0 |
| Configure Dependency agent on Azure Arc enabled Windows server with Azure Monitoring Agent settings | Включите аналитику виртуальных машин на серверах и компьютерах, подключенных к Azure через серверы с поддержкой Arc, установив расширение виртуальной машины агента зависимостей с параметрами агента мониторинга Azure. Аналитика ВМ использует Dependency Agent для сбора метрик сети и обнаруженных данных о процессах, выполняемых на компьютере, а также о зависимостях внешних процессов. Подробнее: https://aka.ms/vminsightsdocs. | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| Настройка компьютеров Linux Arc для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать компьютеры Linux Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 2.2.1 |
| Настройка компьютеров с поддержкой Linux Arc для связи с правилом сбора данных для ChangeTracking и инвентаризации | Развертывание ассоциации для связывания компьютеров с поддержкой Linux Arc с указанным правилом сбора данных для включения ChangeTracking и инвентаризации. Список расположений обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка компьютеров с поддержкой Linux Arc для запуска агента Azure Monitor | Автоматизация развертывания расширения агента Azure Monitor на компьютерах с поддержкой Linux Arc для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если регион поддерживается. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 2.4.0 |
| Настройка компьютеров с поддержкой Linux Arc для установки AMA для ChangeTracking и инвентаризации | Автоматизация развертывания расширения агента Azure Monitor на компьютерах с поддержкой Linux Arc для включения ChangeTracking и инвентаризации. Эта политика установит расширение, если регион поддерживается. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 1.4.0 |
| Настройка компьютеров Linux для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать виртуальные машины Linux, масштабируемые наборы виртуальных машин и компьютеры Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 6.8.0 |
| Настройте Linux Server для отключения локальных пользователей. | Создает назначение гостевой конфигурации для настройки отключения локальных пользователей на сервере Linux Server. Это гарантирует, что серверы Linux могут получать доступ только с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | РазвернутьЕслиНеСуществует, Отключено | 1.4.0-preview |
| Настройка компьютеров для получения поставщика оценки уязвимостей | Azure Defender включает сканирование уязвимостей для компьютеров без дополнительных затрат. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Центре безопасности. При включении этой политики Azure Defender автоматически развертывает поставщик оценки уязвимостей Qualys на всех поддерживаемых компьютерах, которые еще не установлены. | РазвернутьЕслиНеСуществует, Отключено | 4.0.0 |
| Настройка периодической проверки отсутствия обновлений системы на серверах с поддержкой Azure Arc | Настройте автоматическую оценку (каждые 24 часа) для обновлений ОС на серверах с поддержкой Azure Arc. Вы можете управлять областью назначения в соответствии с подпиской, группой ресурсов, расположением или тегом виртуальной машины. Дополнительные сведения об этом для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.3.0 |
| Configure secure communication protocols(TLS 1.1 или TLS 1.2) на компьютерах Windows | Создает назначение гостевой конфигурации для настройки указанной защищенной версии протокола (TLS 1.1 или TLS 1.2) на компьютере Windows. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка состояния безопасности SSH для Linux (на базе OSConfig) | Эта политика проверяет и настраивает конфигурацию безопасности сервера SSH на компьютерах Linux (Azure виртуальных машинах и компьютерах с поддержкой Arc). Дополнительные сведения о предварительных требованиях, параметрах области, значениях по умолчанию и настройке см. в разделе . https://aka.ms/SshPostureControlOverview | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка Microsoft Defender рабочей области SQL Log Analytics | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и Log Analytics рабочую область в том же регионе, что и компьютер. | РазвернутьЕслиНеСуществует, Отключено | 1.5.0 |
| часовой пояс Configure на Windows machines. | Эта политика создает назначение гостевой конфигурации, чтобы задать указанный часовой пояс на Windows виртуальных машинах. | deployIfNotExists | 3.1.0 |
| Набор виртуальных машин, которые необходимо подключить к Автоматическое управление Azure | Автоматическое управление Azure регистрирует, настраивает и отслеживает виртуальные машины с рекомендациями, как определено в Microsoft Cloud Adoption Framework для Azure. Используйте эту политику для применения автоматического управления в выбранной области. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 2.4.0 |
| Настройка виртуальных машин для подключения к Автоматическое управление Azure с пользовательским профилем конфигурации | Автоматическое управление Azure регистрирует, настраивает и отслеживает виртуальные машины с рекомендациями, как определено в Microsoft Cloud Adoption Framework для Azure. Используйте эту политику для применения Автоматического управления с собственным настраиваемым профилем конфигурации к выбранной области. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 1.4.0 |
| Configure Windows компьютеры Arc, связанные с правилом сбора данных или конечной точкой сбора данных | Разверните связь для связывания Windows компьютеров Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 2.4.0 |
| Configure Windows Компьютеры с поддержкой Arc, связанные с правилом сбора данных для ChangeTracking и инвентаризации | Развертывание ассоциации для связывания Windows компьютеров с поддержкой Arc с указанным правилом сбора данных, чтобы включить ChangeTracking и инвентаризацию. Список расположений обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Configure Windows компьютеры с поддержкой Arc для установки AMA для ChangeTracking и инвентаризации | Автоматизация развертывания расширения агента Azure Monitor на компьютерах с поддержкой Arc Windows для включения ChangeTracking и инвентаризации. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Configure Windows Компьютеры с поддержкой Arc для запуска агента Azure Monitor | Автоматизация развертывания расширения агента Azure Monitor на Windows компьютерах с поддержкой Arc для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 2.6.0 |
| Configure Windows компьютеры, связанные с правилом сбора данных или конечной точкой сбора данных | Развертывание ассоциации для связывания Windows виртуальных машин, масштабируемых наборов виртуальных машин и компьютеров Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 4.8.0 |
| Linux Arc-компьютеры должны быть установлены Azure Monitor агента | Компьютеры с поддержкой Linux Arc должны отслеживаться и защищаться с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Эта политика будет выполнять аудит компьютеров с поддержкой Arc в поддерживаемых регионах. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists, отключено | 1.2.0 |
| Linux-компьютеры должны соответствовать требованиям для базовых показателей безопасности вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер настроен неправильно для одной из рекомендаций в базовой Azure вычислительной безопасности. | AuditIfNotExists, отключено | 2.3.1 |
| На компьютерах Linux должны быть разрешены только локальные учетные записи | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Управление учетными записями пользователей с помощью Azure Active Directory рекомендуется для управления удостоверениями. Сокращение числа учетных записей на локальном компьютере помогает предотвратить рост числа удостоверений, управляемых за пределами центральной системы. Компьютеры не соответствуют требованиям, если существуют локальные учетные записи пользователей, которые включены и не указаны в параметре политики. | AuditIfNotExists, отключено | 2.2.0 |
| Локальные методы проверки подлинности должны быть отключены на компьютерах Linux | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если на серверах Linux нет локальных методов проверки подлинности. Это необходимо для проверки того, что серверы Linux могут получать доступ только с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | AuditIfNotExists, отключено | 1.2.0-preview |
| методы проверки подлинности Local должны быть отключены на серверах Windows | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows серверах не отключены локальные методы проверки подлинности. Это позволяет проверить, что доступ к Windows серверам можно получить только учетной записью AAD (Azure Active Directory) или списком явно разрешенных пользователей этой политикой, что повышает общую безопасность. | AuditIfNotExists, отключено | 1.0.0-preview |
| Компьютеры должны быть настроены для периодической проверки отсутствия обновлений системы | Чтобы периодические оценки отсутствующих системных обновлений запускались автоматически каждые 24 часа, для свойства AssessmentMode должно быть задано значение "AutomaticByPlatform". Дополнительные сведения о свойстве AssessmentMode для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Аудит, отказ в доступе, отключено | 3.9.0 |
| Schedule повторяющихся обновлений с помощью Диспетчер обновлений Azure | Вы можете использовать Диспетчер обновлений Azure в Azure для сохранения повторяющихся расписаний развертывания для установки обновлений операционной системы для компьютеров Windows Server и Linux в Azure, в локальных средах и в других облачных средах, подключенных с помощью серверов с поддержкой Azure Arc. Эта политика также изменит режим исправления для виртуальной машины Azure на "AutomaticByPlatform". Дополнительные сведения приведены здесь: https://aka.ms/umc-scheduled-patching | РазвернутьЕслиНеСуществует, Отключено | 3.14.0 |
| Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. | AuditIfNotExists, отключено | 1.0.0 |
| Подпишитесь на допустимые экземпляры SQL Server с поддержкой Arc в расширенные обновления системы безопасности. | Подписываться на допустимые экземпляры SQL Server с поддержкой Arc с типом лицензии, установленным для платных или PAYG, на расширенные обновления системы безопасности. Дополнительные сведения о расширенных обновлениях https://go.microsoft.com/fwlink/?linkid=2239401системы безопасности. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| На компьютерах должны быть установлены обновления системы (на базе Центра обновления) | На ваших компьютерах не установлены критические обновления, а также обновления системы и безопасности. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. | AuditIfNotExists, отключено | 1.0.1 |
| Устаревшее расширение Log Analytics не должно быть установлено на Azure Arc серверах Linux | Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего этапа миграции с устаревших агентов на Azure Monitor агента. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на серверах Linux с поддержкой Azure Arc. Подробнее: https://aka.ms/migratetoAMA | Запрет, Аудит, Отключение | 1.0.0 |
| Устаревшее расширение Log Analytics не должно быть установлено на Azure Arc серверах Windows | Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего этапа миграции с устаревших агентов на Azure Monitor агента. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на Azure Arc включенных Windows серверах. Подробнее: https://aka.ms/migratetoAMA | Запрет, Аудит, Отключение | 1.0.0 |
| Windows на компьютерах с поддержкой Arc должен быть установлен агент Azure Monitor | Windows компьютеры с поддержкой Arc должны отслеживаться и защищаться с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Windows компьютеры с поддержкой Arc в поддерживаемых регионах отслеживаются для развертывания агента Azure Monitor. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists, отключено | 1.4.0 |
| Windows Defender Exploit Guard следует включить на компьютерах | Windows Defender Exploit Guard использует агент гостевой конфигурации Политика Azure. Exploit Guard имеет четыре компонента, предназначенные для блокировки устройств с различными векторами атак и блокируют поведение, обычно используемое в атаках вредоносных программ, позволяя предприятиям сбалансировать свои требования к безопасности и производительности (Windows только). | AuditIfNotExists, отключено | 2.0.0 |
| Windows компьютеры должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, отключено | 4.1.1 |
| Windows компьютеры должны настроить Windows Defender для обновления подписей защиты в течение одного дня | Чтобы обеспечить достаточную защиту от недавно выпущенных вредоносных программ, Windows Defender подписи защиты необходимо регулярно обновлять для учета недавно выпущенных вредоносных программ. Эта политика не применяется к подключенным серверам Arc и требует, чтобы необходимые компоненты гостевой конфигурации были развернуты в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.1 |
| Windows компьютеры должны включить Windows Defender защиту в режиме реального времени | Windows компьютеры должны включить защиту в режиме реального времени в Windows Defender, чтобы обеспечить достаточную защиту от недавно выпущенных вредоносных программ. Эта политика неприменима к подключенным серверам arc и требует, чтобы предварительные требования гостевой конфигурации были развернуты в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.1 |
| Windows компьютеры должны соответствовать требованиям панель управления к административным шаблонам | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Административные шаблоны - панель управления" для персонализации ввода и предотвращения включения экранов блокировки. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям к "Административные шаблоны — MSS (устаревшая версия)" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Административные шаблоны — MSS (устаревшая версия)" для автоматического входа, сохранения экрана, сетевого поведения, безопасной библиотеки DLL и журнала событий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям к административным шаблонам — | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Административные шаблоны — сеть" для гостевых входа, одновременных подключений, сетевого моста, ICS и разрешения имен многоадресной рассылки. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для административных шаблонов — system' | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Административные шаблоны — система" для параметров, которые управляют административным интерфейсом и удаленной помощью. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — учетные записи" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — учетные записи" для ограничения использования локальных учетных записей пустых паролей и состояния гостевой учетной записи. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — аудит" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — аудит" для принудительного принудительного подкатегории политики аудита и завершения работы, если не удается записать аудиты безопасности. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям в разделе "Параметры безопасности — устройства" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — устройства" для открепления без входа, установки драйверов печати и форматирования или извлечения носителей. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — интерактивный вход | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — интерактивный вход" для отображения фамилии пользователя и необходимости ctrl-alt-del. Эта политика требует, чтобы предварительные требования гостевой конфигурации были развернуты в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — Майкрософт сетевой клиент" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Майкрософт сетевой клиент" для Майкрософт сетевого клиента или сервера и SMB версии 1. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям к параметрам безопасности Майкрософт сетевого сервера | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности - Майкрософт сетевой сервер" для отключения сервера SMB версии 1. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — сетевой доступ" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — сетевой доступ" для включения доступа для анонимных пользователей, локальных учетных записей и удаленного доступа к реестру. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — сетевая безопасность" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, клиента LDAP и SSP NTLM. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для консоли восстановления | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — консоль восстановления", чтобы разрешить флоппи-копирование и доступ ко всем дискам и папкам. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — завершение работы" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — завершение работы" для разрешения завершения работы без входа и очистки файла страницы виртуальной памяти. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — системные объекты" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — системные объекты", чтобы не Windows подсистемы и разрешения внутренних системных объектов. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям "Параметры безопасности — параметры системы" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — параметры системы" для правил сертификатов для исполняемых файлов для SRP и необязательных подсистем. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — контроль учетных записей пользователей" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — контроль учетных записей пользователей" для администраторов, поведения запроса на повышение прав и виртуализации файлов и ошибок записи реестра. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям "Параметры безопасности — политики учетных записей" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — политики учетных записей" для журнала паролей, возраста, длины, сложности и хранения паролей с помощью обратимого шифрования. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для политик аудита системы — | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — вход учетной записи" для аудита проверки учетных данных и других событий входа в учетную запись. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям "Политики аудита системы — управление учетными записями" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — управление учетными записями" для аудита приложений, безопасности и управления группами пользователей и других событий управления. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для "Политики аудита системы — подробное отслеживание" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — подробное отслеживание" для аудита DPAPI, создания и завершения процесса, событий RPC и действий PNP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для "Политики аудита системы — вход в систему" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — вход в систему" для аудита IPSec, политики сети, утверждений, блокировки учетных записей, членства в группах и событий входа в систему. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для "Политики аудита системы — доступ к объектам" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — доступ к объектам" для аудита файла, реестра, SAM, хранилища, фильтрации, ядра и других системных типов. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям "Политики аудита системы — изменение политики" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — изменение политики политики" для аудита изменений в политиках аудита системы. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям "Политики аудита системы — использование привилегий" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — использование привилегий" для аудита нечувствительных и других привилегий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям к политикам аудита системы — System' | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — система" для аудита драйвера IPsec, целостности системы, расширения системы, изменения состояния и других системных событий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Назначение прав пользователей", чтобы разрешить вход локально, RDP, доступ из сети и многие другие действия пользователя. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для Windows компонентов | Windows компьютеры должны иметь указанные параметры групповой политики в категории "компоненты Windows" для базовой проверки подлинности, незашифрованного трафика, Майкрософт учетных записей, телеметрии, Кортаны и других Windows поведения. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям Windows свойства брандмауэра | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Свойства брандмауэра Windows" для состояния брандмауэра, подключений, управления правилами и уведомлений. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям базовых показателей безопасности вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер настроен неправильно для одной из рекомендаций в базовой Azure вычислительной безопасности. | AuditIfNotExists, отключено | 2.1.1 |
| Windows компьютеры должны иметь только локальные учетные записи | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Это определение не поддерживается в Windows Server 2012 или 2012 R2. Управление учетными записями пользователей с помощью Azure Active Directory рекомендуется для управления удостоверениями. Сокращение числа учетных записей на локальном компьютере помогает предотвратить рост числа удостоверений, управляемых за пределами центральной системы. Компьютеры не соответствуют требованиям, если существуют локальные учетные записи пользователей, которые включены и не указаны в параметре политики. | AuditIfNotExists, отключено | 2.0.0 |
Дальнейшие шаги
- См. встроенные компоненты репозитория Политика Azure GitHub.
- Просмотрите структуру определения Политика Azure.
- Просмотрите эффекты определения Политика Azure.