Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к: ✔️ виртуальным машинам ✔️ Linux Windows гибкие масштабируемые наборы универсальных масштабируемых наборов ✔️ виртуальных машин ✔️
Эта страница представляет собой индекс Политика Azure встроенных определений политик для Виртуальные машины Azure. Дополнительные встроенные Политика Azure для других служб см. в разделе Политика Azure встроенные определения.
Имя каждого встроенного определения политики ссылается на определение политики на портале Azure. Используйте ссылку в столбце Version для просмотра источника в репозитории Политика Azure GitHub.
Microsoft. Вычисления
| Name (портал Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [предварительная версия]: на компьютерах должно быть включено управляемое удостоверение. | Ресурсы, управляемые automanage, должны иметь управляемое удостоверение. | Аудит, отключено | 1.0.0-preview |
| [Предварительная версия]: добавьте управляемое удостоверение, назначаемое пользователем, чтобы включить назначения гостевой конфигурации на виртуальных машинах | Эта политика добавляет управляемое удостоверение, назначаемое пользователем, на виртуальные машины, размещенные в Azure, поддерживаемых гостевой конфигурацией. Наличие управляемого удостоверения, назначаемого пользователем, является необходимым условием для всех назначений гостевой конфигурации. Удостоверение должно быть добавлено на компьютеры перед использованием каких-либо определений политики гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 2.1.0-preview |
| [предварительная версия]: назначение управляемого удостоверения Built-In User-Assigned Масштабируемые наборы виртуальных машин | Создайте и назначьте Масштабируемым наборам виртуальных машин встроенное управляемое удостоверение, назначаемое пользователем, или назначьте предварительно созданное управляемое удостоверение, назначаемое пользователем, в большом масштабе. Более подробную документацию см. по адресу aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 1.1.0-preview |
| [предварительная версия]: назначение управляемого удостоверения Built-In User-Assigned Виртуальные машины | Создайте и назначьте виртуальным машинам встроенное управляемое удостоверение, назначаемое пользователем, или назначьте предварительно созданное управляемое удостоверение, назначаемое пользователем, в большом масштабе. Более подробную документацию см. по адресу aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 1.1.0-preview |
| [предварительная версия]: аудит состояния безопасности SSH для Windows | Эта политика проверяет конфигурацию безопасности сервера SSH на Windows Server 2019, 2022 и 2025 компьютерах (Azure виртуальных машинах и компьютерах с поддержкой Arc). Дополнительные сведения, включая предварительные требования, параметры в области, значения по умолчанию и настройку, см. в разделе https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | AuditIfNotExists, отключено | 1.1.0-preview |
| [предварительная версия]: назначение профиля конфигурации автоуправляемого управления должно соответствовать требованиям | Ресурсы, управляемые automanage, должны иметь состояние "Соответствие" или "Соответствие". | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: Azure Backup следует включить для Управляемые диски | Обеспечьте защиту Управляемые диски, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных для Azure. | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: на виртуальных машинах должна быть включена диагностика загрузки | Azure виртуальные машины должны иметь включенные диагниостики загрузки. | Аудит, отключено | 1.0.0-preview |
| [Предварительная версия]. На виртуальной машине Linux должно быть установлено расширение "Отслеживание изменений" | Установите расширение ChangeTracking на виртуальных машинах Linux, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, отключено | 2.0.0-preview |
| [предварительная версия]: расширение ChangeTracking должно быть установлено на виртуальной машине Windows | Установите расширение ChangeTracking на Windows виртуальных машинах, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, отключено | 2.0.0-preview |
| [предварительная версия]: настройка Azure Defender агента SQL на виртуальной машине | Настройте компьютеры Windows для автоматической установки Azure Defender агента SQL, где установлен агент Azure Monitor. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Создает группу ресурсов и Log Analytics рабочую область в том же регионе, что и компьютер. Целевые виртуальные машины должны находиться в поддерживаемом расположении. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0-preview |
| [предварительная версия]: настройте резервное копирование для дисков Azure (Управляемые диски) с заданным тегом в существующем хранилище резервных копий в том же регионе | Принудительное резервное копирование для всех дисков Azure (Управляемые диски), содержащих заданный тег в центральном хранилище резервных копий. Дополнительные сведения см. на странице https://aka.ms/AB-DiskBackupAzPolicies. | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.0.0-preview |
| [предварительная версия]: настройка резервного копирования для дисков Azure (Управляемые диски) без заданного тега в существующем хранилище резервных копий в том же регионе | Принудительное резервное копирование для всех дисков Azure (Управляемые диски), которые не содержат заданный тег в центральном хранилище резервных копий. Дополнительные сведения см. на странице https://aka.ms/AB-DiskBackupAzPolicies. | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.0.0-preview |
| [предварительная версия]: настройка состояния безопасности SSH для Windows | Эта политика настраивает конфигурацию безопасности сервера SSH на Windows Server 2019, 2022 и 2025 компьютерах (Azure виртуальных машинах и компьютерах с поддержкой Arc). Дополнительные сведения, включая предварительные требования, параметры в области, значения по умолчанию и настройку, см. в разделе https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0-preview |
| [Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Linux для автоматической установки расширения аттестации гостей | Настройте поддерживаемые масштабируемые наборы виртуальных машин Linux для автоматической установки расширения гостевой аттестации, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | РазвернутьЕслиНеСуществует, Отключено | 6.1.0-preview |
| [Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматического включения безопасной загрузки | Настройка поддерживаемых виртуальных машинах Linux позволяет автоматически включать безопасную загрузку и предотвращать вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. | РазвернутьЕслиНеСуществует, Отключено | 5.0.0-preview |
| [Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматической установки расширения аттестации гостей | Настройте поддерживаемые виртуальные машины Linux для автоматической установки расширения гостевой аттестации, чтобы разрешить Центр безопасности Azure заранее тестировать и отслеживать целостность загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | РазвернутьЕслиНеСуществует, Отключено | 7.1.0-preview |
| [Предварительная версия]. Настройка поддерживаемых виртуальных машин для автоматического включения vTPM | Настройка поддерживаемых виртуальных машин для автоматического включения vTPM. Он будет использоваться для измеряемой загрузки и других функций безопасности ОС, которым необходим модуль TPM. После включения vTPM можно использовать для проверки целостности загрузки. | РазвернутьЕслиНеСуществует, Отключено | 2.0.0-preview |
| [предварительная версия]: настройте поддерживаемые масштабируемые наборы виртуальных машин Windows для автоматической установки расширения аттестации гостей | Настройте поддерживаемые Windows масштабируемые наборы виртуальных машин, чтобы автоматически установить расширение аттестации гостей, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | РазвернутьЕслиНеСуществует, Отключено | 4.1.0-preview |
| [предварительная версия]: настройте поддерживаемые Windows виртуальные машины для автоматического включения безопасной загрузки | Настройте поддерживаемые Windows виртуальные машины, чтобы включить безопасную загрузку для устранения вредоносных и несанкционированных изменений в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. | РазвернутьЕслиНеСуществует, Отключено | 3.0.0-preview |
| [предварительная версия]: настройте поддерживаемые Windows виртуальные машины для автоматической установки расширения аттестации гостей | Настройте поддерживаемые Windows виртуальные машины для автоматической установки расширения гостевой аттестации, чтобы позволить Центр безопасности Azure заранее тестировать и отслеживать целостность загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | РазвернутьЕслиНеСуществует, Отключено | 5.1.0-preview |
| [предварительная версия]: настройте управляемое удостоверение, назначаемое системой, чтобы включить назначения Azure Monitor на виртуальных машинах | Настройте управляемое удостоверение, назначаемое системой, для виртуальных машин, размещенных в Azure, которые поддерживаются Azure Monitor и не имеют управляемого удостоверения, назначаемого системой. Управляемое удостоверение, назначаемое системой, является обязательным условием для всех назначений Azure Monitor и должно быть добавлено на компьютеры перед использованием любого расширения Azure Monitor. Целевые виртуальные машины должны находиться в поддерживаемом расположении. | Изменить, Отключено | 6.2.0-preview |
| [предварительная версия]: настройте виртуальные машины, созданные с помощью образов Общая коллекция образов для установки расширения аттестации гостей | Настройте виртуальные машины, созданные с помощью образов Общая коллекция образов, чтобы автоматически установить расширение аттестации гостей, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | РазвернутьЕслиНеСуществует, Отключено | 2.0.0-preview |
| [предварительная версия]: настройка VMSS, созданной с помощью образов Общая коллекция образов для установки расширения аттестации гостей | Настройте VMSS, созданные с помощью образов Общая коллекция образов, чтобы автоматически установить расширение аттестации гостей, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | РазвернутьЕслиНеСуществует, Отключено | 2.1.0-preview |
| [предварительная версия]: настройте Windows Server для отключения локальных пользователей. | Создает назначение гостевой конфигурации для настройки отключения локальных пользователей на Windows Server. Это гарантирует, что Windows серверы могут получать доступ только с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | РазвернутьЕслиНеСуществует, Отключено | 1.3.0-preview |
| [предварительная версия]: развертывание агента Microsoft Defender для конечной точки на виртуальных машинах Linux | Развертывает агент Microsoft Defender для конечной точки на применимых образах виртуальных машин Linux. | Развернуть, если не существует, Проверить, если не существует, Отключено | 3.0.0-preview |
| [предварительная версия]: развертывание агента Microsoft Defender для конечной точки на виртуальных машинах Windows | Развертывает Microsoft Defender для конечной точки на применимых Windows образах виртуальных машин. | Развернуть, если не существует, Проверить, если не существует, Отключено | 2.0.1-preview |
| [предварительная версия]: включение назначаемого системой удостоверения виртуальной машины SQL | Включите назначаемое системой удостоверение в масштабе виртуальных машин SQL. Эту политику необходимо назначить на уровне подписки. Назначение на уровне группы ресурсов не будет работать должным образом. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0-preview |
| [Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей | Установите расширение аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Linux. | AuditIfNotExists, отключено | 6.0.0-preview |
| [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей | Установите расширение аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Linux. | AuditIfNotExists, отключено | 5.1.0-preview |
| [предварительная версия]: расширение аттестации гостей должно быть установлено на поддерживаемых виртуальных машинах Windows | Установите расширение аттестации гостей на поддерживаемых виртуальных машинах, чтобы разрешить Центр безопасности Azure упреждающее подтверждение и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным Windows виртуальным машинам. | AuditIfNotExists, отключено | 4.0.0-preview |
| [предварительная версия]: расширение аттестации гостей должно быть установлено в поддерживаемых масштабируемых наборах виртуальных машин Windows | Установите расширение аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы позволить Центр безопасности Azure заранее тестировать и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется к доверенным запускам и конфиденциальным Windows масштабируемым наборам виртуальных машин. | AuditIfNotExists, отключено | 3.1.0-preview |
| [предварительная версия]: компьютеры Linux должны соответствовать требованиям для базовых показателей безопасности Azure для узлов Docker | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютер настроен неправильно для одной из рекомендаций в базовой Azure безопасности для узлов Docker. | AuditIfNotExists, отключено | 1.2.0-preview |
| [предварительная версия]: компьютеры Linux должны соответствовать требованиям соответствия STIG для вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер не настроен правильно для одной из рекомендаций в соответствии с требованиями соответствия STIG для Azure вычислений. DISA (Агентство оборонных информационных систем) предоставляет технические руководства STIG (Руководство по технической реализации безопасности) для защиты вычислительной ОС в порядке, требуемом Министерством обороны (DoD). Дополнительные сведения: https://public.cyber.mil/stigs/. | AuditIfNotExists, отключено | 1.2.0-preview |
| [Предварительная версия]: компьютеры Linux с установленной OMI должны иметь версию 1.6.8-1 или более позднюю версию. | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. В связи с исправлением безопасности, включенным в версию 1.6.8-1 пакета OMI для Linux, все компьютеры должны быть обновлены до последней версии. Обновите приложения и пакеты, использующие OMI, для устранения проблемы. Дополнительные сведения см. в разделе https://aka.ms/omiguidance. | AuditIfNotExists, отключено | 1.2.0-preview |
| [предварительная версия]: виртуальные машины Linux должны использовать только подписанные и доверенные компоненты загрузки | Все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) должны быть подписаны доверенными издателями. Defender для облака определили ненадежные компоненты загрузки ОС на одном или нескольких компьютерах Linux. Чтобы защитить компьютеры от потенциально вредоносных компонентов, добавьте их в список разрешений или удалите обнаруженные компоненты. | AuditIfNotExists, отключено | 1.0.0-preview |
| [Предварительная версия]. Виртуальные машины Linux должны использовать безопасную загрузку | Для защиты от установки rootkit-программ и комплектов загрузки на основе вредоносного ПО и буткитов, включите безопасную загрузку на поддерживаемых виртуальных машинах Linux. Безопасная загрузка гарантирует, что будет разрешаться запуск только подписанных операционных систем и драйверов. Эта оценка применяется только к виртуальным машинам Linux с установленным агентом Azure Monitor. | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: рабочие нагрузки Linux должны соответствовать официальному тесту безопасности CIS | Эта политика предоставляет возможность настраивать и развертывать тесты безопасности CIS для аудита в рабочих нагрузках Linux в Azure, локальных и гибридных средах. Содержимое тестов безопасности CIS в паритете с тестами, опубликованными на сайте https://cisecurity.org. Политика работает с помощью azure-osconfig. Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 2.0.0-preview |
| [Предварительная версия]. На компьютерах должны быть закрыты порты, которые могут раскрывать векторы атаки | Условия использования Azure запрещают использование служб Azure способами, которые могут повредить, отключить, перезагрузить или овредить любой сервер Microsoft или сеть. Для обеспечения безопасности открытые порты, выявленные этой рекомендацией, необходимо закрыть. Для каждого обнаруженного порта в рекомендации также содержится пояснение потенциальной угрозы. | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: Управляемые диски должен быть устойчивым к зонам | Управляемые диски можно настроить для выравнивания между зонами, избыточности между зонами или ни для одного из этих компонентов. Управляемые диски с точно одной назначением зоны выравниваются по зонам. Управляемые диски с именем SKU, заканчивающимся ZRS, являются избыточными по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости для Управляемые диски. | Аудит, отказ в доступе, отключено | 1.0.0-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует агент зависимостей Microsoft для сбора данных сетевого трафика с Azure виртуальных машин для включения расширенных функций защиты сети, таких как визуализация трафика на сетевой карте, рекомендации по защите сети и конкретные сетевые угрозы. | AuditIfNotExists, отключено | 1.0.2-preview |
| [предварительная версия]: агент сбора данных сетевого трафика должен быть установлен на виртуальных машинах Windows | Центр безопасности использует агент зависимостей Microsoft для сбора данных сетевого трафика с Azure виртуальных машин для включения расширенных функций защиты сети, таких как визуализация трафика на сетевой карте, рекомендации по защите сети и конкретные сетевые угрозы. | AuditIfNotExists, отключено | 1.0.2-preview |
| [предварительная версия]: официальные тесты безопасности CIS для Windows Server | Эта политика предоставляет возможность настраивать и развертывать тесты безопасности CIS для аудита в Windows Server в Azure локальных и гибридных средах. Содержимое тестов безопасности CIS в паритете с тестами, опубликованными на сайте https://cisecurity.org. Требует, чтобы необходимые компоненты развертывались в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: безопасная загрузка должна быть включена на поддерживаемых виртуальных машинах Windows | Включите безопасную загрузку на поддерживаемых Windows виртуальных машинах, чтобы устранить вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. Эта оценка относится к доверенным запускам и конфиденциальным Windows виртуальным машинам. | Аудит, отключено | 4.0.0-preview |
| [предварительная версия]: Масштабируемые наборы виртуальных машин должен быть устойчивым к зонам | Масштабируемые наборы виртуальных машин можно настроить для выравнивания между зонами, избыточности между зонами или ни для одного из этих компонентов. Масштабируемые наборы виртуальных машин, которые имеют ровно одну запись в массиве зон, считаются выровненными по зонам. В отличие от этого, Масштабируемые наборы виртуальных машин с 3 или более записями в массиве зон и емкостью не менее 3 распознаются как избыточное по зонам. Эта политика помогает выявлять и применять эти конфигурации устойчивости. | Аудит, отказ в доступе, отключено | 1.0.0-preview |
| [предварительная версия]: Масштабируемые наборы виртуальных машин с более чем 2 зонами доступности должны иметь автоматическую перебалансирование AZ | Эта политика обеспечивает автоматическую перебалансирование AZ для Масштабируемые наборы виртуальных машин, которые в противном случае являются устойчивыми к зоне. Автоматическое перебалансирование зон помогает обеспечить равномерное распределение Масштабируемые наборы виртуальных машин между зонами в регионе. | Изменить, Отключено | 1.0.0-preview |
| [Предварительная версия]. Аттестация гостя виртуальных машин должна находиться в работоспособном состоянии | Аттестация гостя выполняется путем отправки доверенного журнала (TCGLog) на сервер аттестации. Сервер использует эти журналы для определения надежности компонентов загрузки. Эта оценка предназначена для выявления компромиссов в цепочке загрузки, которая может быть результатом заражения буткитом или руткитом. Эта оценка применяется только к надежным виртуальным машинам с включенным запуском, на которых установлено расширение аттестации гостя. | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: Виртуальные машины должно быть выровнено по зонам | Виртуальные машины можно настроить для выравнивания зоны или нет. Они считаются выровненными зонами, если у них есть только одна запись в массиве зон. Эта политика гарантирует, что они настроены для работы в пределах одной зоны доступности. | Аудит, отказ в доступе, отключено | 1.0.0-preview |
| [Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM | Включение виртуального устройства TPM на поддерживаемых виртуальных машинах, чтобы упростить измеряемую загрузку и реализацию других функций безопасности ОС, для которых требуется доверенный платформенный модуль. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском. | Аудит, отключено | 2.0.0-preview |
| [предварительная версия]: Windows компьютеры должны соответствовать требованиям соответствия STIG для вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер настроен неправильно для одной из рекомендаций в требованиях к соответствию STIG для Azure вычислений. DISA (Агентство оборонных информационных систем) предоставляет технические руководства STIG (Руководство по технической реализации безопасности) для защиты вычислительной ОС в порядке, требуемом Министерством обороны (DoD). Дополнительные сведения: https://public.cyber.mil/stigs/. | AuditIfNotExists, отключено | 1.0.0-preview |
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. стандартная ценовая категория Центр безопасности Azure включает сканирование уязвимостей для виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, отключено | 3.0.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет управляемое удостоверение, назначаемое системой, к виртуальным машинам, размещенным в Azure, которые поддерживаются гостевой конфигурацией, но не имеют управляемых удостоверений. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет управляемое удостоверение, назначаемое системой, на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по крайней мере одно удостоверение, назначаемое пользователем, но не имеет управляемого удостоверения, назначаемого системой. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Добавляет тег к виртуальным машинам сетевых виртуальных устройств и виртуальным машинам VMSS для поддержки MANA | Применяет тег для развертываний NVA Marketplace, если NVA использует существующие размеры виртуальных машин. Дополнительные сведения см. в статье https://aka.ms/manasupportforexistingvmfamilynva. | Изменить, Отключено | 1.0.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил некоторые из правил входящего трафика групп безопасности сети, чтобы быть слишком миссивными. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, отключено | 3.0.0 |
| Разрешенные номера SKU размеров виртуальных машин | Эта политика позволяет задать набор номеров SKU размеров виртуальных машин, которые может развертывать ваша организация. | Deny | 1.0.1 |
| Назначение назначенного системой удостоверения sql Виртуальные машины | Назначьте назначенное системой удостоверение в масштабе для Windows виртуальных машин SQL. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, отключено | 3.1.0 |
| Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists, отключено | 3.1.0 |
| Аудит компьютеров Linux без заданных установленных приложений | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если ресурс Chef InSpec указывает, что не установлен один или несколько указанных в параметре пакетов. | AuditIfNotExists, отключено | 4.2.0 |
| Аудит компьютеров Linux с учетными записями без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. | AuditIfNotExists, отключено | 3.1.0 |
| Аудит компьютеров Linux с заданными установленными приложениями | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если ресурс Chef InSpec указывает, что установлен один или несколько указанных в параметре пакетов. | AuditIfNotExists, отключено | 4.2.0 |
| Аудит состояния безопасности SSH для Linux (на базе OSConfig) | Эта политика проверяет конфигурацию безопасности сервера SSH на компьютерах Linux (Azure виртуальных машинах и компьютерах с поддержкой Arc). Дополнительные сведения о предварительных требованиях, параметрах области, значениях по умолчанию и настройке см. в разделе . https://aka.ms/SshPostureControlOverview | AuditIfNotExists, отключено | 1.0.1 |
| Аудит виртуальных машин без аварийного восстановления | Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Аудит виртуальных машин, которые не используют управляемые диски | Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. | audit | 1.0.0 |
| Audit Windows компьютеры, отсутствующие ни одного из указанных участников в группе "Администраторы | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если в локальной группе администраторов отсутствует один или несколько участников, указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Audit Windows сетевые подключения | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если сетевое подключение по некоторому IP-адресу и порту TCP не соответствует параметру политики. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры, на которых конфигурация DSC не соответствует требованиям | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если команда PowerShell Get-DSCConfigurationStatus Windows возвращает, что конфигурация DSC для компьютера не соответствует требованиям. | auditIfNotExists | 3.0.0 |
| Audit Windows компьютеры, на которых агент Log Analytics не подключен должным образом | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если на них не установлен агент либо агент установлен, но COM-объект AgentConfigManager.MgmtSvcCfg сообщает, что этот агент зарегистрирован в рабочей области с идентификатором, отличным от указанного в параметре политики. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры, на которых не установлены указанные службы, и "Выполнение" | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если результат команды PowerShell Windows Get-Service не включает имя службы с соответствующим состоянием, указанным параметром политики. | auditIfNotExists | 3.0.0 |
| Audit Windows компьютеры, на которых Windows последовательная консоль не включена | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если на них не установлено программное обеспечение последовательной консоли или номер и скорость порта EMS имеют не те значения, которые указаны в параметрах политики. | auditIfNotExists | 3.0.0 |
| Audit Windows компьютеры, которые позволяют повторно использовать пароли после указанного числа уникальных паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютерах, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 | AuditIfNotExists, отключено | 2.1.0 |
| Audit Windows компьютеры, которые не присоединены к указанному домену | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если значение свойства Domain в классе WMI win32_computersystem не совпадает с тем, которое указано в параметре политики. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры, которые не заданы в указанном часовом поясе | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если значение свойства StandardName в классе WMI Win32_TimeZone не совпадает с выбранным часовым поясом в параметре политики. | auditIfNotExists | 4.0.0 |
| Audit Windows компьютеры, содержащие сертификаты, истекшие в течение указанного числа дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если срок действия сертификатов в указанном хранилище не входит в диапазон числа дней, заданных в качестве параметра. Также эта политика позволяет проверять только конкретные сертификаты или исключать из проверки конкретные сертификаты, а также сообщать о сертификатах с истекшим сроком действия. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры, не содержащие указанные сертификаты в доверенном корневом каталоге | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если хранилище доверенных корневых сертификатов (CERT:\LocalMachine\Root) на них не содержит один или несколько сертификатов, указанных в параметре политики. | auditIfNotExists | 3.0.0 |
| Audit Windows компьютеры, не имеющие максимального срока действия пароля | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютерах, не имеющих максимального возраста пароля, заданного для указанного количества дней. Значение по умолчанию для максимального срока действия пароля — 70 дней | AuditIfNotExists, отключено | 2.1.0 |
| Audit Windows компьютерах, не имеющих минимального возраста пароля | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютерах, которые не имеют минимального возраста пароля, заданного для указанного количества дней. Значение по умолчанию для минимального возраста пароля — 1 день | AuditIfNotExists, отключено | 2.1.0 |
| Audit Windows компьютеры с включенным параметром сложности паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютеры, у которых нет параметра сложности паролей | AuditIfNotExists, отключено | 2.0.0 |
| Audit Windows компьютеры, не имеющие указанной политики выполнения Windows PowerShell | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если команда PowerShell Windows Get-ExecutionPolicy возвращает значение, отличное от того, что было выбрано в параметре политики. | AuditIfNotExists, отключено | 3.0.0 |
| Audit Windows компьютерах, не имеющих указанных модулей PowerShell Windows | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если модуль недоступен в расположении, указанном в переменной среды PSModulePath. | AuditIfNotExists, отключено | 3.0.0 |
| Audit Windows компьютеры, которые не ограничивают минимальную длину пароля указанным числом символов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютерах, которые не ограничивают минимальную длину пароля указанным числом символов. Значение по умолчанию для минимальной длины пароля — 14 символов | AuditIfNotExists, отключено | 2.1.0 |
| Audit Windows компьютеры, которые не хранят пароли с помощью обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows компьютеры, которые не хранят пароли с помощью обратимого шифрования | AuditIfNotExists, отключено | 2.0.0 |
| Audit Windows компьютеры, не имеющие указанных приложений | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если имя приложения не найдено ни в одном из следующих путей реестра: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютерах с дополнительными учетными записями в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит участников, не указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры, которые не перезагрузились в течение указанного числа дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если свойство WMI LastBootUpTime в классе Win32_Operatingsystem выходит за пределы диапазона дней, указанного в параметре политики. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры с установленными указанными приложениями | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если имя приложения найдено в любом из следующих путей реестра: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows компьютеры с указанными участниками в группе "Администраторы | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит одного или нескольких участников, указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Audit Windows виртуальные машины с ожидающей перезагрузкой | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер ожидает перезагрузки по каким-либо из следующих причин: обслуживание на основе компонентов, клиентский компонент Центра обновления Windows, ожидающее переименование файла, ожидающее переименование компьютера, ожидающее перезагрузка configuration manager. Каждое обнаружение имеет уникальный путь реестра. | auditIfNotExists | 2.0.0 |
| При аутентификации на компьютерах Linux должны использоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Самый безопасный вариант проверки подлинности на виртуальной машине Linux Azure по протоколу SSH — с парой открытого закрытого ключа, также известной как ключи SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, отключено | 3.2.0 |
| Azure Backup следует включить для Виртуальные машины | Обеспечьте защиту Виртуальные машины Azure, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных для Azure. | AuditIfNotExists, отключено | 3.0.0 |
| Расширение ChangeTracking должно быть установлено на масштабируемых наборах виртуальных машин Linux | Установите расширение ChangeTracking в масштабируемых наборах виртуальных машин Linux, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, отключено | 2.0.1 |
| расширение ChangeTracking должно быть установлено в масштабируемых наборах виртуальных машин Windows | Установите расширение ChangeTracking на Windows масштабируемых наборов виртуальных машин, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, отключено | 2.0.1 |
| Экземпляры ролей облачных служб (расширенная поддержка) должны быть надежно настроены | Защитите экземпляры ролей облачных служб (расширенная поддержка) от атак, убедившись, что они не подвержены уязвимостям в ОС. | AuditIfNotExists, отключено | 1.0.0 |
| Для экземпляров ролей облачных служб (расширенная поддержка) должны быть установлены обновления системы | Защитите экземпляры ролей облачных служб (расширенная поддержка), установив для них последние обновления безопасности и важные обновления. | AuditIfNotExists, отключено | 1.0.0 |
| Configure Azure Defender для серверов, отключаемых для всех ресурсов (уровня ресурсов) | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. Эта политика отключит план Defender для серверов для всех ресурсов (виртуальных машин, виртуальных машин и компьютеров ARC) в выбранной области (подписке или группе ресурсов). | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Configure Azure Defender для серверов, отключаемых для ресурсов (уровня ресурсов) с выбранным тегом | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. Эта политика отключит план Defender для серверов для всех ресурсов (виртуальных машин, VMSSs и КОМПЬЮТЕРОВ ARC), имеющих выбранное имя тега и значения тега. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Configure Azure Defender, чтобы серверы были включены (подплан "P1" для всех ресурсов (уровня ресурсов) с выбранным тегом | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. Эта политика позволит включить план Defender для серверов (с подпланом P1) для всех ресурсов (виртуальных машин и компьютеров ARC), имеющих выбранное имя тега и значения тега. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Configure Azure Defender для серверов, которые должны быть включены (с подпланом P1) для всех ресурсов (уровня ресурсов) | Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. Эта политика позволит включить план Defender для серверов (с подпланом P1) для всех ресурсов (виртуальных машин и компьютеров ARC) в выбранной области (подписке или группе ресурсов). | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка резервного копирования виртуальных машин с указанным тегом в новое хранилище Служб восстановления с политикой по умолчанию | Принудительно выполните резервное копирование всех виртуальных машин, развернув хранилище Служб восстановления в том же расположении и группе ресурсов, где находится виртуальная машина. Это полезно, когда различным отделам по работе с приложениями в организации назначаются отдельные группы ресурсов и требуется управлять собственными операциями резервного копирования и восстановления. При необходимости можно включить виртуальные машины, содержащие указанный тег, для управления областью назначения. См. раздел https://aka.ms/AzureVMAppCentricBackupIncludeTag. | аудитуЕслиНеСуществует, АудитЕслиНеСуществует, развертываниюЕслиНеСуществует, РазвертываниеЕслиНеСуществует, отключено, Отключено | 9.5.0 |
| Настройка резервного копирования виртуальных машин с указанным тегом в существующее хранилище Служб восстановления в том же расположении | Принудительно выполните резервное копирование всех виртуальных машин, создав их резервную копию в существующем центральном хранилище Служб восстановления в том же расположении и подписке, где находится виртуальная машина. Это полезно, если в организации есть центральная рабочая группа, управляющая резервными копиями всех ресурсов в подписке. При необходимости можно включить виртуальные машины, содержащие указанный тег, для управления областью назначения. См. раздел https://aka.ms/AzureVMCentralBackupIncludeTag. | аудитуЕслиНеСуществует, АудитЕслиНеСуществует, развертываниюЕслиНеСуществует, РазвертываниеЕслиНеСуществует, отключено, Отключено | 9.5.0 |
| Настройка резервного копирования виртуальных машин без указанного тега в новое хранилище Служб восстановления с политикой по умолчанию | Принудительно выполните резервное копирование всех виртуальных машин, развернув хранилище Служб восстановления в том же расположении и группе ресурсов, где находится виртуальная машина. Это полезно, когда различным отделам по работе с приложениями в организации назначаются отдельные группы ресурсов и требуется управлять собственными операциями резервного копирования и восстановления. При необходимости можно исключить виртуальные машины, содержащие указанный тег, из управления областью назначения. См. раздел https://aka.ms/AzureVMAppCentricBackupExcludeTag. | аудитуЕслиНеСуществует, АудитЕслиНеСуществует, развертываниюЕслиНеСуществует, РазвертываниеЕслиНеСуществует, отключено, Отключено | 9.5.0 |
| Настройка процедуры резервное копирование на виртуальных машинах без заданного тега в существующее хранилище служб восстановления в том же месте | Принудительно выполните резервное копирование всех виртуальных машин, создав их резервную копию в существующем центральном хранилище Служб восстановления в том же расположении и подписке, где находится виртуальная машина. Это полезно, если в организации есть центральная рабочая группа, управляющая резервными копиями всех ресурсов в подписке. При необходимости можно исключить виртуальные машины, содержащие указанный тег, из управления областью назначения. См. раздел https://aka.ms/AzureVMCentralBackupExcludeTag. | аудитуЕслиНеСуществует, АудитЕслиНеСуществует, развертываниюЕслиНеСуществует, РазвертываниеЕслиНеСуществует, отключено, Отключено | 9.5.0 |
| Настройка расширения ChangeTracking для масштабируемых наборов виртуальных машин Linux | Настройте масштабируемые наборы виртуальных машин Linux для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом Azure Monitor. | РазвернутьЕслиНеСуществует, Отключено | 2.1.0 |
| Настройка расширения ChangeTracking для виртуальных машин Linux | Настройте виртуальные машины Linux для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом Azure Monitor. | РазвернутьЕслиНеСуществует, Отключено | 2.2.0 |
| Настройка расширения ChangeTracking для масштабируемых наборов Windows виртуальных машин | Настройте масштабируемые наборы Windows виртуальных машин для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом Azure Monitor. | РазвернутьЕслиНеСуществует, Отключено | 2.1.0 |
| Настройка расширения ChangeTracking для виртуальных машин Windows | Настройте Windows виртуальные машины для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом Azure Monitor. | РазвернутьЕслиНеСуществует, Отключено | 2.2.0 |
| Настройка аварийного восстановления на виртуальных машинах путем включения репликации с помощью Azure Site Recovery | Виртуальные машины без конфигураций аварийного восстановления уязвимы к сбоям и другим прерываниям работы. Если на виртуальной машине еще не настроено аварийное восстановление, оно будет инициировано путем включения репликации с использованием заданных конфигураций для обеспечения непрерывности бизнес-процессов. При необходимости можно включить или исключить виртуальные машины, содержащие указанный тег, для управления областью назначения. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | РазвернутьЕслиНеСуществует, Отключено | 2.1.1 |
| Настройте ресурсы доступа к диску с помощью частных конечных точек | Частные конечные точки подключают виртуальные сети к Azure службам без общедоступного IP-адреса в источнике или назначении. Сопоставляя частные конечные точки с ресурсами доступа к диску, вы можете добиться снижения риска утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Настройка компьютеров Linux для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать виртуальные машины Linux, масштабируемые наборы виртуальных машин и компьютеры Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 6.8.0 |
| Настройте Linux Server для отключения локальных пользователей. | Создает назначение гостевой конфигурации для настройки отключения локальных пользователей на сервере Linux Server. Это гарантирует, что серверы Linux могут получать доступ только с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | РазвернутьЕслиНеСуществует, Отключено | 1.4.0-preview |
| Configure Linux Масштабируемые наборы виртуальных машин для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать масштабируемые наборы виртуальных машин Linux с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 4.7.0 |
| Настройка масштабируемых наборов виртуальных машин Linux для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения | Автоматизация развертывания расширения агента Azure Monitor в масштабируемых наборах виртуальных машин Linux для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 3.10.0 |
| Настройка масштабируемых наборов виртуальных машин Linux для запуска агента Azure Monitor с проверкой подлинности на основе управляемых удостоверений | Автоматизация развертывания расширения агента Azure Monitor в масштабируемых наборах виртуальных машин Linux для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 3.11.0 |
| Configure Linux Виртуальные машины для связи с правилом сбора данных для ChangeTracking и инвентаризации | Разверните связь, чтобы связать виртуальные машины Linux с указанным правилом сбора данных, чтобы включить ChangeTracking и инвентаризацию. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| Configure Linux Виртуальные машины для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь, чтобы связать виртуальные машины Linux с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 4.7.0 |
| Настройка виртуальных машин Linux для запуска агента Azure Monitor с проверкой подлинности на основе управляемого удостоверения, назначаемой системой | Автоматизация развертывания расширения агента Azure Monitor на виртуальных машинах Linux для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 3.10.0 |
| Configure Linux для запуска агента Azure Monitor с проверкой подлинности на основе управляемых удостоверений, назначаемой пользователем | Автоматизация развертывания расширения агента Azure Monitor на виртуальных машинах Linux для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 3.14.0 |
| Настройка виртуальных машин Linux для установки AMA для ChangeTracking и инвентаризации с управляемым удостоверением, назначенным пользователем | Автоматизация развертывания расширения агента Azure Monitor на виртуальных машинах Linux для включения ChangeTracking и инвентаризации. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 1.7.0 |
| Настройка VMSS Linux для связи с правилом сбора данных для ChangeTracking и инвентаризации | Разверните связь, чтобы связать масштабируемые наборы виртуальных машин Linux с указанным правилом сбора данных, чтобы включить ChangeTracking и инвентаризацию. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка VMSS Linux для установки AMA для ChangeTracking и инвентаризации с управляемым удостоверением, назначаемого пользователем | Автоматизация развертывания расширения агента Azure Monitor на масштабируемых наборах виртуальных машин Linux для включения ChangeTracking и инвентаризации. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 1.5.0 |
| Настройка компьютеров для получения поставщика оценки уязвимостей | Azure Defender включает сканирование уязвимостей для компьютеров без дополнительных затрат. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Центре безопасности. При включении этой политики Azure Defender автоматически развертывает поставщик оценки уязвимостей Qualys на всех поддерживаемых компьютерах, которые еще не установлены. | РазвернутьЕслиНеСуществует, Отключено | 4.0.0 |
| Настройка политики доступа к сети управляемого диска для запрета всех | Эта политика применяется исключительно к продуктам и службам Миссии. использование вне этих областей не поддерживается. Политика вычислений применяет, что Управляемые диски нельзя экспортировать. | Изменить, Отключено | 1.0.0 |
| Настройте управляемые диски для отключения доступа к общедоступной сети | Отключите доступ к общедоступной сети для управляемого дискового ресурса, чтобы он не был доступен через общедоступную сеть Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/disksprivatelinksdoc. | Изменить, Отключено | 2.0.0 |
| Настройка периодической проверки отсутствия обновлений системы на виртуальных машинах Azure | Настройте автоматическую оценку (каждые 24 часа) для обновлений ОС на собственных Azure виртуальных машинах. Вы можете управлять областью назначения в соответствии с подпиской, группой ресурсов, расположением или тегом виртуальной машины. Дополнительные сведения об этом для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.10.0 |
| Configure secure communication protocols(TLS 1.1 или TLS 1.2) на компьютерах Windows | Создает назначение гостевой конфигурации для настройки указанной защищенной версии протокола (TLS 1.1 или TLS 1.2) на компьютере Windows. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка политики доступа к сети моментальных снимков для запрета всех | Эта политика применяется исключительно к продуктам и службам Миссии. использование вне этих областей не поддерживается. Политика вычислений запрещает экспорт моментальных снимков из среды. | Изменить, Отключено | 1.0.0 |
| Configure SQL Виртуальные машины для автоматической установки агента Azure Monitor | Автоматизация развертывания расширения агента Azure Monitor в Windows SQL Виртуальные машины. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 1.6.0 |
| Configure SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL | Настройте Windows SQL Виртуальные машины для автоматической установки Microsoft Defender расширения SQL. Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). | РазвернутьЕслиНеСуществует, Отключено | 1.6.0 |
| Configure SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL и DCR с рабочей областью Log Analytics | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов, правило сбора данных и Log Analytics рабочую область в том же регионе, что и компьютер. | РазвернутьЕслиНеСуществует, Отключено | 1.9.0 |
| Configure SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL и DCR с определяемой пользователем рабочей областью LA | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. | РазвернутьЕслиНеСуществует, Отключено | 1.10.0 |
| Configure SQL Виртуальные машины для автоматической установки Microsoft Defender расширения SQL | Настройте Windows SQL Виртуальные машины для автоматической установки Microsoft Defender расширения SQL. Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Настройка состояния безопасности SSH для Linux (на базе OSConfig) | Эта политика проверяет и настраивает конфигурацию безопасности сервера SSH на компьютерах Linux (Azure виртуальных машинах и компьютерах с поддержкой Arc). Дополнительные сведения о предварительных требованиях, параметрах области, значениях по умолчанию и настройке см. в разделе . https://aka.ms/SshPostureControlOverview | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| часовой пояс Configure на Windows machines. | Эта политика создает назначение гостевой конфигурации, чтобы задать указанный часовой пояс на Windows виртуальных машинах. | deployIfNotExists | 3.1.0 |
| Набор виртуальных машин, которые необходимо подключить к Автоматическое управление Azure | Автоматическое управление Azure регистрирует, настраивает и отслеживает виртуальные машины с рекомендациями, как определено в Microsoft Cloud Adoption Framework для Azure. Используйте эту политику для применения автоматического управления в выбранной области. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 2.4.0 |
| Настройка виртуальных машин для подключения к Автоматическое управление Azure с пользовательским профилем конфигурации | Автоматическое управление Azure регистрирует, настраивает и отслеживает виртуальные машины с рекомендациями, как определено в Microsoft Cloud Adoption Framework для Azure. Используйте эту политику для применения Автоматического управления с собственным настраиваемым профилем конфигурации к выбранной области. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 1.4.0 |
| Configure Windows компьютеры, связанные с правилом сбора данных или конечной точкой сбора данных | Развертывание ассоциации для связывания Windows виртуальных машин, масштабируемых наборов виртуальных машин и компьютеров Arc с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 4.8.0 |
| Configure Windows Масштабируемые наборы виртуальных машин для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь для связывания Windows масштабируемых наборов виртуальных машин с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 3.7.0 |
| Configure Windows масштабируемые наборы виртуальных машин для запуска агента Azure Monitor с помощью управляемого удостоверения | Автоматизация развертывания расширения агента Azure Monitor в масштабируемых наборах виртуальных машин Windows для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 3.7.0 |
| Configure Windows масштабируемые наборы виртуальных машин для запуска агента Azure Monitor с проверкой подлинности на основе управляемых удостоверений | Автоматизация развертывания расширения агента Azure Monitor в масштабируемых наборах виртуальных машин Windows для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 1.9.0 |
| Настройка Виртуальные машины Windows, связанная с правилом сбора данных для ChangeTracking и инвентаризации | Развертывание ассоциации для связывания Windows виртуальных машин с указанным правилом сбора данных для включения ChangeTracking и инвентаризации. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 1.3.0 |
| Configure Виртуальные машины Windows для связи с правилом сбора данных или конечной точкой сбора данных | Разверните связь для связывания Windows виртуальных машин с указанным правилом сбора данных или указанной конечной точкой сбора данных. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 3.6.0 |
| Configure Windows виртуальные машины для запуска агента Azure Monitor с помощью управляемого удостоверения, назначаемого системой | Автоматизация развертывания расширения агента Azure Monitor на Windows виртуальных машинах для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение, если ОС и регион поддерживаются и управляемое удостоверение, назначаемое системой, включено. В противном случае установка будет пропущена. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 4.7.0 |
| Configure Windows виртуальные машины для запуска агента Azure Monitor с проверкой подлинности на основе управляемых удостоверений, назначаемой пользователем | Автоматизация развертывания расширения агента Azure Monitor на Windows виртуальных машинах для сбора данных телеметрии из гостевой ОС. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 1.9.0 |
| Configure Windows виртуальные машины для установки AMA для ChangeTracking и инвентаризации с управляемым удостоверением | Автоматизация развертывания расширения агента Azure Monitor на Windows виртуальных машинах для включения ChangeTracking и инвентаризации. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 1.4.0 |
| Configure Windows VMSS для связи с правилом сбора данных для ChangeTracking и инвентаризации | Развертывание ассоциации для связывания Windows масштабируемых наборов виртуальных машин с указанным правилом сбора данных для включения ChangeTracking и инвентаризации. Список расположений и образов ОС обновляется со временем по мере расширения поддержки. | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| Configure Windows VMSS для установки AMA для ChangeTracking и инвентаризации с управляемым удостоверением | Автоматизация развертывания расширения агента Azure Monitor в масштабируемых наборах виртуальных машин Windows для включения ChangeTracking и инвентаризации. Эта политика установит расширение и настроит его так, чтобы использовать указанное управляемое удостоверение, назначаемое пользователем, если поддерживается соответствующая ОС и регион; в противном случае следует пропустить установку. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | РазвернутьЕслиНеСуществует, Отключено | 1.3.0 |
| Создание и назначение встроенного управляемого удостоверения, назначаемого пользователем | Создайте и назначьте встроенное управляемое удостоверение, назначаемое пользователем, в масштабе виртуальных машин SQL. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 1.8.0 |
| Dependency Agent должен быть включен для перечисленных образов виртуальных машин | Сообщает о том, что виртуальные машины не соответствуют требованиям, если образ виртуальной машины находится в списке, и агент не установлен. Список образов ОС обновляется по мере расширения поддержки. | AuditIfNotExists, отключено | 2.1.0 |
| Dependency Agent должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Сообщает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины находится в списке, и агент не установлен. Список образов ОС обновляется по мере расширения поддержки. | AuditIfNotExists, отключено | 2.1.0 |
| Deploy — настройка агента зависимостей для включения в масштабируемых наборах виртуальных машин Windows | Разверните агент зависимостей для Windows масштабируемых наборов виртуальных машин, если образ виртуальной машины находится в списке, и агент не установлен. Если для параметра upgradePolicy масштабируемого набора установлено значение "Вручную", необходимо применить расширение ко всем виртуальным машинам в наборе, обновив их. | РазвернутьЕслиНеСуществует, Отключено | 3.3.0 |
| Deploy — настройка агента зависимостей для включения на виртуальных машинах Windows | Разверните агент зависимостей для Windows виртуальных машин, если образ виртуальной машины находится в списке, и агент не установлен. | РазвернутьЕслиНеСуществует, Отключено | 3.3.0 |
| Deploy по умолчанию Microsoft расширение IaaSAntimalware для Windows Server | Эта политика развертывает расширение IaaSAntimalware Microsoft с конфигурацией по умолчанию, если виртуальная машина не настроена с расширением защиты от вредоносных программ. | deployIfNotExists | 1.1.0 |
| Развертывание Dependency Agent для масштабируемых наборов виртуальных машин Linux | Развертывание Dependency Agent для Масштабируемых наборов виртуальных машин Linux, если образ виртуальной машины (ОС) есть в заданном списке и агент не установлен. Примечание. Если параметру upgradePolicy масштабируемого набора присвоено значение Manual, необходимо применить расширение для всех виртуальных машин в наборе, вызвав их обновление. В интерфейсе командной строки для этого потребовалось бы ввести команду az vmss update-instances. | deployIfNotExists | 5.1.0 |
| Deploy Dependency Agent для масштабируемых наборов виртуальных машин Linux с параметрами агента мониторинга Azure | Развертывание агента зависимостей для масштабируемых наборов виртуальных машин Linux с параметрами агента мониторинга Azure, если образ виртуальной машины (ОС) находится в списке, и агент не установлен. Примечание. Если параметру upgradePolicy масштабируемого набора присвоено значение Manual, необходимо применить расширение для всех виртуальных машин в наборе, вызвав их обновление. В интерфейсе командной строки для этого потребовалось бы ввести команду az vmss update-instances. | РазвернутьЕслиНеСуществует, Отключено | 3.2.0 |
| Развертывание Dependency Agent для виртуальных машин Linux | Разверните Dependency Agent для виртуальных машин Linux, если образ виртуальной машины (ОС) находится в заданном списке, а агент не установлен. | deployIfNotExists | 5.1.0 |
| Deploy Dependency Agent для виртуальных машин Linux с параметрами агента мониторинга Azure | Развертывание агента зависимостей для виртуальных машин Linux с параметрами агента мониторинга Azure, если образ виртуальной машины (ОС) находится в списке, и агент не установлен. | РазвернутьЕслиНеСуществует, Отключено | 3.2.0 |
| Deploy Dependency Agent для включения в масштабируемых наборах виртуальных машин Windows с параметрами агента мониторинга Azure | Развертывание агента зависимостей для масштабируемых наборов виртуальных машин Windows с параметрами агента мониторинга Azure, если образ виртуальной машины находится в списке, и агент не установлен. Если для параметра upgradePolicy масштабируемого набора установлено значение "Вручную", необходимо применить расширение ко всем виртуальным машинам в наборе, обновив их. | РазвернутьЕслиНеСуществует, Отключено | 1.4.0 |
| Deploy Dependency Agent, который должен быть включен на Windows виртуальных машинах с параметрами агента мониторинга Azure | Разверните агент зависимостей для виртуальных машин Windows с параметрами агента мониторинга Azure, если образ виртуальной машины находится в списке, а агент не установлен. | РазвернутьЕслиНеСуществует, Отключено | 1.4.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальных машинах Linux, размещенных в Azure, поддерживаемых гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 3.2.0 |
| Deploy расширение Windows гостевой конфигурации для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows для Windows виртуальных машин, размещенных в Azure, поддерживаемых гостевой конфигурацией. Расширение гостевой конфигурации Windows является обязательным условием для всех назначений гостевой конфигурации Windows и должно быть развернуто на компьютерах перед использованием определения политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.3.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, отключено | 1.0.0 |
| Диски и образ ОС должны поддерживать TrustedLaunch | TrustedLaunch повышает безопасность виртуальной машины, требующей поддержки диска ОС и образа ОС (2-го поколения). Дополнительные сведения о ДоверенномLaunch см. на сайте https://aka.ms/trustedlaunch | Аудит, отключено | 1.0.0 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки политики в гостевом режиме будут доступны, например "Windows Эксплойт-охранник должен быть включен". Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.3 |
| Hotpatch следует включить для виртуальных машин Windows Server Azure Edition | Сократите число перезагрузок и быстро устанавливайте обновления с помощью горячих исправлений. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/automanage/automanage-hotpatch. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, отключено | 3.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, отключено | 3.0.0 |
| Linux-компьютеры должны соответствовать требованиям для базовых показателей безопасности вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер настроен неправильно для одной из рекомендаций в базовой Azure вычислительной безопасности. | AuditIfNotExists, отключено | 2.3.1 |
| На компьютерах Linux должны быть разрешены только локальные учетные записи | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Управление учетными записями пользователей с помощью Azure Active Directory рекомендуется для управления удостоверениями. Сокращение числа учетных записей на локальном компьютере помогает предотвратить рост числа удостоверений, управляемых за пределами центральной системы. Компьютеры не соответствуют требованиям, если существуют локальные учетные записи пользователей, которые включены и не указаны в параметре политики. | AuditIfNotExists, отключено | 2.2.0 |
| Масштабируемые наборы виртуальных машинLinux должны иметь установлен агент Azure Monitor | Масштабируемые наборы виртуальных машин Linux должны отслеживаться и защищаться с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Эта политика будет проводить аудит масштабируемых наборов виртуальных машин с поддерживаемыми образами ОС в поддерживаемых регионах. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists, отключено | 3.6.0 |
| виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost. | Хотя ОС и диски данных виртуальной машины шифруются по умолчанию с помощью управляемых платформой ключей; Диски ресурсов (временные диски), кэши данных и поток данных между ресурсами вычислений и хранилища не шифруются. Чтобы устранить проблему, используйте Шифрование дисков Azure или EncryptionAtHost. Ознакомьтесь https://aka.ms/diskencryptioncomparison с предложениями шифрования. Эта политика требует развертывания двух предварительных требований в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.2.1 |
| виртуальные машины Linux должны быть установлены агентом Azure Monitor | Виртуальные машины Linux должны отслеживаться и защищаться с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Эта политика будет проводить аудит виртуальных машин с поддерживаемыми образами ОС в поддерживаемых регионах. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists, отключено | 3.6.0 |
| Локальные методы проверки подлинности должны быть отключены на компьютерах Linux | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если на серверах Linux нет локальных методов проверки подлинности. Это необходимо для проверки того, что серверы Linux могут получать доступ только с помощью учетной записи AAD (Azure Active Directory) или списка явно разрешенных пользователей этой политикой, что повышает общую безопасность. | AuditIfNotExists, отключено | 1.2.0-preview |
| методы проверки подлинности Local должны быть отключены на серверах Windows | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если Windows серверах не отключены локальные методы проверки подлинности. Это позволяет проверить, что доступ к Windows серверам можно получить только учетной записью AAD (Azure Active Directory) или списком явно разрешенных пользователей этой политикой, что повышает общую безопасность. | AuditIfNotExists, отключено | 1.0.0-preview |
| агент Log Analytics должен быть установлен в экземплярах ролей облачных служб | Центр безопасности собирает данные из экземпляров ролей облачных служб (расширенная поддержка) для отслеживания угроз и уязвимостей в системе безопасности. | AuditIfNotExists, отключено | 2.0.0 |
| Компьютеры должны быть настроены для периодической проверки отсутствия обновлений системы | Чтобы периодические оценки отсутствующих системных обновлений запускались автоматически каждые 24 часа, для свойства AssessmentMode должно быть задано значение "AutomaticByPlatform". Дополнительные сведения о свойстве AssessmentMode для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Аудит, отказ в доступе, отключено | 3.9.0 |
| Компьютеры должны иметь разрешенные секретные выводы | Проверяет виртуальные машины, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов на виртуальных машинах. | AuditIfNotExists, отключено | 1.0.2 |
| Управляемые диски и образы должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Эта политика применяется исключительно к продуктам и службам Миссии. использование вне этих областей не поддерживается. Используйте ключи, управляемые клиентом, для управления шифрованием неактивных содержимого управляемых дисков и образов. По умолчанию неактивные данные шифруются с помощью ключей, управляемых платформой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента | Клиенты с высокими требованиями к безопасности, которых беспокоят риски компрометации тех или иных алгоритмов, реализаций или ключей шифрования, могут использовать дополнительный уровень шифрования с другим режимом или алгоритмом на уровне инфраструктуры с применением ключей, управляемых платформой. Двойное шифрование является обязательным для наборов шифрования дисков. Узнайте больше по адресу https://aka.ms/disks-doubleEncryption. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Управляемые диски должны отключать доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, тем самым обеспечивая, что управляемый диск не будет отображаться в общедоступной сети Интернет. Создание частных конечных точек может ограничить доступ к управляемым дискам. См. дополнительные сведения: https://aka.ms/disksprivatelinksdoc. | Аудит, отказ в доступе, отключено | 2.1.0 |
| Управляемые диски должны использовать конкретные наборы шифрования для ключей под управлением клиента | Требование использовать конкретные наборы шифрования для управляемых дисков позволяет вам контролировать ключи для шифрования неактивных данных. Вы можете выбрать разрешенные наборы шифрования, а все прочие при подключении к диску будут отклоняться. Узнайте больше по адресу https://aka.ms/disks-cmk. | Аудит, отказ в доступе, отключено | 2.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный доступ к сети JIT будет отслеживаться Центр безопасности Azure в качестве рекомендаций | AuditIfNotExists, отключено | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, отключено | 3.0.0 |
| Microsoft Антивредоносная программа для Azure должна быть настроена для автоматического обновления подписей защиты | Эта политика выполняет аудит любой Windows виртуальной машины, не настроенной с автоматическим обновлением подписей защиты от вредоносных программ Microsoft. | AuditIfNotExists, отключено | 1.0.0 |
| Microsoft расширение IaaSAntimalware должно быть развернуто на Windows серверах | Эта политика проверяет любую виртуальную машину сервера Windows без Microsoft развернутого расширения IaaSAntimalware. | AuditIfNotExists, отключено | 1.1.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, отключено | 3.0.0 |
| Должны быть установлены только утвержденные расширения виртуальных машин | Эта политика управляет неутвержденными расширениями виртуальных машин. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Диски ОС и диски данных должны быть зашифрованы ключом под управлением клиента | Использование ключей, управляемых клиентом, для управления шифрованием неактивного управляемых дисков. По умолчанию неактивные данные шифруются с помощью ключей, управляемых платформой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Управляемые клиентом ключи позволяют шифровать данные с помощью Azure Key Vault ключа, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/disks-cmk. | Аудит, отказ в доступе, отключено | 3.0.0 |
| Необходимо включить назначения частных конечных точек для гостевой конфигурации | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к гостевой конфигурации для виртуальных машин. Виртуальные машины будут соответствовать требованиям только при наличии тега "EnablePrivateNetworkGC". Этот тег обеспечивает безопасный обмен данными через частное подключение к гостевой конфигурации для Виртуальные машины. Частное подключение ограничивает доступ к трафику только из известных сетей и запрещает доступ ко всем другим IP-адресам, включая в Azure. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Защита данных с помощью требований к проверке подлинности при экспорте или отправке на диск или моментальный снимок. | При использовании URL-адреса экспорта и отправки система проверяет, имеет ли пользователь удостоверение в Azure Active Directory и имеет необходимые разрешения для экспорта и отправки данных. Обратитесь к aka.ms/DisksAzureADAuth. | Изменить, Отключено | 1.0.0 |
| Require автоматическое исправление образа ОС на Масштабируемые наборы виртуальных машин | Эта политика применяет автоматическое исправление образа ОС на Масштабируемые наборы виртуальных машин, чтобы всегда оставаться Виртуальные машины безопасно, безопасно применяя последние исправления безопасности каждый месяц. | deny | 1.0.0 |
| Schedule повторяющихся обновлений с помощью Диспетчер обновлений Azure | Вы можете использовать Диспетчер обновлений Azure в Azure для сохранения повторяющихся расписаний развертывания для установки обновлений операционной системы для компьютеров Windows Server и Linux в Azure, в локальных средах и в других облачных средах, подключенных с помощью серверов с поддержкой Azure Arc. Эта политика также изменит режим исправления для виртуальной машины Azure на "AutomaticByPlatform". Дополнительные сведения приведены здесь: https://aka.ms/umc-scheduled-patching | РазвернутьЕслиНеСуществует, Отключено | 3.14.0 |
| предварительные требования Set для планирования повторяющихся обновлений на виртуальных машинах Azure. | Эта политика устанавливает необходимые условия для планирования повторяющихся обновлений на Диспетчер обновлений Azure путем настройки оркестрации исправлений в "Управляемые клиентом расписания". Это изменение автоматически устанавливает для режима исправления значение AutomaticByPlatform и включает "BypassPlatformSafetyChecksOnUserSchedule" значение True на виртуальных машинах Azure. Предварительные требования неприменимо для серверов с поддержкой Arc. Подробнее- https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | РазвернутьЕслиНеСуществует, Отключено | 1.3.0 |
| Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. | AuditIfNotExists, отключено | 1.0.0 |
| На компьютерах должны быть установлены обновления системы (на базе Центра обновления) | На ваших компьютерах не установлены критические обновления, а также обновления системы и безопасности. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. | AuditIfNotExists, отключено | 1.0.1 |
| Устаревшее расширение Log Analytics не должно быть установлено в масштабируемых наборах виртуальных машин Linux | Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего этапа миграции с устаревших агентов на Azure Monitor агента. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента в масштабируемых наборах виртуальных машин Linux. Подробнее: https://aka.ms/migratetoAMA | Запрет, Аудит, Отключение | 1.0.0 |
| Устаревшее расширение Log Analytics не должно быть установлено на виртуальных машинах Linux | Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего этапа миграции с устаревших агентов на Azure Monitor агента. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на виртуальных машинах Linux. Подробнее: https://aka.ms/migratetoAMA | Запрет, Аудит, Отключение | 1.0.0 |
| Устаревшее расширение Log Analytics не должно быть установлено в масштабируемых наборах виртуальных машин | Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего этапа миграции с устаревших агентов на Azure Monitor агента. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на Windows масштабируемых наборов виртуальных машин. Подробнее: https://aka.ms/migratetoAMA | Запрет, Аудит, Отключение | 1.0.0 |
| Устаревшее расширение Log Analytics не должно быть установлено на виртуальных машинах | Автоматическое предотвращение установки устаревшего агента Log Analytics в качестве последнего этапа миграции с устаревших агентов на Azure Monitor агента. После удаления существующих устаревших расширений эта политика отклонит все будущие установки расширения устаревшего агента на Windows виртуальных машинах. Подробнее: https://aka.ms/migratetoAMA | Запрет, Аудит, Отключение | 1.0.0 |
| Виртуальная машина должна иметь включенную функцию TrustedLaunch | Включите TrustedLaunch на виртуальной машине для повышения безопасности, используйте номер SKU виртуальной машины (2-го поколения), поддерживающий TrustedLaunch. Дополнительные сведения о ДоверенномLaunch см. на сайте https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Аудит, отключено | 1.0.0 |
| Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше по адресу https://aka.ms/vm-hbe. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Virtual компьютеры должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте новые Azure Resource Manager для виртуальных машин, чтобы обеспечить улучшения безопасности, такие как: более строгий контроль доступа (RBAC), более эффективное аудит, Azure Resource Manager развертывание и управление, доступ к управляемым удостоверениям, доступ к хранилищу ключей для секретов, Azure Проверка подлинности на основе AD и поддержка тегов и групп ресурсов для упрощения управления безопасностью | Аудит, отказ в доступе, отключено | 1.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Azure виртуальные машины в области этой политики будут несовместимы при установке расширения гостевой конфигурации, но не имеют управляемого удостоверения, назначаемого системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.1 |
| Windows Defender Exploit Guard следует включить на компьютерах | Windows Defender Exploit Guard использует агент гостевой конфигурации Политика Azure. Exploit Guard имеет четыре компонента, предназначенные для блокировки устройств с различными векторами атак и блокируют поведение, обычно используемое в атаках вредоносных программ, позволяя предприятиям сбалансировать свои требования к безопасности и производительности (Windows только). | AuditIfNotExists, отключено | 2.0.0 |
| Windows компьютеры должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, отключено | 4.1.1 |
| Windows компьютеры должны настроить Windows Defender для обновления подписей защиты в течение одного дня | Чтобы обеспечить достаточную защиту от недавно выпущенных вредоносных программ, Windows Defender подписи защиты необходимо регулярно обновлять для учета недавно выпущенных вредоносных программ. Эта политика не применяется к подключенным серверам Arc и требует, чтобы необходимые компоненты гостевой конфигурации были развернуты в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.1 |
| Windows компьютеры должны включить Windows Defender защиту в режиме реального времени | Windows компьютеры должны включить защиту в режиме реального времени в Windows Defender, чтобы обеспечить достаточную защиту от недавно выпущенных вредоносных программ. Эта политика неприменима к подключенным серверам arc и требует, чтобы предварительные требования гостевой конфигурации были развернуты в области назначения политики. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.1 |
| Windows компьютеры должны соответствовать требованиям панель управления к административным шаблонам | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Административные шаблоны - панель управления" для персонализации ввода и предотвращения включения экранов блокировки. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям к "Административные шаблоны — MSS (устаревшая версия)" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Административные шаблоны — MSS (устаревшая версия)" для автоматического входа, сохранения экрана, сетевого поведения, безопасной библиотеки DLL и журнала событий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям к административным шаблонам — | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Административные шаблоны — сеть" для гостевых входа, одновременных подключений, сетевого моста, ICS и разрешения имен многоадресной рассылки. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для административных шаблонов — system' | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Административные шаблоны — система" для параметров, которые управляют административным интерфейсом и удаленной помощью. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — учетные записи" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — учетные записи" для ограничения использования локальных учетных записей пустых паролей и состояния гостевой учетной записи. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — аудит" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — аудит" для принудительного принудительного подкатегории политики аудита и завершения работы, если не удается записать аудиты безопасности. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям в разделе "Параметры безопасности — устройства" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — устройства" для открепления без входа, установки драйверов печати и форматирования или извлечения носителей. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — интерактивный вход | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — интерактивный вход" для отображения фамилии пользователя и необходимости ctrl-alt-del. Эта политика требует, чтобы предварительные требования гостевой конфигурации были развернуты в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — Microsoft сетевой клиент" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Microsoft сетевой клиент" для Microsoft сетевого клиента или сервера и SMB версии 1. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям к параметрам безопасности Microsoft сетевого сервера | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности - Microsoft сетевой сервер" для отключения сервера SMB версии 1. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — сетевой доступ" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — сетевой доступ" для включения доступа для анонимных пользователей, локальных учетных записей и удаленного доступа к реестру. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — сетевая безопасность" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, клиента LDAP и SSP NTLM. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для консоли восстановления | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — консоль восстановления", чтобы разрешить флоппи-копирование и доступ ко всем дискам и папкам. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — завершение работы" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — завершение работы" для разрешения завершения работы без входа и очистки файла страницы виртуальной памяти. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — системные объекты" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — системные объекты", чтобы не Windows подсистемы и разрешения внутренних системных объектов. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям "Параметры безопасности — параметры системы" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — параметры системы" для правил сертификатов для исполняемых файлов для SRP и необязательных подсистем. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для параметра "Параметры безопасности — контроль учетных записей пользователей" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — контроль учетных записей пользователей" для администраторов, поведения запроса на повышение прав и виртуализации файлов и ошибок записи реестра. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям "Параметры безопасности — политики учетных записей" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Параметры безопасности — политики учетных записей" для журнала паролей, возраста, длины, сложности и хранения паролей с помощью обратимого шифрования. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для политик аудита системы — | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — вход учетной записи" для аудита проверки учетных данных и других событий входа в учетную запись. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям "Политики аудита системы — управление учетными записями" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — управление учетными записями" для аудита приложений, безопасности и управления группами пользователей и других событий управления. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для "Политики аудита системы — подробное отслеживание" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — подробное отслеживание" для аудита DPAPI, создания и завершения процесса, событий RPC и действий PNP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для "Политики аудита системы — вход в систему" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — вход в систему" для аудита IPSec, политики сети, утверждений, блокировки учетных записей, членства в группах и событий входа в систему. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для "Политики аудита системы — доступ к объектам" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — доступ к объектам" для аудита файла, реестра, SAM, хранилища, фильтрации, ядра и других системных типов. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям "Политики аудита системы — изменение политики" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — изменение политики политики" для аудита изменений в политиках аудита системы. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям "Политики аудита системы — использование привилегий" | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — использование привилегий" для аудита нечувствительных и других привилегий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям к политикам аудита системы — System' | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Политики аудита системы — система" для аудита драйвера IPsec, целостности системы, расширения системы, изменения состояния и других системных событий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Назначение прав пользователей", чтобы разрешить вход локально, RDP, доступ из сети и многие другие действия пользователя. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям для Windows компонентов | Windows компьютеры должны иметь указанные параметры групповой политики в категории "компоненты Windows" для базовой проверки подлинности, незашифрованного трафика, Microsoft учетных записей, телеметрии, Кортаны и других Windows поведения. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям Windows свойства брандмауэра | Windows компьютеры должны иметь указанные параметры групповой политики в категории "Свойства брандмауэра Windows" для состояния брандмауэра, подключений, управления правилами и уведомлений. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 3.0.0 |
| Windows компьютеры должны соответствовать требованиям базовых показателей безопасности вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер настроен неправильно для одной из рекомендаций в базовой Azure вычислительной безопасности. | AuditIfNotExists, отключено | 2.1.1 |
| Windows компьютеры должны иметь только локальные учетные записи | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Это определение не поддерживается в Windows Server 2012 или 2012 R2. Управление учетными записями пользователей с помощью Azure Active Directory рекомендуется для управления удостоверениями. Сокращение числа учетных записей на локальном компьютере помогает предотвратить рост числа удостоверений, управляемых за пределами центральной системы. Компьютеры не соответствуют требованиям, если существуют локальные учетные записи пользователей, которые включены и не указаны в параметре политики. | AuditIfNotExists, отключено | 2.0.0 |
| Windows масштабируемые наборы виртуальных машин должны быть установлены Azure Monitor агентом | Windows масштабируемые наборы виртуальных машин должны отслеживаться и защищаться с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Масштабируемые наборы виртуальных машин с поддерживаемой ОС и в поддерживаемых регионах отслеживаются для развертывания агента Azure Monitor. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists, отключено | 3.5.0 |
| Windows виртуальные машины должны включать Шифрование дисков Azure или EncryptionAtHost. | Хотя ОС и диски данных виртуальной машины шифруются по умолчанию с помощью управляемых платформой ключей; Диски ресурсов (временные диски), кэши данных и поток данных между ресурсами вычислений и хранилища не шифруются. Чтобы устранить проблему, используйте Шифрование дисков Azure или EncryptionAtHost. Ознакомьтесь https://aka.ms/diskencryptioncomparison с предложениями шифрования. Эта политика требует развертывания двух предварительных требований в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.1.1 |
| Windows виртуальные машины должны быть установлены Azure Monitor агента | Windows виртуальные машины следует отслеживать и защищать с помощью развернутого агента Azure Monitor. Агент Azure Monitor собирает данные телеметрии из гостевой ОС. Windows виртуальные машины с поддерживаемой ОС и в поддерживаемых регионах отслеживаются для развертывания агента Azure Monitor. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | AuditIfNotExists, отключено | 3.5.0 |
Microsoft. VirtualMachineImages
| Name (портал Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Аудит, Отключено, Отклонить | 1.1.0 |
Microsoft. ClassicCompute
| Name (портал Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. стандартная ценовая категория Центр безопасности Azure включает сканирование уязвимостей для виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, отключено | 3.0.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил некоторые из правил входящего трафика групп безопасности сети, чтобы быть слишком миссивными. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, отключено | 3.0.0 |
| Аудит виртуальных машин без аварийного восстановления | Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, отключено | 3.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, отключено | 3.0.0 |
| Компьютеры должны иметь разрешенные секретные выводы | Проверяет виртуальные машины, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов на виртуальных машинах. | AuditIfNotExists, отключено | 1.0.2 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, отключено | 3.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, отключено | 3.0.0 |
| Virtual компьютеры должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте новые Azure Resource Manager для виртуальных машин, чтобы обеспечить улучшения безопасности, такие как: более строгий контроль доступа (RBAC), более эффективное аудит, Azure Resource Manager развертывание и управление, доступ к управляемым удостоверениям, доступ к хранилищу ключей для секретов, Azure Проверка подлинности на основе AD и поддержка тегов и групп ресурсов для упрощения управления безопасностью | Аудит, отказ в доступе, отключено | 1.0.0 |
Дальнейшие шаги
- См. встроенные компоненты репозитория Политика Azure GitHub.
- Просмотрите структуру определения Политика Azure.
- Изучите сведения о действии политик.