Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta página es un índice de Azure Policy definiciones de directiva integradas para Azure Virtual Machine Scale Sets. Para obtener más Azure Policy integrados para otros servicios, consulte Azure Policy definiciones integradas.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en el portal de Azure. Use el vínculo de la columna Version para ver el origen en el repositorio Azure Policy GitHub.
Microsoft. Proceso
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Versión preliminar]: se debe habilitar una identidad administrada en las máquinas | Los recursos administrados por Automanage deben tener una identidad administrada. | Auditar, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: Agregar una identidad administrada asignada por el usuario para habilitar las asignaciones de configuración de invitado en máquinas virtuales | Esta directiva agrega una identidad administrada asignada por el usuario a las máquinas virtuales hospedadas en Azure compatibles con la configuración de invitado. Una identidad administrada asignada por el usuario es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | AuditarSiNoExiste, ImplementarSiNoExiste, Deshabilitado | 2.1.0-preview |
| [Versión preliminar]: Asignar Built-In User-Assigned identidad administrada a Virtual Machine Scale Sets | Cree y asigne una identidad administrada asignada por el usuario integrada o asigne una identidad administrada asignada por el usuario creada previamente a gran escala a los conjuntos de escalado de máquinas virtuales. Para documentación más detallada, visite aka.ms/managedidentitypolicy. | AuditarSiNoExiste, ImplementarSiNoExiste, Deshabilitado | 1.1.0-preview |
| [Versión preliminar]: Asignar Built-In User-Assigned identidad administrada a Virtual Machines | Cree y asigne una identidad administrada asignada por el usuario integrada o asigne una identidad administrada asignada por el usuario creada previamente a gran escala a máquinas virtuales. Para documentación más detallada, visite aka.ms/managedidentitypolicy. | AuditarSiNoExiste, ImplementarSiNoExiste, Deshabilitado | 1.1.0-preview |
| [versión preliminar]: Auditar la posición de seguridad de SSH para Windows | Esta directiva audita la configuración de seguridad del servidor SSH en máquinas de Windows Server 2019, 2022 y 2025 (máquinas virtuales Azure y máquinas habilitadas para Arc). Para obtener más información, incluidos los requisitos previos, la configuración en el ámbito, los valores predeterminados y la personalización, vea https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | AuditIfNotExists, Deshabilitado | 1.1.0-preview |
| [Versión preliminar]: la asignación del perfil de configuración de Automanage debe ser Conformant | Los recursos administrados por Automanage deben tener el estado Conforme o ConformantCorrected. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [versión preliminar]: Azure Backup debe estar habilitado para Managed Disks | Para garantizar la protección de la Managed Disks, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: el diagnóstico de arranque debe estar habilitado en las máquinas virtuales | Azure las máquinas virtuales deben tener habilitados los diagniostics de arranque. | Auditar, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: la extensión ChangeTracking debe estar instalada en la máquina virtual Linux | Instale la extensión ChangeTracking en máquinas virtuales Linux para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Agente de supervisión. | AuditIfNotExists, Deshabilitado | 2.0.0-preview |
| [Versión preliminar]: la extensión ChangeTracking debe instalarse en la máquina virtual Windows | Instale la extensión ChangeTracking en Windows máquinas virtuales para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Agente de supervisión. | AuditIfNotExists, Deshabilitado | 2.0.0-preview |
| [Versión preliminar]: Configuración de Azure Defender para agente SQL en la máquina virtual | Configure Windows máquinas para instalar automáticamente el Azure Defender para el agente SQL donde está instalado el agente de Azure Monitor. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Crea un grupo de recursos y Log Analytics área de trabajo en la misma región que la máquina. Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Deshabilitado | 1.0.0-preview |
| [versión preliminar]: Configure la copia de seguridad para discos de Azure (Managed Disks) con una etiqueta determinada en un almacén de copia de seguridad existente en la misma región | Aplique la copia de seguridad para todos los discos de Azure (Managed Disks) que contengan una etiqueta determinada en un almacén de copia de seguridad central. Más información en https://aka.ms/AB-DiskBackupAzPolicies. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: Configure la copia de seguridad para discos de Azure (Managed Disks) sin una etiqueta determinada en un almacén de copia de seguridad existente en la misma región | Aplique la copia de seguridad de todos los discos de Azure (Managed Disks) que no contengan una etiqueta determinada en un almacén de copia de seguridad central. Más información en https://aka.ms/AB-DiskBackupAzPolicies. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: Configuración de la posición de seguridad ssh para Windows | Esta directiva configura la configuración de seguridad del servidor SSH en máquinas de Windows Server 2019, 2022 y 2025 (máquinas virtuales Azure y máquinas habilitadas para Arc). Para obtener más información, incluidos los requisitos previos, la configuración en el ámbito, los valores predeterminados y la personalización, vea https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | DeployIfNotExists, Deshabilitado | 1.1.0-preview |
| [Versión preliminar]: configurar los conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados | Configure los conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitado para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Deshabilitado | 6.1.0-preview |
| [Versión preliminar]: configurar máquinas virtuales Linux compatibles para habilitar automáticamente el arranque seguro | Configure las máquinas virtuales Linux admitidas para habilitar automáticamente el arranque seguro para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. | DeployIfNotExists, Deshabilitado | 5.0.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados | Configure las máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitado para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Deshabilitado | 7.1.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales compatibles para habilitar automáticamente vTPM | Configure las máquinas virtuales admitidas para habilitar automáticamente vTPM para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. | DeployIfNotExists, Deshabilitado | 2.0.0-preview |
| [versión preliminar]: Configure los conjuntos de escalado de máquinas virtuales admitidos Windows para instalar automáticamente la extensión de atestación de invitado | Configure los conjuntos de escalado de máquinas virtuales compatibles Windows para instalar automáticamente la extensión de atestación de invitado para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Deshabilitado | 4.1.0-preview |
| [versión preliminar]: Configure máquinas virtuales de Windows compatibles para habilitar automáticamente el arranque seguro | Configure las máquinas virtuales admitidas Windows para habilitar automáticamente el arranque seguro para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. | DeployIfNotExists, Deshabilitado | 3.0.0-preview |
| [versión preliminar]: Configure las máquinas virtuales de Windows compatibles para instalar automáticamente la extensión de atestación de invitado | Configure las máquinas virtuales admitidas Windows para instalar automáticamente la extensión de atestación de invitado para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Deshabilitado | 5.1.0-preview |
| [Versión preliminar]: Configurar la identidad administrada asignada por el sistema para habilitar las asignaciones de Azure Monitor en máquinas virtuales | Configure la identidad administrada asignada por el sistema en máquinas virtuales hospedadas en Azure compatibles con Azure Monitor y que no tengan una identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de Azure Monitor y debe agregarse a las máquinas antes de usar cualquier extensión de Azure Monitor. Las máquinas virtuales de destino deben estar en una ubicación admitida. | Modify, Deshabilitado | 6.2.0-preview |
| [Versión preliminar]: Configurar máquinas virtuales creadas con imágenes de Shared Image Gallery para instalar la extensión de atestación de invitado | Configure máquinas virtuales creadas con imágenes de Shared Image Gallery para instalar automáticamente la extensión de atestación de invitado para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Deshabilitado | 2.0.0-preview |
| [versión preliminar]: Configure VMSS creado con imágenes de Shared Image Gallery para instalar la extensión de atestación de invitado | Configure VMSS creado con imágenes de Shared Image Gallery para instalar automáticamente la extensión de atestación de invitado para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Deshabilitado | 2.1.0-preview |
| [Versión preliminar]: Configure Windows Server para deshabilitar usuarios locales. | Crea una asignación de configuración de invitado para configurar la deshabilitación de los usuarios locales en Windows Server. Esto garantiza que la cuenta de AAD (Azure Active Directory) solo pueda acceder a los servidores de Windows o una lista de usuarios permitidos explícitamente por esta directiva, lo que mejora la posición de seguridad general. | DeployIfNotExists, Deshabilitado | 1.3.0-preview |
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas virtuales Linux | Implementa Microsoft Defender para punto de conexión agente en imágenes de máquina virtual Linux aplicables. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 3.0.0-preview |
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas virtuales de Windows | Implementa Microsoft Defender para punto de conexión en las imágenes de máquina virtual de Windows aplicables. | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 2.0.1-preview |
| [Versión preliminar]: Habilitación de la identidad asignada por el sistema a la máquina virtual SQL | Habilite la identidad asignada por el sistema a gran escala en las máquinas virtuales SQL. Debe asignar esta directiva en el nivel de suscripción. La asignación en el nivel de grupo de recursos no funcionará según lo previsto. | DeployIfNotExists, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux admitidas | Instale la extensión de atestación de invitado en máquinas virtuales Linux compatibles para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a las máquinas virtuales Linux confidenciales y de inicio seguro. | AuditIfNotExists, Deshabilitado | 6.0.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux admitidos | Instale la extensión de atestación de invitado en los conjuntos de escalado de máquinas virtuales Linux compatibles para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a los conjuntos de escalado de máquinas virtuales Linux confidenciales y de inicio seguro. | AuditIfNotExists, Deshabilitado | 5.1.0-preview |
| [versión preliminar]: La extensión de atestación de invitado debe instalarse en máquinas virtuales Windows compatibles | Instale la extensión de atestación de invitado en máquinas virtuales compatibles para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a las máquinas virtuales de inicio seguro y confidencial Windows. | AuditIfNotExists, Deshabilitado | 4.0.0-preview |
| [versión preliminar]: la extensión de atestación de invitado debe instalarse en conjuntos de escalado de máquinas virtuales compatibles Windows | Instale la extensión de atestación de invitado en los conjuntos de escalado de máquinas virtuales compatibles para permitir que Azure Security Center atestiguar y supervisar de forma proactiva la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica al inicio seguro y confidencial Windows conjuntos de escalado de máquinas virtuales. | AuditIfNotExists, Deshabilitado | 3.1.0-preview |
| [versión preliminar]: Las máquinas Linux deben cumplir los requisitos de la línea base de seguridad de Azure para hosts de Docker | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. La máquina no está configurada correctamente para una de las recomendaciones de la línea base de seguridad Azure para hosts de Docker. | AuditIfNotExists, Deshabilitado | 1.2.0-preview |
| [versión preliminar]: Las máquinas Linux deben cumplir los requisitos de cumplimiento de STIG para Azure proceso | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de cumplimiento de STIG para Azure proceso. DISA (Agencia de sistemas de información de defensa) proporciona guías técnicas STIG (Guía de implementación técnica de seguridad) para proteger el sistema operativo de proceso según lo requiera el Departamento de Defensa (DoD). Para más detalles, consulte https://public.cyber.mil/stigs/. | AuditIfNotExists, Deshabilitado | 1.2.0-preview |
| [Versión preliminar]: Las máquinas Linux con OMI instalado deben tener la versión 1.6.8-1 o posterior | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Debido a una corrección de seguridad incluida en la versión 1.6.8-1 del paquete de OMI para Linux, todas las máquinas deben actualizarse a la versión más reciente. Para resolver el problema, actualice las aplicaciones o los paquetes que usan OMI. Para obtener más información, vea https://aka.ms/omiguidance. | AuditIfNotExists, Deshabilitado | 1.2.0-preview |
| [Versión preliminar]: las máquinas virtuales Linux solo deberían usar componentes de arranque firmados y de confianza | Todos los componentes de arranque del sistema operativo (cargador de arranque, kernel y controladores de kernel) deben estar firmados por editores de confianza. Defender for Cloud ha identificado componentes de arranque del sistema operativo que no son de confianza en una o varias de las máquinas Linux. Para proteger las máquinas de componentes potencialmente malintencionados, agréguelas a la lista de permitidos o quite los componentes identificados. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: las máquinas virtuales Linux deben usar el arranque seguro | Para protegerse contra la instalación de rootkits y bootkits basados en malware, habilite el arranque seguro en las máquinas virtuales Linux admitidas. El arranque seguro garantiza que solo se permitirá la ejecución de controladores y sistemas operativos firmados. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: Las cargas de trabajo de Linux deben cumplir con la prueba comparativa oficial de seguridad de CIS | Esta directiva proporciona la capacidad de personalizar e implementar pruebas comparativas de seguridad de CIS con fines de auditoría para las cargas de trabajo de Linux en entornos Azure, locales e híbridos. El contenido de las pruebas comparativas de seguridad de CIS está en paridad con las pruebas comparativas publicadas en https://cisecurity.org. La directiva se basa en azure-osconfig. Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 2.0.0-preview |
| [Versión preliminar]: las máquinas deben tener puertos cerrados que puedan exponer vectores de ataque | Azure los Términos de uso prohíben el uso de Azure servicios de maneras que puedan dañar, deshabilitar, sobrecargar o dañar cualquier servidor Microsoft o la red. Los puertos expuestos identificados por esta recomendación deben cerrarse por motivos de seguridad continuados. Para cada puerto identificado, la recomendación también proporciona una explicación de la posible amenaza. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: Managed Disks debe ser Resistente a la zona | Managed Disks se pueden configurar para que sean alineados de zona, redundantes de zona o ninguno. Managed Disks con exactamente una asignación de zona son Alineación de zona. Managed Disks con un nombre de SKU que termina en ZRS son redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia para Managed Disks. | Auditar, Denegar, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa el Microsoft Dependency Agent para recopilar datos de tráfico de red de las máquinas virtuales de Azure para habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, recomendaciones de protección de red y amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
| [versión preliminar]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Windows | Security Center usa el Microsoft Dependency Agent para recopilar datos de tráfico de red de las máquinas virtuales de Azure para habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, recomendaciones de protección de red y amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
| [Versión preliminar]: Pruebas comparativas oficiales de seguridad de CIS para Windows Server | Esta directiva le proporciona la capacidad de personalizar e implementar pruebas comparativas de seguridad de CIS con fines de auditoría para su Windows Server en entornos Azure, locales e híbridos. El contenido de las pruebas comparativas de seguridad de CIS está en paridad con las pruebas comparativas publicadas en https://cisecurity.org. Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [versión preliminar]: El arranque seguro debe estar habilitado en máquinas virtuales Windows compatibles | Habilite el arranque seguro en máquinas virtuales admitidas Windows para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. Esta evaluación se aplica a las máquinas virtuales de inicio seguro y confidencial Windows. | Auditar, Deshabilitado | 4.0.0-preview |
| [Versión preliminar]: Virtual Machine Scale Sets debe ser Resistente a la zona | Virtual Machine Scale Sets se puede configurar para que sea Alineado de zona, Redundante de zona o ninguno. Virtual Machine Scale Sets que tienen exactamente una entrada en su matriz de zonas se consideran Alineados de zona. En cambio, Virtual Machine Scale Sets con 3 o más entradas en su matriz de zonas y una capacidad de al menos 3 se reconocen como redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Auditar, Denegar, Deshabilitado | 1.0.0-preview |
| [versión preliminar]: Virtual Machine Scale Sets con más de 2 zonas de disponibilidad deben tener habilitado el reequilibrio automático de AZ | Esta directiva habilita el reequilibrio automático de AZ para Virtual Machine Scale Sets que, de lo contrario, son resistentes a la zona. El reequilibrio automático de zonas ayuda a garantizar que los Virtual Machine Scale Sets se distribuyan uniformemente entre las zonas de la región. | Modify, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: el estado de atestación de invitado de las máquinas virtuales debe ser correcto | La atestación de invitado se realiza mediante el envío de un registro de confianza (TCGLog) a un servidor de atestación. El servidor usa estos registros para determinar si los componentes de arranque son de confianza. Esta evaluación está pensada para detectar riesgos de la cadena de arranque que podrían ser el resultado de una infección por bootkit o rootkit. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro de confianza que tengan instalada la extensión de atestación de invitado. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| [versión preliminar]: Virtual Machines deben estar alineados con zona | Virtual Machines se pueden configurar para que estén alineados en zona o no. Se consideran alineadas por zonas si solo tienen una entrada en su matriz de zonas. Esta directiva garantiza que estén configuradas para funcionar dentro de una sola zona de disponibilidad. | Auditar, Denegar, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas | Habilite el dispositivo TPM virtual en máquinas virtuales compatibles para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro. | Auditar, Deshabilitado | 2.0.0-preview |
| [versión preliminar]: las máquinas Windows deben cumplir los requisitos de cumplimiento de STIG para el proceso de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de los requisitos de cumplimiento de STIG para Azure proceso. DISA (Agencia de sistemas de información de defensa) proporciona guías técnicas STIG (Guía de implementación técnica de seguridad) para proteger el sistema operativo de proceso según lo requiera el Departamento de Defensa (DoD). Para más detalles, consulte https://public.cyber.mil/stigs/. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. Azure Security Center plan de tarifa estándar incluye el examen de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure compatibles con la configuración de invitado, pero que no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure compatibles con la configuración de invitado y tienen al menos una identidad asignada por el usuario, pero no tienen una identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agrega una etiqueta a las máquinas virtuales de aplicaciones virtuales de red (NVA) y VMSS para la compatibilidad con MANA | Aplica una etiqueta para las implementaciones de NVA de Marketplace cuando la aplicación virtual de red usa tamaños de máquina virtual existentes. Consulte https://aka.ms/manasupportforexistingvmfamilynva. | Modify, Deshabilitado | 1.0.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center ha identificado que algunas de las reglas de entrada de los grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| SKU de tamaño de máquina virtual permitidas | Esta directiva permite especificar un conjunto de SKU de tamaño de máquina virtual que la organización puede implementar. | Deny | 1.0.1 |
| Assign System Assigned identity to SQL Virtual Machines | Asigne la identidad asignada por el sistema a escala a Windows máquinas virtuales SQL. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Auditar las máquinas Linux que no tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro no están instalados. | AuditIfNotExists, Deshabilitado | 4.2.0 |
| Auditar las máquinas Linux que tengan cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Auditar las máquinas Linux que tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro están instalados. | AuditIfNotExists, Deshabilitado | 4.2.0 |
| Auditoría de la posición de seguridad de SSH para Linux (con tecnología de OSConfig) | Esta directiva audita la configuración de seguridad del servidor SSH en máquinas Linux (Azure máquinas virtuales y máquinas habilitadas para Arc). Para obtener más información, incluidos los requisitos previos, la configuración en el ámbito, los valores predeterminados y la personalización, consulte https://aka.ms/SshPostureControlOverview | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas virtuales que no utilizan discos administrados | Esta directiva audita las máquinas virtuales que no utilizan discos administrados. | audit | 1.0.0 |
| Audit Windows máquinas que faltan ninguno de los miembros especificados en el grupo Administradores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales no contiene uno o más miembros de los que se enumeran en el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Audit Windows machines conectividad de red | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el estado de una conexión de red con una IP y un puerto TCP no coincide con el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas en las que la configuración de DSC no es compatible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el comando Windows PowerShell Get-DSCConfigurationStatus devuelve que la configuración de DSC para la máquina no es compatible. | auditIfNotExists | 3.0.0 |
| Audit Windows máquinas en las que el agente de Log Analytics no está conectado según lo previsto | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el agente no está instalado o si está instalado, pero el objeto COM AgentConfigManager.MgmtSvcCfg devuelve que está registrado en un área de trabajo distinta del identificador especificado en el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas en las que los servicios especificados no están instalados y "Running" | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el resultado del comando de PowerShell Windows Get-Service no incluyen el nombre del servicio con el estado coincidente especificado por el parámetro de directiva. | auditIfNotExists | 3.0.0 |
| Audit Windows máquinas en las que Windows consola serie no está habilitada | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no tiene instalado el software de la consola serie o si el número de puerto de EMS o la velocidad en baudios no están configurados con los mismos valores que los parámetros de la directiva. | auditIfNotExists | 3.0.0 |
| Audit Windows máquinas que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si Windows máquinas que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Audit Windows máquinas que no están unidas al dominio especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad de dominio en la clase WMI win32_computersystem no coincide con el valor del parámetro de directiva. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas que no están establecidas en la zona horaria especificada | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad StandardName en la clase WMI Win32_TimeZone no coincide con la zona horaria seleccionada para el parámetro de directiva. | auditIfNotExists | 4.0.0 |
| Audit Windows máquinas que contienen certificados que expiran en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo durante el número de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas que no contienen los certificados especificados en raíz de confianza | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el almacén de certificados raíz de confianza de la máquina (Cert:\LocalMachine\Root) no contiene uno o varios de los certificados enumerados por el parámetro de directiva. | auditIfNotExists | 3.0.0 |
| Audit Windows máquinas que no tienen la antigüedad máxima de contraseña establecida en el número especificado de días | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si Windows máquinas que no tienen la antigüedad máxima de contraseña establecida en el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Audit Windows máquinas que no tienen la antigüedad mínima de contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si Windows máquinas que no tienen la antigüedad mínima de contraseña establecida en el número de días especificado. El valor predeterminado para la antigüedad mínima de la contraseña es de 1 día | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Audit Windows máquinas que no tienen habilitada la configuración de complejidad de contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si Windows máquinas que no tienen habilitada la configuración de complejidad de contraseña | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Audit Windows máquinas que no tienen la directiva de ejecución de PowerShell Windows especificada | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el comando de PowerShell Windows Get-ExecutionPolicy devuelve un valor distinto de lo que se seleccionó en el parámetro de directiva. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Audit Windows máquinas que no tienen instalados los módulos de PowerShell Windows especificados | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si un módulo no está disponible en la ubicación especificada por la variable de entorno PSModulePath. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Audit Windows máquinas que no restringen la longitud mínima de la contraseña al número especificado de caracteres | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si Windows máquinas que no restringen la longitud mínima de la contraseña al número especificado de caracteres. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Audit Windows máquinas que no almacenan contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si Windows máquinas que no almacenan contraseñas mediante cifrado reversible | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Audit Windows máquinas que no tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación no se encuentra en ninguna de las siguientes rutas de acceso del Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas que tienen cuentas adicionales en el grupo Administradores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene miembros que no se enumeran en el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas que no se han reiniciado en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la propiedad de WMI LastBootUpTime en la clase Win32_Operatingsystem está fuera del intervalo de días proporcionado por el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas que tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación se encuentra en cualquiera de las siguientes rutas de acceso del Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas que tienen los miembros especificados en el grupo Administradores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas virtuales con un reinicio pendiente | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina está pendiente de reinicio por cualquiera de las siguientes razones: mantenimiento basado en componentes, Windows Update, cambio de nombre de archivo pendiente, cambio de nombre del equipo pendiente, administrador de configuración pendiente reinicio. Cada detección tiene una ruta de acceso del registro única. | auditIfNotExists | 2.0.0 |
| La autenticación en máquinas Linux debe requerir claves SSH. | Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure a través de SSH es con un par de claves pública-privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Deshabilitado | 3.2.0 |
| Azure Backup debe estar habilitado para Virtual Machines | Asegúrese de proteger la Azure Virtual Machines habilitando Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| La extensión ChangeTracking debe instalarse en los conjuntos de escalado de máquinas virtuales Linux | Instale la extensión ChangeTracking en conjuntos de escalado de máquinas virtuales Linux para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Agente de supervisión. | AuditIfNotExists, Deshabilitado | 2.0.1 |
| ExtensiónChangeTracking debe instalarse en los conjuntos de escalado de máquinas virtuales Windows | Instale la extensión ChangeTracking en Windows conjuntos de escalado de máquinas virtuales para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Agente de supervisión. | AuditIfNotExists, Deshabilitado | 2.0.1 |
| Las instancias de rol de Cloud Services (soporte extendido) deben configurarse de forma segura | Proteja las instancias de rol de Cloud Service (soporte extendido) de los ataques asegurándose de que no se expongan a ninguna vulnerabilidad del sistema operativo. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las instancias de rol de Cloud Services (soporte extendido) deben tener instaladas las actualizaciones del sistema | Proteja sus instancias de rol de Cloud Services (soporte extendido) asegurándose de que las actualizaciones críticas y de seguridad más recientes estén instaladas en ellas. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Configure Azure Defender para que los servidores estén deshabilitados para todos los recursos (nivel de recurso) | Azure Defender para servidores proporciona protección contra amenazas en tiempo real para cargas de trabajo de servidor y genera recomendaciones de protección, así como alertas sobre actividades sospechosas. Esta directiva deshabilitará el Defender para el plan servidores para todos los recursos (máquinas virtuales, VMSS y máquinas ARC) en el ámbito seleccionado (suscripción o grupo de recursos). | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configurar Azure Defender para que los servidores estén deshabilitados para los recursos (nivel de recurso) con la etiqueta seleccionada | Azure Defender para servidores proporciona protección contra amenazas en tiempo real para cargas de trabajo de servidor y genera recomendaciones de protección, así como alertas sobre actividades sospechosas. Esta directiva deshabilitará el plan de Defender para servidores para todos los recursos (máquinas virtuales, VMSS y máquinas ARC) que tengan el nombre de etiqueta y los valores de etiqueta seleccionados. | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configurar Azure Defender para que los servidores estén habilitados (subplan "P1") para todos los recursos (nivel de recurso) con la etiqueta seleccionada | Azure Defender para servidores proporciona protección contra amenazas en tiempo real para cargas de trabajo de servidor y genera recomendaciones de protección, así como alertas sobre actividades sospechosas. Esta directiva habilitará la Defender para el plan servidores (con el subplan "P1") para todos los recursos (máquinas virtuales y máquinas ARC) que tengan el nombre de etiqueta y los valores de etiqueta seleccionados. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configurar Azure Defender para que los servidores estén habilitados (con el subplan "P1") para todos los recursos (nivel de recurso) | Azure Defender para servidores proporciona protección contra amenazas en tiempo real para cargas de trabajo de servidor y genera recomendaciones de protección, así como alertas sobre actividades sospechosas. Esta directiva habilitará el plan de Defender para servidores (con el subplan "P1") para todos los recursos (máquinas virtuales y máquinas ARC) en el ámbito seleccionado (suscripción o grupo de recursos). | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configurar la copia de seguridad en las máquinas virtuales con una etiqueta específica en un nuevo almacén de Recovery Services con una directiva predeterminada | Aplique la copia de seguridad de todas las máquinas virtuales mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la máquina virtual. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede incluir máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.5.0 |
| Configurar la copia de seguridad en las máquinas virtuales con una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación | Aplique la copia de seguridad de todas las máquinas virtuales; para ello, realice una copia de seguridad en un almacén de Recovery Services central que se encuentre en la misma ubicación y suscripción que la máquina virtual. Esto resulta útil cuando hay un equipo central en la organización que administra las copias de seguridad de todos los recursos de una suscripción. Opcionalmente, puede incluir máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.5.0 |
| Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un nuevo almacén de Recovery Services con una directiva predeterminada | Aplique la copia de seguridad de todas las máquinas virtuales mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la máquina virtual. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede excluir las máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.5.0 |
| Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación | Aplique la copia de seguridad de todas las máquinas virtuales; para ello, realice una copia de seguridad en un almacén de Recovery Services central que se encuentre en la misma ubicación y suscripción que la máquina virtual. Esto resulta útil cuando hay un equipo central en la organización que administra las copias de seguridad de todos los recursos de una suscripción. Opcionalmente, puede excluir las máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.5.0 |
| Configuración de la extensión ChangeTracking para conjuntos de escalado de máquinas virtuales Linux | Configure conjuntos de escalado de máquinas virtuales Linux para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitor Agente. | DeployIfNotExists, Deshabilitado | 2.1.0 |
| Configuración de la extensión ChangeTracking para máquinas virtuales Linux | Configure máquinas virtuales Linux para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitor Agente. | DeployIfNotExists, Deshabilitado | 2.2.0 |
| Extensión ChangeTracking para conjuntos de escalado de máquinas virtuales Windows | Configure Windows conjuntos de escalado de máquinas virtuales para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitor Agente. | DeployIfNotExists, Deshabilitado | 2.1.0 |
| Configurar extensión ChangeTracking para máquinas virtuales Windows | Configure Windows máquinas virtuales para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros Windows, el software de aplicación, los archivos del sistema Linux, etc., para ver los cambios que podrían indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitor Agente. | DeployIfNotExists, Deshabilitado | 2.2.0 |
| Configurar la recuperación ante desastres en máquinas virtuales habilitando la replicación a través de Azure Site Recovery | Las máquinas virtuales sin configuraciones de recuperación ante desastres pueden verse afectadas por interrupciones. Si la máquina virtual aún no tiene configurada la recuperación ante desastres, esta se iniciará al habilitar la replicación mediante configuraciones predeterminadas para facilitar la continuidad empresarial. Opcionalmente, puede incluir o excluir máquinas virtuales que contengan una etiqueta especificada para controlar el ámbito de la asignación. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | DeployIfNotExists, Deshabilitado | 2.1.1 |
| Configurar recursos de acceso al disco con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a Azure servicios sin una dirección IP pública en el origen o destino. Al asignación puntos de conexión privados a los recursos de acceso al disco, podrá reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configuración de máquinas Linux para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular máquinas virtuales Linux, conjuntos de escalado de máquinas virtuales y máquinas habilitadas para Arc a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Deshabilitado | 6.8.0 |
| Configuración de Linux Server para deshabilitar los usuarios locales. | Crea una asignación de configuración de invitado para configurar la deshabilitación de los usuarios locales en un servidor Linux. Esto garantiza que la cuenta de AAD (Azure Active Directory) solo pueda acceder a los servidores Linux o una lista de usuarios permitidos explícitamente por esta directiva, lo que mejora la posición general de seguridad. | DeployIfNotExists, Deshabilitado | 1.4.0-preview |
| Configurar el Virtual Machine Scale Sets de Linux que se va a asociar a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Linux a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Deshabilitado | 4.7.0 |
| Configurar conjuntos de escalado de máquinas virtuales Linux para ejecutar Azure Monitor Agente con autenticación basada en identidad administrada asignada por el sistema | Automatice la implementación de la extensión Azure Monitor Agent en los conjuntos de escalado de máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 3.10.0 |
| Configurar conjuntos de escalado de máquinas virtuales Linux para ejecutar Azure Monitor Agente con autenticación administrada asignada por el usuario | Automatice la implementación de la extensión Azure Monitor Agent en los conjuntos de escalado de máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 3.11.0 |
| Configurar Virtual Machines linux para asociarse a una regla de recopilación de datos para ChangeTracking e Inventario | Implemente la asociación para vincular máquinas virtuales Linux a la regla de recopilación de datos especificada para habilitar ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Deshabilitado | 1.2.0 |
| Configurar Virtual Machines de Linux para asociarse a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular máquinas virtuales Linux a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Deshabilitado | 4.7.0 |
| Configurar máquinas virtuales Linux para ejecutar Azure Monitor Agente con autenticación basada en identidad administrada asignada por el sistema | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 3.10.0 |
| Configurar máquinas virtuales Linux para ejecutar Azure Monitor Agente con autenticación basada en identidad administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 3.14.0 |
| Configuración de máquinas virtuales Linux para instalar AMA para ChangeTracking e Inventario con identidad administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas virtuales Linux para habilitar ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 1.7.0 |
| Configuración de VMSS Linux para asociarse a una regla de recopilación de datos para ChangeTracking e Inventario | Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Linux a la regla de recopilación de datos especificada para permitir ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configuración de VMSS Linux para instalar AMA para ChangeTracking e Inventario con la identidad administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Linux para habilitar ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 1.5.0 |
| Configuración de las máquinas para recibir un proveedor de valoración de vulnerabilidades | Azure Defender incluye el examen de vulnerabilidades de las máquinas sin costo adicional. No se necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Security Center. Al habilitar esta directiva, Azure Defender implementa automáticamente el proveedor de evaluación de vulnerabilidades de Qualys en todas las máquinas admitidas que aún no lo tienen instalado. | DeployIfNotExists, Deshabilitado | 4.0.0 |
| Configurar discos administrados para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de disco administrado para que no sea accesible a través de Internet de acceso público. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/disksprivatelinksdoc. | Modify, Deshabilitado | 2.0.0 |
| Configuración de la comprobación periódica de las actualizaciones del sistema que faltan en máquinas virtuales de Azure | Configure la evaluación automática (cada 24 horas) para las actualizaciones del sistema operativo en máquinas virtuales nativas Azure. Puede controlar el ámbito de asignación según la suscripción, el grupo de recursos, la ubicación o la etiqueta de la máquina. Obtenga más información sobre esto para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.10.0 |
| Configurar protocolos de comunicación seguros (TLS 1.1 o TLS 1.2) en máquinas Windows | Crea una asignación de configuración de invitado para configurar la versión de protocolo seguro especificada (TLS 1.1 o TLS 1.2) en Windows máquina. | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configure SQL Virtual Machines para instalar automáticamente Azure Monitor Agent | Automatice la implementación de la extensión del agente de Azure Monitor en la Virtual Machines sql de Windows. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 1.6.0 |
| Configure SQL Virtual Machines para instalar automáticamente Microsoft Defender para SQL | Configure Windows sql Virtual Machines para instalar automáticamente el Microsoft Defender para la extensión SQL. Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). | DeployIfNotExists, Deshabilitado | 1.6.0 |
| Configure SQL Virtual Machines para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de Log Analytics | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos, una regla de recopilación de datos y Log Analytics área de trabajo en la misma región que la máquina. | DeployIfNotExists, Deshabilitado | 1.9.0 |
| Configure SQL Virtual Machines para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de LA definida por el usuario | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics definida por el usuario. | DeployIfNotExists, Deshabilitado | 1.10.0 |
| Configure SQL Virtual Machines para instalar automáticamente Microsoft Defender para la extensión SQL | Configure Windows sql Virtual Machines para instalar automáticamente el Microsoft Defender para la extensión SQL. Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configuración de la posición de seguridad de SSH para Linux (con tecnología de OSConfig) | Esta directiva audita y configura la configuración de seguridad del servidor SSH en máquinas Linux (Azure máquinas virtuales y máquinas habilitadas para Arc). Para obtener más información, incluidos los requisitos previos, la configuración en el ámbito, los valores predeterminados y la personalización, consulte https://aka.ms/SshPostureControlOverview | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configurar zona horaria en Windows machines. | Esta directiva crea una asignación de configuración de invitado para establecer la zona horaria especificada en Windows máquinas virtuales. | deployIfNotExists | 3.1.0 |
| Configure las máquinas virtuales que se van a incorporar a Azure Automanage | Azure Automanage inscribe, configura y supervisa máquinas virtuales con el procedimiento recomendado tal como se define en Microsoft Cloud Adoption Framework para Azure. Use esta directiva para aplicar Administración automática al ámbito seleccionado. | AuditarSiNoExiste, ImplementarSiNoExiste, Deshabilitado | 2.4.0 |
| Configure las máquinas virtuales que se van a incorporar a Azure Automanage con el perfil de configuración personalizado | Azure Automanage inscribe, configura y supervisa máquinas virtuales con el procedimiento recomendado tal como se define en Microsoft Cloud Adoption Framework para Azure. Use esta directiva para aplicar Automanage con su propio perfil de configuración personalizado al ámbito seleccionado. | AuditarSiNoExiste, ImplementarSiNoExiste, Deshabilitado | 1.4.0 |
| Configure Windows Machines para asociarse a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente Asociación para vincular Windows máquinas virtuales, conjuntos de escalado de máquinas virtuales y máquinas arc a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Deshabilitado | 4.8.0 |
| Configurar Windows Virtual Machine Scale Sets asociar con una regla de recopilación de datos o un punto de conexión de recopilación de datos | Implemente Association para vincular Windows conjuntos de escalado de máquinas virtuales a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Deshabilitado | 3.7.0 |
| Configure Windows conjuntos de escalado de máquinas virtuales para ejecutar Azure Monitor Agent mediante la identidad administrada asignada por el sistema | Automatice la implementación de la extensión del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 3.7.0 |
| Configurar Windows conjuntos de escalado de máquinas virtuales para ejecutar Azure Monitor Agente con autenticación administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 1.9.0 |
| Configurar Windows Virtual Machines estar asociado a una regla de recopilación de datos para ChangeTracking e Inventario | Implemente Association para vincular Windows máquinas virtuales a la regla de recopilación de datos especificada para habilitar ChangeTracking e Inventory. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Deshabilitado | 1.3.0 |
| Configurar Windows Virtual Machines asociar con una regla de recopilación de datos o un punto de conexión de recopilación de datos | Implemente Association para vincular Windows máquinas virtuales a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Deshabilitado | 3.6.0 |
| Configure Windows máquinas virtuales para ejecutar Azure Monitor Agente mediante la identidad administrada asignada por el sistema | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas virtuales de Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 4.7.0 |
| Configure Windows máquinas virtuales para ejecutar Azure Monitor Agente con autenticación administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas virtuales de Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 1.9.0 |
| Configure Windows vm para instalar AMA para ChangeTracking e Inventario con identidad administrada asignada por el usuario | Automatice la implementación de la extensión Azure Monitor Agent en las máquinas virtuales de Windows para habilitar ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 1.4.0 |
| Configure Windows VMSS para asociarse a una regla de recopilación de datos para ChangeTracking e Inventario | Implemente Association para vincular Windows conjuntos de escalado de máquinas virtuales a la regla de recopilación de datos especificada para habilitar ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Deshabilitado | 1.2.0 |
| Configure Windows VMSS para instalar AMA para ChangeTracking e Inventario con identidad administrada asignada por el usuario | Automatice la implementación de la extensión Azure Monitor Agent en los conjuntos de escalado de máquinas virtuales Windows para habilitar ChangeTracking e Inventory. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Deshabilitado | 1.3.0 |
| Creación y asignación de una identidad administrada integrada asignada por el usuario | Crear y asignar una identidad administrada integrada asignada por el usuario a máquinas virtuales de SQL a escala. | AuditarSiNoExiste, ImplementarSiNoExiste, Deshabilitado | 1.8.0 |
| Auditar la implementación de Dependency Agent: imagen de VM (SO) no mostrada | Informa de las máquinas virtuales como no compatibles si la imagen de máquina virtual está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada | Notifica los conjuntos de escalado de máquinas virtuales como no compatibles si la imagen de máquina virtual está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Deploy: configuración de Dependency Agent para habilitarse en conjuntos de escalado de máquinas virtuales Windows | Implemente Dependency Agent para Windows conjuntos de escalado de máquinas virtuales si la imagen de máquina virtual está en la lista definida y el agente no está instalado. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. | DeployIfNotExists, Deshabilitado | 3.3.0 |
| Deploy: configuración de Dependency Agent para habilitarse en máquinas virtuales de Windows | Implemente Dependency Agent para Windows máquinas virtuales si la imagen de máquina virtual está en la lista definida y el agente no está instalado. | DeployIfNotExists, Deshabilitado | 3.3.0 |
| Deploy default Microsoft extensión IaaSAntimalware para Windows Server | Esta directiva implementa una extensión iaaSAntimalware de Microsoft con una configuración predeterminada cuando una máquina virtual no está configurada con la extensión antimalware. | deployIfNotExists | 1.1.0 |
| Implementación de Dependency Agent para conjuntos de escalado de máquinas virtuales Linux | Implemente Dependency Agent para conjuntos de escalado de máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y el agente no está instalado. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. | deployIfNotExists | 5.1.0 |
| Deploy Dependency Agent for Linux virtual machine scale sets with Azure Monitoring Agent settings | Implemente Dependency Agent para conjuntos de escalado de máquinas virtuales Linux con Azure configuración del Agente de supervisión si la imagen de máquina virtual (SO) está en la lista definida y el agente no está instalado. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. | DeployIfNotExists, Deshabilitado | 3.2.0 |
| Implementación de Dependency Agent para máquinas virtuales Linux | Permite implementar Dependency Agent para las máquinas virtuales Linux si la imagen de VM (SO) está en la lista definida y el agente no está instalado. | deployIfNotExists | 5.1.0 |
| Deploy Dependency Agent for Linux virtual machines with Azure Monitoring Agent settings | Implemente Dependency Agent para máquinas virtuales Linux con Azure configuración del Agente de supervisión si la imagen de máquina virtual (SO) está en la lista definida y el agente no está instalado. | DeployIfNotExists, Deshabilitado | 3.2.0 |
| Deploy Dependency Agent para habilitarse en Windows conjuntos de escalado de máquinas virtuales con la configuración del Agente de supervisión de Azure | Implemente Dependency Agent para Windows conjuntos de escalado de máquinas virtuales con Azure configuración del Agente de supervisión si la imagen de máquina virtual está en la lista definida y el agente no está instalado. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. | DeployIfNotExists, Deshabilitado | 1.4.0 |
| Deploy Dependency Agent para habilitarse en máquinas virtuales de Windows con la configuración del agente de supervisión de Azure | Implemente Dependency Agent para Windows máquinas virtuales con Azure configuración del Agente de supervisión si la imagen de máquina virtual está en la lista definida y el agente no está instalado. | DeployIfNotExists, Deshabilitado | 1.4.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en máquinas virtuales Linux hospedadas en Azure compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.2.0 |
| Deploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs | Esta directiva implementa la extensión de configuración de invitado de Windows para Windows máquinas virtuales hospedadas en Azure compatibles con la configuración de invitado. La extensión de configuración de invitado Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.3.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Los discos y la imágenes del sistema operativo deben admitir TrustedLaunch | TrustedLaunch mejora la seguridad de una máquina virtual que requiere un disco del sistema operativo y una imagen del sistema operativo para admitirla (Gen 2). Para obtener más información sobre TrustedLaunch, visita https://aka.ms/trustedlaunch. | Auditar, Deshabilitado | 1.0.0 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas en invitado estarán disponibles, como "Windows Protección contra vulnerabilidades de seguridad debe estar habilitada". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Hotpatch debe estar habilitado para máquinas virtuales Windows Server Azure Edition | Minimice los reinicios e instale las actualizaciones rápidamente con la ayuda de la revisión en caliente. Más información en https://docs.microsoft.com/azure/automanage/automanage-hotpatch. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| las máquinas Linux deben cumplir los requisitos de la línea base de seguridad de proceso Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la línea base de seguridad de proceso de Azure. | AuditIfNotExists, Deshabilitado | 2.3.1 |
| Las máquinas Linux solo deben tener cuentas locales permitidas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. La administración de cuentas de usuario con Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. | AuditIfNotExists, Deshabilitado | 2.2.0 |
| Linux los conjuntos de escalado de máquinas virtuales deben tener instalado Azure Monitor Agent | Los conjuntos de escalado de máquinas virtuales Linux deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Esta directiva auditará los conjuntos de escalado de máquinas virtuales con imágenes de sistema operativo admitidas en las regiones admitidas. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Deshabilitado | 3.6.0 |
| las máquinas virtuales Linux deben habilitar Azure Disk Encryption o EncryptionAtHost. | Aunque el sistema operativo y los discos de datos de una máquina virtual están cifrados en reposo de forma predeterminada mediante claves administradas por la plataforma, los discos de recursos (discos temporales), las memorias caché de datos y los datos que fluyen entre los recursos de proceso y almacenamiento no se cifran. Use Azure Disk Encryption o EncryptionAtHost para corregir. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.2.1 |
| las máquinas virtuales Linux deben tener instalado Azure Monitor Agent | Las máquinas virtuales Linux deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Esta directiva auditará las máquinas virtuales con imágenes de sistema operativo admitidas en las regiones admitidas. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Deshabilitado | 3.6.0 |
| Los métodos de autenticación local deben deshabilitarse en máquinas Linux | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los servidores Linux no tienen deshabilitados los métodos de autenticación local. Esto es para validar que la cuenta de AAD (Azure Active Directory) solo puede acceder a los servidores Linux o una lista de usuarios permitidos explícitamente por esta directiva, lo que mejora la posición de seguridad general. | AuditIfNotExists, Deshabilitado | 1.2.0-preview |
| Los métodos de autenticación Local deben deshabilitarse en servidores de Windows | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los servidores de Windows no tienen métodos de autenticación locales deshabilitados. Esto es para validar que la cuenta de AAD (Azure Active Directory) solo puede acceder a los servidores de Windows o una lista de usuarios permitidos explícitamente por esta directiva, lo que mejora la posición de seguridad general. | AuditIfNotExists, Deshabilitado | 1.0.0-preview |
| Log Analytics agente debe estar instalado en las instancias de rol de Cloud Services (soporte extendido) | Security Center recopila datos de las instancias de rol de Cloud Services (soporte extendido) para supervisar las vulnerabilidades y amenazas de seguridad. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Las máquinas deben configurarse para que se compruebe periódicamente si faltan actualizaciones del sistema | Para asegurarse de que las evaluaciones periódicas de las actualizaciones del sistema que faltan se desencadenan automáticamente cada 24 horas, la propiedad AssessmentMode debe establecerse en "AutomaticByPlatform". Obtenga más información sobre la propiedad AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Auditar, Denegar, Deshabilitado | 3.9.0 |
| Las máquinas deberían tener conclusiones de secretos resueltas | Audita las máquinas virtuales para detectar si contienen resultados de secretos de las soluciones de análisis de secretos en las máquinas virtuales. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma | Los clientes con datos confidenciales de alto nivel de seguridad que están preocupados por el riesgo asociado a cualquier algoritmo de cifrado, implementación o clave en peligro concretos pueden optar por una capa adicional de cifrado con un algoritmo o modo de cifrado diferente en el nivel de infraestructura mediante claves de cifrado administradas por la plataforma. Los conjuntos de cifrado de disco son necesarios para usar el cifrado doble. Obtenga más información en https://aka.ms/disks-doubleEncryption. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Los discos administrados deben deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública mejora la seguridad al garantizar que un disco administrado no esté expuesto en Internet de acceso público. La creación de puntos de conexión privados permite limitar el nivel de exposición de los discos administrados. Más información en: https://aka.ms/disksprivatelinksdoc. | Auditar, Denegar, Deshabilitado | 2.1.0 |
| Los discos administrados deben usar un conjunto específico de conjuntos de cifrado de disco para el cifrado de claves administradas por el cliente | Requerir un conjunto específico de los conjuntos de cifrado de disco para usarlo con Managed Disks le ofrece control sobre las claves usadas para el cifrado en reposo. Puede seleccionar los conjuntos cifrados permitidos y todos los demás se rechazan cuando se conectan a un disco. Obtenga más información en https://aka.ms/disks-cmk. | Auditar, Denegar, Deshabilitado | 2.0.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | El acceso a la red Just-In-Time (JIT) posible se supervisará Azure Security Center como recomendaciones | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Microsoft Antimalware para Azure debe configurarse para actualizar automáticamente las firmas de protección | Esta directiva audita cualquier máquina virtual Windows no configurada con la actualización automática de Microsoft firmas de protección antimalware. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Microsoft extensión IaaSAntimalware debe implementarse en servidores Windows | Esta directiva audita cualquier máquina virtual del servidor Windows sin Microsoft extensión IaaSAntimalware implementada. | AuditIfNotExists, Deshabilitado | 1.1.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Solo deben instalarse las extensiones de máquina virtual aprobadas | Esta directiva rige las extensiones de máquina virtual que no están aprobadas. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| El SO y los discos de datos deben cifrarse con una clave administrada por el cliente | Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de Managed Disks. De manera predeterminada, los datos se cifran en reposo con claves administradas por la plataforma, pero las claves administradas por el cliente suelen ser necesarias para cumplir los estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada y propiedad de usted. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/disks-cmk. | Auditar, Denegar, Deshabilitado | 3.0.0 |
| Los puntos de conexión privados para las asignaciones de configuración de invitado deben habilitarse. | Las conexiones de punto de conexión privado aplican una comunicación segura, ya que habilitan la conectividad privada con la configuración de invitado para las máquinas virtuales. Las máquinas virtuales serán no compatibles a menos que tengan la etiqueta "EnablePrivateNetworkGC". Esta etiqueta aplica la comunicación segura a través de la conectividad privada a la configuración de invitado para Virtual Machines. La conectividad privada limita el acceso al tráfico procedente solo de redes conocidas y evita el acceso a todas las demás direcciones IP, incluidos los Azure. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Proteja los datos con requisitos de autenticación al exportar o cargar en un disco o instantánea. | Cuando se usa la dirección URL de exportación o carga, el sistema comprueba si el usuario tiene una identidad en Azure Active Directory y tiene los permisos necesarios para exportar o cargar los datos. Consulte aka.ms/DisksAzureADAuth. | Modify, Deshabilitado | 1.0.0 |
| Require la aplicación automática de revisiones de imágenes del sistema operativo en Virtual Machine Scale Sets | Esta directiva aplica la habilitación de la aplicación automática de revisiones de imágenes del sistema operativo en Virtual Machine Scale Sets para mantener siempre Virtual Machines segura mediante la aplicación segura de las revisiones de seguridad más recientes cada mes. | deny | 1.0.0 |
| Actualizaciones periódicas deschedule mediante Administrador de actualizaciones de Azure | Puede usar Administrador de actualizaciones de Azure en Azure para guardar programaciones de implementación periódicas para instalar actualizaciones del sistema operativo para las máquinas Windows Server y Linux en Azure, en entornos locales y en otros entornos en la nube conectados mediante servidores habilitados para Azure Arc. Esta directiva también cambiará el modo de revisión de la máquina virtual de Azure a "AutomaticByPlatform". Más información: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Deshabilitado | 3.14.0 |
| Set prerequisite for Scheduling recurring updates on Azure virtual machines. | Esta directiva establecerá los requisitos previos necesarios para programar actualizaciones periódicas en Administrador de actualizaciones de Azure configurando la orquestación de revisiones en "Programaciones administradas por el cliente". Este cambio establecerá automáticamente el modo de revisión en "AutomaticByPlatform" y habilitará "BypassPlatformSafetyChecksOnUserSchedule" en "True" en máquinas virtuales de Azure. El requisito previo no es aplicable a los servidores habilitados para Arc. Obtener más información: https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, Deshabilitado | 1.3.0 |
| Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización) | A las máquinas les faltan actualizaciones del sistema, de seguridad y actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| La extensión de Log Analytics heredada no debe instalarse en conjuntos de escalado de máquinas virtuales Linux | Evite automáticamente la instalación del agente de Log Analytics heredado como último paso de migración de agentes heredados a Azure Monitor Agent. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en conjuntos de escalado de máquinas virtuales Linux. Más información: https://aka.ms/migratetoAMA | Denegar, Auditar, Deshabilitado | 1.0.0 |
| La extensión de Log Analytics heredada no debe instalarse en máquinas virtuales Linux | Evite automáticamente la instalación del agente de Log Analytics heredado como último paso de migración de agentes heredados a Azure Monitor Agent. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en máquinas virtuales Linux. Más información: https://aka.ms/migratetoAMA | Denegar, Auditar, Deshabilitado | 1.0.0 |
| La extensión de Log Analytics heredada no debe instalarse en conjuntos de escalado de máquinas virtuales | Evite automáticamente la instalación del agente de Log Analytics heredado como último paso de migración de agentes heredados a Azure Monitor Agent. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en Windows conjuntos de escalado de máquinas virtuales. Más información: https://aka.ms/migratetoAMA | Denegar, Auditar, Deshabilitado | 1.0.0 |
| La extensión de Log Analytics heredada no debe instalarse en máquinas virtuales | Evite automáticamente la instalación del agente de Log Analytics heredado como último paso de migración de agentes heredados a Azure Monitor Agent. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en Windows máquinas virtuales. Más información: https://aka.ms/migratetoAMA | Denegar, Auditar, Deshabilitado | 1.0.0 |
| Máquina virtual debe tener habilitado TrustedLaunch | Habilita TrustedLaunch en la máquina virtual para mejorar la seguridad, usa la SKU de máquina virtual (Gen 2) que admita TrustedLaunch. Para obtener más información sobre TrustedLaunch, visita https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch. | Auditar, Deshabilitado | 1.0.0 |
| Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | Use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en https://aka.ms/vm-hbe. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| las máquinas Virtual deben migrarse a nuevos recursos de Azure Resource Manager | Use nuevos Azure Resource Manager para las máquinas virtuales para proporcionar mejoras de seguridad como: un control de acceso más seguro (RBAC), una mejor auditoría, Azure Resource Manager implementación y gobernanza basada en el acceso a identidades administradas, acceso al almacén de claves para secretos, Azure Autenticación basada en AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad | Auditar, Denegar, Deshabilitado | 1.0.0 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Azure máquinas virtuales en el ámbito de esta directiva no serán compatibles cuando tengan instalada la extensión Configuración de invitado, pero no tengan una identidad administrada asignada por el sistema. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Windows Defender Protección contra vulnerabilidades de seguridad debe estar habilitada en las máquinas | Windows Defender Protección contra vulnerabilidades de seguridad usa el agente de configuración de invitado de Azure Policy. Protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos frente a una amplia variedad de vectores de ataque y comportamientos de bloqueo que se usan habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar sus requisitos de seguridad y productividad (solo Windows). | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Windows las máquinas deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Deshabilitado | 4.1.1 |
| Windows las máquinas deben configurar Windows Defender para actualizar las firmas de protección en un día | Para proporcionar una protección adecuada frente al malware recién lanzado, Windows Defender las firmas de protección deben actualizarse periódicamente para tener en cuenta el malware recién publicado. Esta directiva no se aplica a los servidores conectados a Arc y requiere que se hayan implementado los requisitos previos de configuración de invitado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Windows las máquinas deben habilitar Windows Defender protección en tiempo real | Windows máquinas deben habilitar la protección en tiempo real en el Windows Defender para proporcionar una protección adecuada contra malware recién lanzado. Esta directiva no está disponible para los servidores conectados a Arc y requiere que se hayan implementado los requisitos previos de configuración de invitado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Windows las máquinas deben cumplir los requisitos de "Plantillas administrativas: Panel de control" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Panel de control" para la personalización de entrada y la prevención de habilitar las pantallas de bloqueo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Plantillas administrativas: MSS (heredado)" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - MSS (heredado)" para el inicio de sesión automático, el protector de pantalla, el comportamiento de red, la DLL segura y el registro de eventos. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Plantillas administrativas: red" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Red" para inicios de sesión invitados, conexiones simultáneas, puente de red, ICS y resolución de nombres de multidifusión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Plantillas administrativas- Sistema" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Sistema" para la configuración que controla la experiencia administrativa y la asistencia remota. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad: cuentas" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cuentas" para limitar el uso de cuentas locales de contraseñas en blanco y estado de la cuenta de invitado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad- Auditoría" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Auditoría" para forzar la subcategoría de directiva de auditoría y apagar si no se pueden registrar las auditorías de seguridad. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad: dispositivos" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad : dispositivos" para desadocificar sin iniciar sesión, instalar controladores de impresión y formato o expulsar medios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad- Inicio de sesión interactivo" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Inicio de sesión interactivo" para mostrar el apellido de usuario y requerir ctrl-alt-supr. Esta directiva requiere que se hayan implementado los requisitos previos de configuración de invitado en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad: cliente de red Microsoft" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad- Microsoft cliente de red" para Microsoft cliente o servidor de red y SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad: servidor de red Microsoft" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad- Microsoft servidor de red" para deshabilitar el servidor SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad: acceso a la red" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Acceso a la red" para incluir el acceso a usuarios anónimos, cuentas locales y acceso remoto al Registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad- Seguridad de red" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad : seguridad de red" para incluir el comportamiento del sistema local, PKU2U, el administrador de LAN, el cliente LDAP y el SSP NTLM. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad: consola de recuperación" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Consola de recuperación" para permitir la copia y el acceso a todas las unidades y carpetas. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad: apagado" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Apagado" para permitir el apagado sin iniciar sesión y borrar el archivo de página de memoria virtual. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad: objetos del sistema" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Objetos del sistema" por si no Windows subsistemas y permisos de objetos internos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad: configuración del sistema" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Configuración del sistema" para las reglas de certificado en los archivos ejecutables para SRP y subsistemas opcionales. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Opciones de seguridad- Control de cuentas de usuario" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Control de cuentas de usuario" para el modo para administradores, comportamiento de solicitud de elevación y virtualización de errores de escritura de archivo y registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Configuración de seguridad: directivas de cuenta" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para el historial de contraseñas, la antigüedad, la longitud, la complejidad y el almacenamiento de contraseñas mediante cifrado reversible. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Directivas de auditoría del sistema: inicio de sesión de cuenta" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Inicio de sesión de cuenta" para auditar la validación de credenciales y otros eventos de inicio de sesión de cuenta. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Directivas de auditoría del sistema- Administración de cuentas" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Administración de cuentas" para auditar la aplicación, la seguridad y la administración de grupos de usuarios y otros eventos de administración. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Directivas de auditoría del sistema: seguimiento detallado" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar DPAPI, creación y finalización de procesos, eventos RPC y actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Directivas de auditoría del sistema - Logon-Logoff" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Inicio de sesión-Inicio de sesión" para auditar IPSec, directiva de red, notificaciones, bloqueo de cuentas, pertenencia a grupos y eventos de inicio de sesión o de cierre de sesión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Directivas de auditoría del sistema: acceso a objetos" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Acceso a objetos" para auditar archivo, registro, SAM, almacenamiento, filtrado, kernel y otros tipos de sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Directivas de auditoría del sistema: cambio de directiva" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Cambio de directiva" para auditar los cambios en las directivas de auditoría del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Directivas de auditoría del sistema: uso de privilegios" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Uso de privilegios" para auditar el uso sin distinción y otros privilegios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Directivas de auditoría del sistema: sistema" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema : sistema" para auditar el controlador IPsec, la integridad del sistema, la extensión del sistema, el cambio de estado y otros eventos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "Asignación de derechos de usuario" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Asignación de derechos de usuario" para permitir el inicio de sesión local, RDP, acceso desde la red y muchas otras actividades de usuario. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "componentes de Windows" | Windows máquinas deben tener la configuración de directiva de grupo especificada en la categoría "componentes de Windows" para la autenticación básica, el tráfico sin cifrar, las cuentas de Microsoft, la telemetría, Cortana y otros comportamientos de Windows. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de "propiedades del firewall de Windows" | Windows las máquinas deben tener la configuración de directiva de grupo especificada en la categoría "Propiedades del firewall Windows" para el estado del firewall, las conexiones, la administración de reglas y las notificaciones. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Windows las máquinas deben cumplir los requisitos de la línea base de seguridad de proceso Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la línea base de seguridad de proceso de Azure. | AuditIfNotExists, Deshabilitado | 2.1.1 |
| Windows las máquinas solo deben tener cuentas locales permitidas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Esta definición no se admite en Windows Server 2012 o 2012 R2. La administración de cuentas de usuario con Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Windows los conjuntos de escalado de máquinas virtuales deben tener instalado Azure Monitor Agent | Windows los conjuntos de escalado de máquinas virtuales deben supervisarse y protegerse a través del agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Los conjuntos de escalado de máquinas virtuales con el sistema operativo compatible y en las regiones admitidas se supervisan para la implementación del agente de Azure Monitor. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Deshabilitado | 3.5.0 |
| Windows las máquinas virtuales deben habilitar Azure Disk Encryption o EncryptionAtHost. | Aunque el sistema operativo y los discos de datos de una máquina virtual están cifrados en reposo de forma predeterminada mediante claves administradas por la plataforma, los discos de recursos (discos temporales), las memorias caché de datos y los datos que fluyen entre los recursos de proceso y almacenamiento no se cifran. Use Azure Disk Encryption o EncryptionAtHost para corregir. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 1.1.1 |
| Windows las máquinas virtuales deben tener instalado Azure Monitor Agent | Windows las máquinas virtuales deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Windows máquinas virtuales con sistema operativo compatibles y en regiones admitidas se supervisan para la implementación del agente de Azure Monitor. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Deshabilitado | 3.5.0 |
Microsoft. ClassicCompute
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. Azure Security Center plan de tarifa estándar incluye el examen de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center ha identificado que algunas de las reglas de entrada de los grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las máquinas deberían tener conclusiones de secretos resueltas | Audita las máquinas virtuales para detectar si contienen resultados de secretos de las soluciones de análisis de secretos en las máquinas virtuales. | AuditIfNotExists, Deshabilitado | 1.0.2 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| las máquinas Virtual deben migrarse a nuevos recursos de Azure Resource Manager | Use nuevos Azure Resource Manager para las máquinas virtuales para proporcionar mejoras de seguridad como: un control de acceso más seguro (RBAC), una mejor auditoría, Azure Resource Manager implementación y gobernanza basada en el acceso a identidades administradas, acceso al almacén de claves para secretos, Azure Autenticación basada en AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad | Auditar, Denegar, Deshabilitado | 1.0.0 |
Pasos siguientes
- Consulte los componentes integrados en el repositorio Azure Policy GitHub.
- Revise la estructura de definición Azure Policy.
- Vea la Descripción de los efectos de directivas.