Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Applies to : ✔️ machines virtuelles ✔️ Linux Windows machines ✔️ virtuelles identiques flexibles groupes identiques ✔️ Uniform
Cette page est un index de Azure Policy définitions de stratégie intégrées pour Machines virtuelles Azure. Pour obtenir des Azure Policy supplémentaires intégrées pour d’autres services, consultez Azure Policy définitions intégrées.
Le nom de chaque définition de stratégie intégrée est lié à la définition de stratégie dans le portail Azure. Utilisez le lien dans la colonne Version pour afficher la source sur le dépôt Azure Policy GitHub.
Microsoft. Calculer
| Name (portail Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Une identité managée doit être activée sur vos machines | Les ressources gérées par Automanage doivent avoir une identité managée. | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : Ajouter une identité managée affectée par l’utilisateur pour activer les affectations Guest Configuration sur les machines virtuelles | Cette stratégie ajoute une identité managée affectée par l’utilisateur aux machines virtuelles hébergées dans Azure prises en charge par Guest Configuration. Une identité managée affectée par l’utilisateur est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Désactivé | 2.1.0-preview |
| [préversion] : affectez Built-In User-Assigned Identité managée à Virtual Machine Scale Sets | Créez et affectez une identité managée affectée par l’utilisateur intégrée ou attribuez une identité managée affectée par l’utilisateur à grande échelle aux groupes de machines virtuelles identiques. Pour obtenir une documentation plus détaillée, consultez aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.1.0-preview |
| [préversion] : affectez Built-In User-Assigned identité managée à Machines Virtuelles | Créez et affectez une identité managée affectée par l’utilisateur intégrée ou attribuez une identité managée affectée par l’utilisateur à grande échelle aux machines virtuelles identiques. Pour obtenir une documentation plus détaillée, consultez aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.1.0-preview |
| [préversion] : auditez la posture de sécurité SSH pour Windows | Cette stratégie audite la configuration de sécurité du serveur SSH sur les machines Windows Server 2019, 2022 et 2025 (machines virtuelles Azure et machines avec Arc). Pour plus d’informations, notamment les conditions préalables, les paramètres dans l’étendue, les valeurs par défaut et la personnalisation, consultez https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | AuditIfNotExists, Désactivé | 1.1.0-preview |
| [Préversion] : L’affectation du profil de configuration Automanage doit être conforme | Les ressources gérées par Automanage doivent présenter l’état Conformant ou ConformantCorrected. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : Sauvegarde Azure doit être activé pour Disques managés | Assurez-vous de la protection de votre Disques managés en activant Sauvegarde Azure. Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les diagnostics de démarrage doivent être activés sur les machines virtuelles | Azure machines virtuelles doivent avoir activé les diagniostiques de démarrage. | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur votre machine virtuelle Linux | Installez l’extension ChangeTracking sur des machines virtuelles Linux pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitoring Agent. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [préversion] : l’extension ChangeTracking doit être installée sur votre machine virtuelle Windows | Installez l’extension ChangeTracking sur Windows machines virtuelles pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitoring Agent. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [préversion] : configurer Azure Defender pour l’agent SQL sur une machine virtuelle | Configurez Windows machines pour installer automatiquement l’Azure Defender pour l’agent SQL où l’agent Azure Monitor est installé. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Crée un groupe de ressources et Log Analytics espace de travail dans la même région que la machine. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : configurez la sauvegarde des disques Azure (Disques managés) avec une balise donnée dans un coffre de sauvegarde existant dans la même région | Appliquez la sauvegarde pour tous les disques Azure (Disques managés) qui contiennent une balise donnée dans un coffre de sauvegarde central. Pour en savoir plus, voir https://aka.ms/AB-DiskBackupAzPolicies | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0-preview |
| [préversion] : configurez la sauvegarde pour les disques Azure (Disques managés) sans balise donnée dans un coffre de sauvegarde existant dans la même région | Appliquez la sauvegarde pour tous les disques Azure (Disques managés) qui ne contiennent pas d’étiquette donnée dans un coffre de sauvegarde central. Pour en savoir plus, voir https://aka.ms/AB-DiskBackupAzPolicies | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0-preview |
| [préversion] : Configurer la posture de sécurité SSH pour Windows | Cette stratégie configure la configuration de sécurité du serveur SSH sur les machines Windows Server 2019, 2022 et 2025 (machines virtuelles Azure et machines avec Arc). Pour plus d’informations, notamment les conditions préalables, les paramètres dans l’étendue, les valeurs par défaut et la personnalisation, consultez https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | DeployIfNotExists, Désactivé | 1.1.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Linux pris en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les groupes de machines virtuelles Linux identiques pris en charge pour installer automatiquement l’extension d’attestation d’invité pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 6.1.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour activer automatiquement le démarrage sécurisé | Configurez les machines virtuelles Linux prises en charge pour activer automatiquement le démarrage sécurisé afin d’atténuer les modifications malveillantes et non autorisées de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. | DeployIfNotExists, Désactivé | 5.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’extension Guest Attestation pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 7.1.0-preview |
| [Préversion] : Configurer les machines virtuelles prises en charge pour activer automatiquement vTPM | Configurez les machines virtuelles prises en charge pour activer automatiquement vTPM afin de faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [préversion] : configurez les groupes de machines virtuelles identiques pris en charge Windows pour installer automatiquement l’extension Guest Attestation | Configurez les groupes de machines virtuelles identiques pris en charge Windows pour installer automatiquement l’extension d’attestation d’invité afin d’autoriser Azure Security Center à attester et surveiller de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 4.1.0-preview |
| [préversion] : configurez les machines virtuelles Windows prises en charge pour activer automatiquement le démarrage sécurisé | Configurez les machines virtuelles prises en charge Windows pour permettre automatiquement au démarrage sécurisé d’atténuer les modifications malveillantes et non autorisées apportées à la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. | DeployIfNotExists, Désactivé | 3.0.0-preview |
| [préversion] : configurez les machines virtuelles Windows prises en charge pour installer automatiquement l’extension Guest Attestation | Configurez les machines virtuelles Windows prises en charge pour installer automatiquement l’extension Attestation invité pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 5.1.0-preview |
| [préversion] : configurez l’identité managée affectée par le système pour activer les affectations de Azure Monitor sur les machines virtuelles | Configurez l’identité managée affectée par le système sur des machines virtuelles hébergées dans Azure prises en charge par Azure Monitor et n’ont pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les affectations de Azure Monitor et doit être ajoutée aux machines avant d’utiliser n’importe quelle extension Azure Monitor. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | Modifier, Désactivé | 6.2.0-preview |
| [préversion] : configurez les machines virtuelles créées avec des images Shared Image Gallery pour installer l’extension Guest Attestation | Configurez les machines virtuelles créées avec des images Shared Image Gallery pour installer automatiquement l’extension Guest Attestation pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [préversion] : configurez VMSS créé avec des images Shared Image Gallery pour installer l’extension Guest Attestation | Configurez VMSS créé avec des images Shared Image Gallery pour installer automatiquement l’extension d’attestation d’invité pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 2.1.0-preview |
| [préversion] : configurez Windows Server pour désactiver les utilisateurs locaux. | Crée une attribution Guest Configuration pour configurer la désactivation des utilisateurs locaux sur Windows Server. Cela garantit que les serveurs Windows sont accessibles uniquement par un compte AAD (Azure Active Directory) ou une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture globale de sécurité. | DeployIfNotExists, Désactivé | 1.3.0-preview |
| [préversion] : Déployer Microsoft Defender pour point de terminaison agent sur des machines virtuelles Linux | Déploie Microsoft Defender pour point de terminaison agent sur les images de machine virtuelle Linux applicables. | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 3.0.0-preview |
| [préversion] : Déployer Microsoft Defender pour point de terminaison agent sur des machines virtuelles Windows | Déploie Microsoft Defender pour point de terminaison sur les images de machine virtuelle Windows applicables. | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 2.0.1-preview |
| [Préversion] : activer l’identité affectée par le système sur une machine virtuelle SQL | Activez l’identité affectée par le système à grande échelle aux machines virtuelles SQL. Vous devez affecter cette stratégie au niveau de l’abonnement. L’affectation au niveau du groupe de ressources ne fonctionnera pas comme prévu. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge | Installez l’extension Attestation invité sur les machines virtuelles Linux prises en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 6.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge | Installez l’extension Attestation invité sur les groupes de machines virtuelles linux identiques pris en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 5.1.0-preview |
| [préversion] : l’extension Attestation invité doit être installée sur les machines virtuelles Windows prises en charge | Installez l’extension Attestation invité sur les machines virtuelles prises en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique au lancement approuvé et aux machines virtuelles confidentielles Windows. | AuditIfNotExists, Désactivé | 4.0.0-preview |
| [préversion] : l’extension Attestation invité doit être installée sur les groupes de machines virtuelles identiques pris en charge Windows | Installez l’extension Guest Attestation sur les groupes de machines virtuelles identiques pris en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique au lancement approuvé et aux groupes de machines virtuelles identiques Windows confidentiels. | AuditIfNotExists, Désactivé | 3.1.0-preview |
| [préversion] : les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure pour les hôtes Docker | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. La machine n’est pas configurée correctement pour l’une des recommandations de la base de référence de sécurité Azure pour les hôtes Docker. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| [préversion] : les machines Linux doivent respecter les exigences de conformité STIG pour Azure calcul | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine n’est pas configurée correctement pour l’une des recommandations en matière de conformité STIG pour Azure calcul. DISA (Defense Information Systems Agency) fournit des guides techniques STIG (Security Technical Implementation Guide) pour sécuriser le système d’exploitation de calcul selon les besoins du ministère de la Défense des États-Unis (DoD). Pour plus d’informations, https://public.cyber.mil/stigs/. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| [Préversion] : Les machines Linux avec OMI installé doivent avoir la version 1.6.8-1 ou ultérieure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. En raison d’un correctif de sécurité inclus dans la version 1.6.8-1 du package OMI pour Linux, toutes les machines doivent être mises à jour vers la dernière version. Mettez à niveau les applications/packages qui utilisent OMI pour résoudre le problème. Pour plus d’informations, consultez https://aka.ms/omiguidance. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| [Préversion] : les machines virtuelles Linux doivent utiliser uniquement des composants de démarrage signés et approuvés | Tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Defender for Cloud a identifié des composants de démarrage de système d’exploitation non approuvés sur un ou plusieurs de vos ordinateurs Linux. Pour protéger vos machines contre les composants potentiellement malveillants, ajoutez-les à votre liste d’autorisation ou supprimez les composants identifiés. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les machines virtuelles Linux doivent utiliser le démarrage sécurisé | Pour protéger contre l’installation de rootkits et de kits de démarrage basés sur des programmes malveillants, activez le démarrage sécurisé sur les machines virtuelles Linux prises en charge. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés sont autorisés à s’exécuter. Cette évaluation s’applique uniquement aux machines virtuelles Linux qui ont installé l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : les charges de travail Linux doivent se conformer au benchmark de sécurité CIS officiel | Cette stratégie vous offre la possibilité de personnaliser et de déployer des benchmarks de sécurité CIS à des fins d’audit sur vos charges de travail Linux dans des environnements Azure, locaux et hybrides. Le contenu des benchmarks de sécurité CIS est en parité avec les benchmarks publiés à l’adresse https://cisecurity.org. La stratégie est alimentée par azure-osconfig. Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Les ordinateurs doivent avoir des ports fermés susceptibles d’exposer des vecteurs d’attaque | les conditions d'utilisation de Azure interdisent l'utilisation de services Azure de manière à endommager, désactiver, surcharger ou compromettre tout serveur Microsoft ou le réseau. Les ports exposés identifiés par cette recommandation doivent être fermés pour le maintien de votre sécurité. Pour chaque port identifié, la recommandation fournit également une explication de la menace potentielle. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : Disques managés doit être résilient à la zone | Disques managés pouvez être configuré pour qu’il s’agisse d’une zone alignée, d’une zone redondante ou d’un autre. Disques managés avec exactement une affectation de zone sont alignées sur zone. Disques managés avec un nom de référence SKU qui se termine par ZRS sont redondants interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience pour Disques managés. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise l’agent de dépendances Microsoft pour collecter des données de trafic réseau à partir de vos machines virtuelles Azure pour activer des fonctionnalités avancées de protection réseau telles que la visualisation du trafic sur la carte réseau, les recommandations de renforcement du réseau et les menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [préversion] : l’agent de collecte de données du trafic réseau doit être installé sur Windows machines virtuelles | Security Center utilise l’agent de dépendances Microsoft pour collecter des données de trafic réseau à partir de vos machines virtuelles Azure pour activer des fonctionnalités avancées de protection réseau telles que la visualisation du trafic sur la carte réseau, les recommandations de renforcement du réseau et les menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [préversion] : benchmarks de sécurité CIS officiels pour Windows Server | Cette stratégie vous permet de personnaliser et de déployer des benchmarks de sécurité CIS à des fins d’audit dans votre Windows Server dans des environnements Azure, locaux et hybrides. Le contenu des benchmarks de sécurité CIS est en parité avec les benchmarks publiés à l’adresse https://cisecurity.org. Nécessite que les conditions préalables soient déployées dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | Activez le démarrage sécurisé sur les machines virtuelles prises en charge Windows pour atténuer les modifications malveillantes et non autorisées apportées à la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. Cette évaluation s’applique au lancement approuvé et aux machines virtuelles confidentielles Windows. | Audit, Désactivé | 4.0.0-preview |
| [préversion] : Virtual Machine Scale Sets doit être résilient à la zone | Virtual Machine Scale Sets pouvez être configuré pour qu’il s’agisse d’une zone alignée, d’une zone redondante ou d’un autre. Virtual Machine Scale Sets qui ont exactement une entrée dans leur tableau de zones sont considérées comme alignées sur la zone. En revanche, Virtual Machine Scale Sets avec 3 entrées ou plus dans leur tableau de zones et une capacité d’au moins 3 sont reconnues comme redondantes interzone. Cette stratégie permet d’identifier et d’appliquer ces configurations de résilience. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Virtual Machine Scale Sets avec plus de 2 zones de disponibilité doivent avoir activé le rééquilibrage automatique AZ | Cette stratégie permet de rééquilibrer automatiquement AZ pour les Virtual Machine Scale Sets qui sont autrement résilientes aux zones. Le rééquilibrage automatique des zones permet de s’assurer que vos Virtual Machine Scale Sets sont réparties uniformément entre les zones de la région. | Modifier, Désactivé | 1.0.0-preview |
| [Préversion] : L’état de l’attestation d’invité des machines virtuelles doit être sain | L’attestation d’invité est exécutée par l’envoi d’un journal approuvé (TCGLog) à un serveur d’attestation. Le serveur utilise ces journaux pour déterminer si les composants de démarrage sont dignes de confiance. Cette évaluation vise à détecter les compromissions de la chaîne de démarrage qui peuvent résulter d’une infection par un kit de démarrage ou un rootkit. Cette évaluation s’applique uniquement aux machines virtuelles compatibles avec le lancement fiable sur lesquelles l’extension d’attestation d’invité est installée. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : Machines Virtuelles doit être alignée sur la zone | Machines Virtuelles pouvez être configuré pour être aligné sur zone ou non. Elles sont considérées comme alignées sur la zone si elles n’ont qu’une seule entrée dans leur tableau de zones. Cette stratégie garantit qu’elles sont configurées pour fonctionner dans une seule zone de disponibilité. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | Activez l’appareil module de plateforme sécurisée (TPM) virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé. | Audit, Désactivé | 2.0.0-preview |
| [préversion] : Windows machines doivent respecter les exigences de conformité STIG pour Azure calcul | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine n’est pas configurée correctement pour l’une des recommandations en matière de conformité STIG pour Azure calcul. DISA (Defense Information Systems Agency) fournit des guides techniques STIG (Security Technical Implementation Guide) pour sécuriser le système d’exploitation de calcul selon les besoins du ministère de la Défense des États-Unis (DoD). Pour plus d’informations, https://public.cyber.mil/stigs/. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Azure Security Center niveau tarifaire standard inclut l'analyse des vulnérabilités pour vos machines virtuelles sans frais supplémentaires. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure prises en charge par Guest Configuration, mais qui n’ont aucune identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure prises en charge par Guest Configuration et qui ont au moins une identité affectée par l’utilisateur, mais qui n’ont pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 4.1.0 |
| Ajoute une balise aux machines virtuelles et machines virtuelles VMSS pour la prise en charge de MANA | Applique une balise pour les déploiements de l’appliance virtuelle réseau de la Place de marché lorsque l’appliance virtuelle réseau utilise des tailles de machine virtuelle existantes. Reportez-vous à https://aka.ms/manasupportforexistingvmfamilynva. | Modifier, Désactivé | 1.0.0 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié certaines des règles de trafic entrant de vos groupes de sécurité réseau pour être trop permissives. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Références SKU des tailles de machine virtuelle autorisées | Cette stratégie vous permet de spécifier un ensemble de références de taille de machine virtuelle que votre organisation peut déployer. | Deny | 1.0.1 |
| Assigner l’identité affectée par le système à SQL Machines Virtuelles | Attribuez une identité affectée par le système à grande échelle à Windows machines virtuelles SQL. | DeployIfNotExists, Désactivé | 1.0.0 |
| Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Linux qui n’ont pas les applications spécifiées installées | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la ressource Chef InSpec indique qu’un ou plusieurs des packages fournis par le paramètre ne sont pas installés. | AuditIfNotExists, Désactivé | 4.2.0 |
| Auditer les machines Linux qui ont des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe | AuditIfNotExists, Désactivé | 3.1.0 |
| Auditer les machines Linux qui ont les applications spécifiées installées | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la ressource Chef InSpec indique qu’un ou plusieurs des packages fournis par le paramètre sont installés. | AuditIfNotExists, Désactivé | 4.2.0 |
| Auditer la posture de sécurité SSH pour Linux (avec OSConfig) | Cette stratégie audite la configuration de sécurité du serveur SSH sur les machines Linux (machines virtuelles Azure et machines avec Arc). Pour plus d’informations, notamment sur les prérequis, les paramètres applicables, les valeurs par défaut et la personnalisation, consultez https://aka.ms/SshPostureControlOverview | AuditIfNotExists, Désactivé | 1.0.1 |
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Faire l’audit des machines virtuelles n’utilisant aucun disque managé | Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé | audit | 1.0.0 |
| Audit Windows machines ne disposent pas de membres spécifiés dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local ne contient pas un ou plusieurs membres listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Audit Windows connectivité réseau des machines | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’état d’une connexion réseau à un port IP et TCP ne correspond pas au paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Audit Windows machines sur lesquelles la configuration DSC n’est pas conforme | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la commande PowerShell Windows Get-DSCConfigurationStatus retourne que la configuration DSC de l’ordinateur n’est pas conforme. | auditIfNotExists | 3.0.0 |
| Audit Windows machines sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’agent n’est pas installé ou s’il est installé, mais que l’objet COM AgentConfigManager.MgmtSvcCfg renvoie qu’il est inscrit auprès d’un espace de travail autre que l’ID spécifié dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Audit Windows machines sur lesquelles les services spécifiés ne sont pas installés et « En cours d'exécution » | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le résultat de la commande PowerShell Windows Get-Service n’incluez pas le nom du service avec l’état correspondant spécifié par le paramètre de stratégie. | auditIfNotExists | 3.0.0 |
| Audit Windows machines sur lesquelles Windows console série n’est pas activée | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le logiciel de console série n’est pas installé sur la machine ou si le numéro de port EMS ou la vitesse en bauds ne sont pas configurés avec les mêmes valeurs que les paramètres de stratégie. | auditIfNotExists | 3.0.0 |
| Audit Windows machines qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si Windows machines qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24 | AuditIfNotExists, Désactivé | 2.1.0 |
| Audit Windows machines qui ne sont pas jointes au domaine spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la valeur de la propriété Domain dans la classe WMI win32_computersystem ne correspond pas à la valeur du paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Audit Windows machines qui ne sont pas définies sur le fuseau horaire spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la valeur de la propriété StandardName dans la classe WMI Win32_TimeZone ne correspond pas au fuseau horaire sélectionné pour le paramètre de stratégie. | auditIfNotExists | 4.0.0 |
| Audit Windows machines qui contiennent des certificats arrivant à expiration dans le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les certificats du magasin spécifié ont une date d’expiration hors limites pour le nombre de jours indiqué comme paramètre. La stratégie offre également la possibilité de rechercher uniquement des certificats spécifiques ou d’exclure des certificats spécifiques, et de signaler les certificats arrivés à expiration. | auditIfNotExists | 2.0.0 |
| Audit Windows machines qui ne contiennent pas les certificats spécifiés dans la racine approuvée | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le magasin de certificats racines de confiance de l’ordinateur (Cert:\LocalMachine\Root) ne contient pas un ou plusieurs des certificats listés par le paramètre de stratégie. | auditIfNotExists | 3.0.0 |
| Audit Windows machines qui n’ont pas l’âge maximal du mot de passe défini sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si Windows machines qui n’ont pas l’âge maximal du mot de passe défini sur le nombre spécifié de jours. La valeur par défaut de la durée de vie maximale du mot de passe est de 70 jours | AuditIfNotExists, Désactivé | 2.1.0 |
| Audit Windows machines qui n’ont pas l’âge minimal du mot de passe défini sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si Windows machines qui n’ont pas l’âge minimal du mot de passe défini sur le nombre de jours spécifié. La valeur par défaut pour la durée de vie minimale du mot de passe est de 1 jour | AuditIfNotExists, Désactivé | 2.1.0 |
| Audit Windows machines qui n’ont pas activé le paramètre de complexité du mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si Windows ordinateurs qui n’ont pas le paramètre de complexité du mot de passe activé | AuditIfNotExists, Désactivé | 2.0.0 |
| Audit Windows machines qui n’ont pas la stratégie d’exécution Windows powerShell spécifiée | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la commande Windows PowerShell Get-ExecutionPolicy retourne une valeur autre que celle sélectionnée dans le paramètre de stratégie. | AuditIfNotExists, Désactivé | 3.0.0 |
| Audit Windows machines qui n’ont pas les modules PowerShell Windows spécifiés | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si un module n’est pas disponible à un emplacement spécifié par la variable d’environnement PSModulePath. | AuditIfNotExists, Désactivé | 3.0.0 |
| Audit Windows machines qui ne limitent pas la longueur minimale du mot de passe au nombre spécifié de caractères | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si Windows machines qui ne limitent pas la longueur minimale du mot de passe au nombre spécifié de caractères. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères | AuditIfNotExists, Désactivé | 2.1.0 |
| Audit Windows machines qui ne stockent pas de mots de passe à l’aide du chiffrement réversible | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si Windows machines qui ne stockent pas de mots de passe à l’aide d’un chiffrement réversible | AuditIfNotExists, Désactivé | 2.0.0 |
| Audit Windows machines qui n'ont pas les applications spécifiées installées | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le nom de l’application n’est trouvé dans aucun des chemins de Registre suivants : HKLM :SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM :SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU :Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows machines qui ont des comptes supplémentaires dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient des membres qui ne sont pas listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Audit Windows machines qui n’ont pas redémarré dans le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la propriété WMI LastBootUpTime dans la classe Win32_Operatingsystem est en dehors de la plage de jours spécifiée par le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Audit Windows machines qui ont les applications spécifiées installées | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le nom de l’application se trouve dans l’un des chemins de Registre suivants : HKLM :SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM :SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU :Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows machines qui ont les membres spécifiés dans le groupe Administrateurs | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. | auditIfNotExists | 2.0.0 |
| Audit Windows machines virtuelles avec un redémarrage en attente | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine est en attente de redémarrage pour l’une des raisons suivantes : maintenance basée sur les composants, Windows Update, renommage de fichier en attente, renommage de l’ordinateur en attente, redémarrage en attente du gestionnaire de configuration. Chaque détection a un chemin de Registre unique. | auditIfNotExists | 2.0.0 |
| L’authentification auprès des machines Linux doit exiger des clés SSH | Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sécurisée pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est avec une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Désactivé | 3.2.0 |
| Sauvegarde Azure doit être activé pour Machines Virtuelles | Veillez à protéger votre Machines virtuelles Azure en activant Sauvegarde Azure. Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’extension ChangeTracking doit être installée sur vos groupes de machines virtuelles identiques Linux | Installez l’extension ChangeTracking sur des groupes de machines virtuelles identiques Linux pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitoring Agent. | AuditIfNotExists, Désactivé | 2.0.1 |
| L’extensionChangeTracking doit être installée sur vos groupes de machines virtuelles identiques Windows | Installez l’extension ChangeTracking sur Windows groupes de machines virtuelles identiques pour activer la supervision de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitoring Agent. | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez configurer les instances de rôle Services cloud (support étendu) de manière sécurisée | Protégez vos instances de rôle de service cloud (support étendu) contre les attaques en vérifiant qu’elles ne sont pas exposées à des vulnérabilités de système d’exploitation. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vous devez installer les mises à jour système des instances de rôle Services cloud (support étendu) | Sécurisez vos instances de rôle Services cloud (support étendu) en veillant à y installer les mises à jour de sécurité et les mises à jour critiques les plus récentes. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configure Azure Defender pour que les serveurs soient désactivés pour toutes les ressources (niveau de ressource) | Azure Defender pour les serveurs fournit une protection contre les menaces en temps réel pour les charges de travail de serveur et génère des recommandations de renforcement, ainsi que des alertes sur les activités suspectes. Cette stratégie désactive l’Defender pour le plan Serveurs pour toutes les ressources (machines virtuelles, vmSS et machines ARC) dans l’étendue sélectionnée (abonnement ou groupe de ressources). | DeployIfNotExists, Désactivé | 1.0.0 |
| Configure Azure Defender pour que les serveurs soient désactivés pour les ressources (niveau de ressource) avec la balise sélectionnée | Azure Defender pour les serveurs fournit une protection contre les menaces en temps réel pour les charges de travail de serveur et génère des recommandations de renforcement, ainsi que des alertes sur les activités suspectes. Cette stratégie désactive l’Defender pour le plan Serveurs pour toutes les ressources (machines virtuelles, vmSS et machines ARC) qui ont le ou les noms de balise sélectionnés et les valeurs de balise. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configure Azure Defender pour que les serveurs soient activés (sous-plan « P1 ») pour toutes les ressources (niveau de ressource) avec la balise sélectionnée | Azure Defender pour les serveurs fournit une protection contre les menaces en temps réel pour les charges de travail de serveur et génère des recommandations de renforcement, ainsi que des alertes sur les activités suspectes. Cette stratégie active la Defender pour le plan Serveurs (avec le sous-plan « P1 ») pour toutes les ressources (machines virtuelles et ordinateurs ARC) qui ont le ou les noms d'étiquettes sélectionnés. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configure Azure Defender pour que les serveurs soient activés (avec le sous-plan « P1 ») pour toutes les ressources (niveau de ressource) | Azure Defender pour les serveurs fournit une protection contre les menaces en temps réel pour les charges de travail de serveur et génère des recommandations de renforcement, ainsi que des alertes sur les activités suspectes. Cette stratégie active la Defender pour le plan Serveurs (avec le sous-plan « P1 ») pour toutes les ressources (machines virtuelles et machines ARC) dans l'étendue sélectionnée (abonnement ou groupe de ressources). | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer une sauvegarde sur des machines virtuelles avec une étiquette donnée dans un nouveau coffre Recovery Services avec une stratégie par défaut | Appliquez la sauvegarde de toutes les machines virtuelles en déployant un coffre Recovery Services dans les mêmes emplacement et groupe de ressources que la machine virtuelle. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement inclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.5.0 |
| Configurer une sauvegarde sur des machines virtuelles avec une étiquette donnée dans un coffre Recovery Services existant au même emplacement | Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement inclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.5.0 |
| Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un nouveau coffre Recovery Services avec une stratégie par défaut | Appliquez la sauvegarde de toutes les machines virtuelles en déployant un coffre Recovery Services dans les mêmes emplacement et groupe de ressources que la machine virtuelle. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.5.0 |
| Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un coffre Recovery Services existant au même emplacement | Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.5.0 |
| Configurer l’extension ChangeTracking pour les groupes de machines virtuelles identiques Linux | Configurez des groupes de machines virtuelles identiques Linux pour installer automatiquement l’extension ChangeTracking pour activer la supervision de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitor Agent. | DeployIfNotExists, Désactivé | 2.1.0 |
| Configurer l’extension ChangeTracking pour les machines virtuelles Linux | Configurez les machines virtuelles Linux pour installer automatiquement l’extension ChangeTracking pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitor Agent. | DeployIfNotExists, Désactivé | 2.2.0 |
| Configure ChangeTracking Extension pour Windows groupes de machines virtuelles identiques | Configurez Windows groupes de machines virtuelles identiques pour installer automatiquement l’extension ChangeTracking pour activer la supervision de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitor Agent. | DeployIfNotExists, Désactivé | 2.1.0 |
| Configure ChangeTracking Extension pour les machines virtuelles Windows | Configurez Windows machines virtuelles pour installer automatiquement l’extension ChangeTracking pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitor Agent. | DeployIfNotExists, Désactivé | 2.2.0 |
| Configurer la récupération d’urgence sur les machines virtuelles en activant la réplication via Azure Site Recovery | Les machines virtuelles sans configuration de récupération d’urgence sont vulnérables aux pannes et autres interruptions. Si la récupération d’urgence n’est pas encore configurée sur la machine virtuelle, cette opération produit le même effet en activant la réplication à l’aide de configurations prédéfinies pour faciliter la continuité des activités. Vous pouvez éventuellement inclure/exclure des machines virtuelles contenant une étiquette spécifiée pour contrôler l’étendue de l’attribution. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | DeployIfNotExists, Désactivé | 2.1.1 |
| Configurer des ressources d’accès au disque avec des points de terminaison privés | Les points de terminaison privés connectent vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. En mappant des points de terminaison privés aux ressources d’accès au disque, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des machines Linux à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez l’Association pour lier des machines virtuelles Linux, des groupes de machines virtuelles identiques et des machines Arc à la règle de collecte de données spécifiée, ou le point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 6.8.0 |
| Configurez le serveur Linux pour désactiver les utilisateurs locaux. | Crée une affectation Configuration Invité pour configurer la désactivation des utilisateurs locaux sur un serveur Linux. Cela garantit que les serveurs Linux sont accessibles uniquement par un compte AAD (Azure Active Directory) ou une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture globale de sécurité. | DeployIfNotExists, Désactivé | 1.4.0-preview |
| Configure Linux Virtual Machine Scale Sets à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez Association pour lier des groupes de machines virtuelles identiques Linux à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 4.7.0 |
| Configurer des groupes de machines virtuelles linux identiques pour exécuter Azure Monitor Agent avec l’authentification basée sur une identité managée affectée par le système | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos groupes de machines virtuelles identiques Linux pour collecter les données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.10.0 |
| Configurer des groupes de machines virtuelles identiques Linux pour exécuter Azure Monitor Agent avec l’authentification basée sur une identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos groupes de machines virtuelles identiques Linux pour collecter les données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.11.0 |
| Configure Linux Machines Virtuelles à associer à une règle de collecte de données pour ChangeTracking et Inventory | Déployez l’association pour lier des machines virtuelles Linux à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configure Linux Machines Virtuelles à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez Association pour lier des machines virtuelles Linux à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 4.7.0 |
| Configure des machines virtuelles Linux pour exécuter Azure Monitor Agent avec l’authentification basée sur une identité managée affectée par le système | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos machines virtuelles Linux pour collecter des données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.10.0 |
| Configurer les machines virtuelles Linux pour exécuter Azure Monitor Agent avec l’authentification basée sur une identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos machines virtuelles Linux pour collecter des données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.14.0 |
| Configurer des machines virtuelles Linux pour installer AMA pour ChangeTracking et Inventory avec l’identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos machines virtuelles Linux pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.7.0 |
| Configurer VMSS Linux à associer à une règle de collecte de données pour ChangeTracking et Inventory | Déployez l’association pour lier des groupes de machines virtuelles identiques Linux à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer VMSS Linux pour installer AMA pour ChangeTracking et Inventory avec l’identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos groupes de machines virtuelles identiques Linux pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.5.0 |
| Configurer des machines pour recevoir un fournisseur d’évaluation des vulnérabilités | Azure Defender inclut l’analyse des vulnérabilités pour vos machines sans frais supplémentaires. Vous n’avez pas besoin d’une licence Qualys ni même de compte Qualys : tout est traité de manière fluide dans Security Center. Lorsque vous activez cette stratégie, Azure Defender déploie automatiquement le fournisseur d'évaluation des vulnérabilités Qualys sur toutes les machines prises en charge qui ne l'ont pas déjà installée. | DeployIfNotExists, Désactivé | 4.0.0 |
| Configurer les disques managés pour désactiver l’accès au réseau public | Désactivez l’accès au réseau public pour votre ressource de disque managé afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. | Modifier, Désactivé | 2.0.0 |
| Configurer la recherche périodique des mises à jour système manquantes sur des machines virtuelles Azure | Configurez l’évaluation automatique (toutes les 24 heures) pour les mises à jour du système d’exploitation sur des machines virtuelles natives Azure. Vous pouvez contrôler l’étendue de l’attribution en fonction de l’abonnement de l’ordinateur, du groupe de ressources, de l’emplacement ou de l’étiquette. En savoir plus sur ce problème pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.10.0 |
| Configurer des protocoles de communication sécurisés (TLS 1.1 ou TLS 1.2) sur des machines Windows | Crée une attribution Guest Configuration pour configurer la version de protocole sécurisée spécifiée (TLS 1.1 ou TLS 1.2) sur Windows machine. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configure SQL Machines Virtuelles pour installer automatiquement Azure Monitor Agent | Automatisez le déploiement de l’extension Azure Monitor Agent sur votre Windows SQL Machines Virtuelles. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.6.0 |
| Configure SQL Machines Virtuelles pour installer automatiquement Microsoft Defender pour SQL | Configurez Windows sql Machines Virtuelles pour installer automatiquement l’Microsoft Defender pour l’extension SQL. Microsoft Defender pour SQL collecte les événements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). | DeployIfNotExists, Désactivé | 1.6.0 |
| Configure SQL Machines Virtuelles pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics | Microsoft Defender pour SQL collecte les événements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine. | DeployIfNotExists, Désactivé | 1.9.0 |
| Configure SQL Machines Virtuelles pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail LA défini par l’utilisateur | Microsoft Defender pour SQL collecte les événements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). Créez un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics défini par l’utilisateur. | DeployIfNotExists, Désactivé | 1.10.0 |
| Configure SQL Machines Virtuelles pour installer automatiquement Microsoft Defender pour l’extension SQL | Configurez Windows sql Machines Virtuelles pour installer automatiquement l’Microsoft Defender pour l’extension SQL. Microsoft Defender pour SQL collecte les événements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer la posture de sécurité SSH pour Linux (avec OSConfig) | Cette stratégie audite et configure la configuration de sécurité du serveur SSH sur les machines Linux (machines virtuelles Azure et les ordinateurs avec Arc). Pour plus d’informations, notamment sur les prérequis, les paramètres applicables, les valeurs par défaut et la personnalisation, consultez https://aka.ms/SshPostureControlOverview | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer le fuseau horaire sur Windows machines. | Cette stratégie crée une attribution Guest Configuration pour définir le fuseau horaire spécifié sur Windows machines virtuelles. | deployIfNotExists | 3.1.0 |
| Configurer les machines virtuelles à intégrer à Azure Automanage | Azure Automanage inscrit, configure et surveille les machines virtuelles avec les meilleures pratiques définies dans microsoft Cloud Adoption Framework pour Azure. Utilisez cette stratégie pour appliquer Automanage à l’étendue sélectionnée. | AuditIfNotExists, DeployIfNotExists, Désactivé | 2.4.0 |
| Configurer les machines virtuelles à intégrer à Azure Automanage avec le profil de configuration personnalisé | Azure Automanage inscrit, configure et surveille les machines virtuelles avec les meilleures pratiques définies dans microsoft Cloud Adoption Framework pour Azure. Utilisez cette stratégie pour appliquer Automanage avec votre propre profil de configuration personnalisé à votre étendue sélectionnée. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.4.0 |
| Configure Windows Machines à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez l’association pour lier des machines virtuelles Windows, des groupes de machines virtuelles identiques et des machines Arc à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 4.8.0 |
| Configure Windows Virtual Machine Scale Sets à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez l’association pour lier Windows groupes de machines virtuelles identiques à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 3.7.0 |
| Configure Windows groupes de machines virtuelles identiques pour exécuter Azure Monitor Agent à l’aide de l’identité managée affectée par le système | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos groupes de machines virtuelles identiques Windows pour collecter des données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 3.7.0 |
| Configure Windows groupes de machines virtuelles identiques pour exécuter Azure Monitor Agent avec l’authentification basée sur l’identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos groupes de machines virtuelles identiques Windows pour collecter des données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.9.0 |
| Configure Machines virtuelles Windows à associer à une règle de collecte de données pour ChangeTracking et Inventory | Déployez l’association pour lier Windows machines virtuelles à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.3.0 |
| Configure Machines virtuelles Windows à associer à une règle de collecte de données ou à un point de terminaison de collecte de données | Déployez l’association pour lier Windows machines virtuelles à la règle de collecte de données spécifiée ou au point de terminaison de collecte de données spécifié. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 3.6.0 |
| Configure Windows machines virtuelles pour exécuter Azure Monitor Agent à l’aide de l’identité managée affectée par le système | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos machines virtuelles Windows pour collecter des données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 4.7.0 |
| Configure Windows machines virtuelles pour exécuter Azure Monitor Agent avec l’authentification basée sur l’identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos machines virtuelles Windows pour collecter des données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.9.0 |
| Configure Windows machines virtuelles pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos machines virtuelles Windows pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.4.0 |
| Configure Windows VMSS à associer à une règle de collecte de données pour ChangeTracking et Inventory | Déployez l’association pour lier Windows groupes de machines virtuelles identiques à la règle de collecte de données spécifiée pour activer ChangeTracking et Inventory. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configure Windows VMSS pour installer AMA pour ChangeTracking et Inventory avec une identité managée affectée par l’utilisateur | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos groupes de machines virtuelles identiques Windows pour activer ChangeTracking et Inventory. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.3.0 |
| Créer et attribuer une identité managée affectée par l’utilisateur intégrée | Créer et attribuer aux machines virtuelles SQL une identité managée affectée par l’utilisateur intégrée à grande échelle. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.8.0 |
| Dependency Agent doit être activé pour les images de machine virtuelle listées | Signale les machines virtuelles comme non conformes si l’image de machine virtuelle se trouve dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. | AuditIfNotExists, Désactivé | 2.1.0 |
| Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées | Signale les groupes de machines virtuelles identiques comme non conformes si l’image de machine virtuelle se trouve dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. | AuditIfNotExists, Désactivé | 2.1.0 |
| Deploy - Configurer l’agent dependency pour qu’il soit activé sur Windows groupes de machines virtuelles identiques | Déployez l’agent Dependency pour Windows groupes de machines virtuelles identiques si l’image de machine virtuelle figure dans la liste définie et que l’agent n’est pas installé. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. | DeployIfNotExists, Désactivé | 3.3.0 |
| Deploy - Configurer l’agent Dependency pour qu’il soit activé sur Windows machines virtuelles | Déployez Dependency Agent pour Windows machines virtuelles si l’image de machine virtuelle figure dans la liste définie et que l’agent n’est pas installé. | DeployIfNotExists, Désactivé | 3.3.0 |
| Deploy default Microsoft extension IaaSAntimalware pour Windows Server | Cette stratégie déploie une extension IaaSAntimalware Microsoft avec une configuration par défaut lorsqu’une machine virtuelle n’est pas configurée avec l’extension anti-programme malveillant. | deployIfNotExists | 1.1.0 |
| Déployer Dependency Agent pour les groupes de machines virtuelles identiques Linux | Déployez Dependency Agent pour les groupes de machines virtuelles identiques Linux si l’image de machine virtuelle (OS) est dans la liste définie et que l’agent n’est pas installé. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. | deployIfNotExists | 5.1.0 |
| Deploy Dependency agent pour les groupes de machines virtuelles identiques Linux avec des paramètres Azure Monitoring Agent | Déployez l’agent de dépendance pour les groupes de machines virtuelles identiques Linux avec des paramètres Azure Monitoring Agent si l’image de machine virtuelle (OS) figure dans la liste définie et que l’agent n’est pas installé. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. | DeployIfNotExists, Désactivé | 3.2.0 |
| Déployer Dependency Agent pour les machines virtuelles Linux | Déployez Dependency Agent pour les machines virtuelles Linux si l’image de machine virtuelle (SE) est dans la liste définie et que l’agent n’est pas installé. | deployIfNotExists | 5.1.0 |
| Deploy Dependency Agent pour les machines virtuelles Linux avec les paramètres Azure de l’Agent de surveillance | Déployez l’agent de dépendance pour les machines virtuelles Linux avec des paramètres Azure Monitoring Agent si l’image de machine virtuelle (OS) figure dans la liste définie et que l’agent n’est pas installé. | DeployIfNotExists, Désactivé | 3.2.0 |
| Deploy Dependency Agent pour être activé sur Windows groupes de machines virtuelles identiques avec les paramètres Azure Monitoring Agent | Déployez Dependency Agent pour Windows groupes de machines virtuelles identiques avec Azure paramètres de l’Agent de surveillance si l’image de machine virtuelle se trouve dans la liste définie et que l’agent n’est pas installé. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. | DeployIfNotExists, Désactivé | 1.4.0 |
| Deploy Dependency Agent pour être activé sur Windows machines virtuelles avec des paramètres Azure Monitoring Agent | Déployez Dependency Agent pour Windows machines virtuelles avec des paramètres Azure Monitoring Agent si l’image de machine virtuelle figure dans la liste définie et que l’agent n’est pas installé. | DeployIfNotExists, Désactivé | 1.4.0 |
| Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Linux Guest Configuration sur des machines virtuelles Linux hébergées dans Azure prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 3.2.0 |
| Deploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs | Cette stratégie déploie l’extension Windows Guest Configuration sur Windows machines virtuelles hébergées dans Azure prises en charge par Guest Configuration. L’extension Windows Guest Configuration est un prérequis pour toutes les affectations Guest Configuration Windows et doit être déployée sur des machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.3.0 |
| Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les disques et image de système d’exploitation doivent prendre en charge TrustedLaunch | TrustedLaunch améliore la sécurité d’une machine virtuelle qui exige qu’un disque de système d’exploitation et qu’une image de système d’exploitation le prennent en charge (Gen 2). Pour obtenir plus d’informations sur TrustedLaunch, visiter https://aka.ms/trustedlaunch | Audit, Désactivé | 1.0.0 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois installées, les stratégies in-guest sont disponibles, telles que « Windows Exploit Guard doit être activée ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
| Hotpatch doit être activé pour les machines virtuelles Windows Server Azure Edition | Réduisez les redémarrages et installez rapidement les mises à jour avec les mises à jour correctives à chaud. Pour en savoir plus, voir https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machineslinux doivent répondre aux exigences de la base de référence de sécurité de calcul Azure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine n’est pas configurée correctement pour l’une des recommandations de la base de référence de sécurité de calcul Azure. | AuditIfNotExists, Désactivé | 2.3.1 |
| Les machines Linux doivent disposer uniquement de comptes locaux autorisés | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. La gestion des comptes d’utilisateur à l’aide de Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction des comptes de machine locale permet d’empêcher la prolifération des identités managées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes d’utilisateur locaux activés et non listés dans le paramètre de stratégie. | AuditIfNotExists, Désactivé | 2.2.0 |
| Groupes de machines virtuelles identiqueslinux doivent avoir Azure Monitor Agent installé | Les groupes de machines virtuelles identiques Linux doivent être surveillés et sécurisés par le biais de l’agent de Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie effectue un audit des groupes de machines virtuelles identiques avec des images de système d’exploitation prises en charge dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 3.6.0 |
| Machines virtuelleslinux doivent activer Azure Disk Encryption ou EncryptionAtHost. | Bien que le système d’exploitation et les disques de données d’une machine virtuelle soient chiffrés au repos par défaut à l’aide de clés managées par la plateforme, les disques de ressource (disques temporaires), les caches de données et les flux de données entre les ressources de calcul et de stockage ne sont pas chiffrés. Utilisez Azure Disk Encryption ou EncryptionAtHost pour corriger. Consultez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.2.1 |
| les machines virtuelles Linux doivent avoir Azure Monitor Agent installé | Les machines virtuelles Linux doivent être surveillées et sécurisées par le biais de l’agent de Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie effectue un audit des machines virtuelles avec des images de système d’exploitation prises en charge dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 3.6.0 |
| Les méthodes d’authentification locales doivent être désactivées sur les ordinateurs Linux | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les serveurs Linux n’ont pas les méthodes d’authentification locales désactivées. Cela permet de vérifier que les serveurs Linux ne peuvent être accessibles que par un compte AAD (Azure Active Directory) ou une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture globale de sécurité. | AuditIfNotExists, Désactivé | 1.2.0-preview |
| les méthodes d’authentification Local doivent être désactivées sur les serveurs Windows | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si Windows serveurs n'ont pas de méthodes d'authentification locales désactivées. Cela permet de vérifier que les serveurs Windows sont accessibles uniquement par un compte AAD (Azure Active Directory) ou une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture globale de sécurité. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| Log Analytics agent doit être installé sur vos instances de rôle Cloud Services (support étendu) | Security Center collecte les données de vos instances de rôle Services cloud (support étendu) pour surveiller les vulnérabilités et les menaces liées à la sécurité. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes | Pour garantir que les évaluations périodiques des mises à jour système manquantes sont déclenchées automatiquement toutes les 24 heures, la propriété AssessmentMode doit être définie sur « AutomaticByPlatform ». En savoir plus sur la propriété AssessmentMode pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Refuser, Désactivé | 3.9.0 |
| Les machines doivent avoir des résultats du secret résolus | Audite les machines virtuelles pour détecter si elles contiennent des résultats de secrets provenant des solutions d’analyse des secrets sur vos machines virtuelles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client | Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-doubleEncryption. | Audit, Refuser, Désactivé | 1.0.0 |
| Les disques managés doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que le disque managé ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des disques managés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. | Audit, Refuser, Désactivé | 2.1.0 |
| Les disques managés doivent utiliser un jeu de chiffrement de disque spécifique pour le chiffrement à clé géré par le client | Exiger un ensemble spécifique de jeux de chiffrement de disque à utiliser avec les disques gérés vous donne le contrôle des clés utilisées pour le chiffrement au repos. Vous pouvez sélectionner les jeux chiffrés autorisés, et tous les autres sont rejetés lorsqu’ils sont attachés à un disque. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. | Audit, Refuser, Désactivé | 2.0.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’accès possible au réseau juste-à-temps (JIT) sera surveillé par Azure Security Center en tant que recommandations | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Logiciel anti-programme malveillant pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection | Cette stratégie audite toute machine virtuelle Windows non configurée avec la mise à jour automatique des signatures de protection anti-programme malveillant Microsoft. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft l’extension IaaSAntimalware doit être déployée sur des serveurs Windows | Cette stratégie audite toute machine virtuelle de serveur Windows sans Microsoft extension IaaSAntimalware déployée. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Seules les extensions de machine virtuelle approuvées doivent être installées | Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées. | Audit, Refuser, Désactivé | 1.0.0 |
| Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos disques managés. Par défaut, les données sont chiffrées au repos avec des clés gérées par la plateforme. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. | Audit, Refuser, Désactivé | 3.0.0 |
| Les points de terminaison privés pour les affectations de Guest Configuration doivent être activés | Les connexions de points de terminaison privés appliquent une communication sécurisée en activant la connectivité privée à Guest Configuration pour les machines virtuelles. Les machines virtuelles seront non conformes à moins qu’elles comportent l’étiquette « EnablePrivateNetworkGC ». Cette balise applique une communication sécurisée via une connectivité privée à Guest Configuration pour Machines Virtuelles. La connectivité privée limite l’accès au trafic provenant uniquement des réseaux connus et empêche l’accès à toutes les autres adresses IP, y compris dans Azure. | Audit, Refuser, Désactivé | 1.1.0 |
| Protégez vos données avec des exigences d’authentification lors de l’exportation ou du chargement sur un disque ou un instantané. | Lorsque l’URL d’exportation/chargement est utilisée, le système vérifie si l’utilisateur a une identité dans Azure Active Directory et dispose des autorisations nécessaires pour exporter/charger les données. Consultez la page aka.ms/DisksAzureADAuth. | Modifier, Désactivé | 1.0.0 |
| Mise à jour corrective automatique des images du système d’exploitation sur Virtual Machine Scale Sets | Cette stratégie applique l’activation de la mise à jour corrective automatique des images de système d’exploitation sur Virtual Machine Scale Sets pour toujours assurer la sécurité des Machines Virtuelles en appliquant en toute sécurité les derniers correctifs de sécurité chaque mois. | deny | 1.0.0 |
| mises à jour périodiques Schedule à l’aide de Gestionnaire de mise à jour Azure | Vous pouvez utiliser Gestionnaire de mise à jour Azure dans Azure pour enregistrer des planifications de déploiement périodiques afin d’installer les mises à jour du système d’exploitation pour vos machines Windows Server et Linux dans Azure, dans des environnements locaux et dans d’autres environnements cloud connectés à l’aide de serveurs compatibles Azure Arc. Cette stratégie modifie également le mode de correctif de la machine virtuelle Azure en « AutomaticByPlatform ». Pour en savoir plus : https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Désactivé | 3.14.0 |
| Configuration requise pour la planification des mises à jour périodiques sur Azure machines virtuelles. | Cette stratégie définit la configuration requise pour planifier des mises à jour périodiques sur Gestionnaire de mise à jour Azure en configurant l'orchestration des correctifs sur « Planifications gérées par le client ». Cette modification définit automatiquement le mode de correctif sur « AutomaticByPlatform » et active « BypassPlatformSafetyChecksOnUserSchedule » sur « True » sur Azure machines virtuelles. La configuration requise n’est pas applicable aux serveurs avec Arc. En savoir plus : https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, Désactivé | 1.3.0 |
| Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) | Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’extension Log Analytics héritée ne doit pas être installée sur des groupes de machines virtuelles identiques Linux | Empêchez automatiquement l’installation de l’agent Log Analytics hérité comme dernière étape de la migration des agents hérités vers Azure Monitor Agent. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des groupes de machines virtuelles identiques Linux. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des machines virtuelles Linux | Empêchez automatiquement l’installation de l’agent Log Analytics hérité comme dernière étape de la migration des agents hérités vers Azure Monitor Agent. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des machines virtuelles Linux. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des groupes de machines virtuelles identiques | Empêchez automatiquement l’installation de l’agent Log Analytics hérité comme dernière étape de la migration des agents hérités vers Azure Monitor Agent. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les futures installations de l’extension d’agent héritée sur Windows groupes de machines virtuelles identiques. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| L’extension Log Analytics héritée ne doit pas être installée sur des machines virtuelles | Empêchez automatiquement l’installation de l’agent Log Analytics hérité comme dernière étape de la migration des agents hérités vers Azure Monitor Agent. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les futures installations de l’extension d’agent héritée sur Windows machines virtuelles. En savoir plus : https://aka.ms/migratetoAMA | Refus, Audit, Désactivation | 1.0.0 |
| TrustedLaunch doit être activé sur une machine virtuelle | Activez TrustedLaunch sur une machine virtuelle pour renforcer la sécurité, utilisez une référence SKU de machine virtuelle (Gen 2) qui prend en charge TrustedLaunch. Pour obtenir plus d’informations sur TrustedLaunch, visiter https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, Désactivé | 1.0.0 |
| Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez de nouvelles Azure Resource Manager pour vos machines virtuelles afin de fournir des améliorations de sécurité telles que : contrôle d’accès plus fort (RBAC), un meilleur audit, un déploiement et une gouvernance basés sur Azure Resource Manager, l’accès aux identités managées, l’accès au coffre de clés pour les secrets, Azure Authentification basée sur AD et prise en charge des balises et des groupes de ressources pour faciliter la gestion de la sécurité | Audit, Refuser, Désactivé | 1.0.0 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Azure machines virtuelles dans l’étendue de cette stratégie ne sont pas conformes quand l’extension Guest Configuration est installée, mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent Azure Policy Guest Configuration. Exploit Guard a quatre composants conçus pour verrouiller les appareils contre un large éventail de vecteurs d’attaque et bloquer les comportements couramment utilisés dans les attaques contre les programmes malveillants tout en permettant aux entreprises d’équilibrer leurs besoins en matière de sécurité et de productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 2.0.0 |
| Windows machines doivent être configurées pour utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
| Windows machines doivent configurer Windows Defender pour mettre à jour les signatures de protection dans un jour | Pour fournir une protection adéquate contre les programmes malveillants récemment publiés, Windows Defender signatures de protection doivent être mises à jour régulièrement pour tenir compte des programmes malveillants nouvellement publiés. Cette stratégie n’est pas appliquée aux serveurs connectés à Arc et nécessite que les prérequis de la configuration Invité aient été déployés dans l’étendue d’affectation de la stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.1 |
| Windows machines doivent activer Windows Defender protection en temps réel | Windows machines doivent activer la protection en temps réel dans le Windows Defender pour fournir une protection adéquate contre les programmes malveillants nouvellement publiés. Cette stratégie n’est pas applicable aux serveurs connectés à Arc et nécessite que les prérequis de la configuration Invité aient été déployés dans l’étendue d’affectation de la stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.1 |
| Windows machines doivent répondre aux exigences de « Modèles d'administration - Panneau de configuration' | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d'administration - Panneau de configuration » pour la personnalisation des entrées et la prévention de l'activation des écrans de verrouillage. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows les machines doivent répondre aux exigences de « Modèles d'administration - MSS (hérité) » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d'administration - MSS (hérité) » pour l'ouverture de session automatique, l'économiseur d'écran, le comportement réseau, la DLL sécurisée et le journal des événements. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences de « Modèles d'administration - Réseau » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d'administration - Réseau » pour les connexions invitées, les connexions simultanées, le pont réseau, ICS et la résolution de noms de multidiffusion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences de « Modèles d'administration - Système » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d'administration - Système » pour les paramètres qui contrôlent l'expérience d'administration et l'assistance à distance. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Options de sécurité - Comptes » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Comptes » pour limiter l'utilisation du compte local des mots de passe vides et de l'état du compte invité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Options de sécurité - Audit » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Audit » pour forcer la sous-catégorie de stratégie d'audit et arrêter s'ils ne parviennent pas à journaliser les audits de sécurité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Options de sécurité - Appareils » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Appareils » pour le dédocrage sans vous connecter, installer les pilotes d'impression et mettre en forme/éjecter les supports. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Options de sécurité - Ouverture de session interactive » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Ouverture de session interactive » pour afficher le nom d'utilisateur et exiger ctrl-alt-del. Cette stratégie nécessite que les prérequis guest Configuration aient été déployés dans l’étendue d’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Options de sécurité - Microsoft Client réseau » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Microsoft Client réseau » pour Microsoft client/serveur réseau et SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Options de sécurité - Microsoft Serveur réseau | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Microsoft Serveur réseau » pour désactiver le serveur SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Options de sécurité - Accès réseau » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Accès réseau » pour y compris l'accès pour les utilisateurs anonymes, les comptes locaux et l'accès à distance au Registre. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Options de sécurité - Sécurité réseau » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Sécurité réseau » pour inclure le comportement du système local, PKU2U, LE Gestionnaire LAN, le client LDAP et le fournisseur de services SSP NTLM. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Options de sécurité - Console de récupération » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Console de récupération » pour autoriser la copie de la floppy et l'accès à tous les lecteurs et dossiers. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Options de sécurité - Arrêt » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Arrêt » pour autoriser l'arrêt sans ouverture de session et effacer le fichier de page de mémoire virtuelle. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Options de sécurité - Objets système » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Objets système » pour les cas d'insensivité pour les sous-systèmes et les autorisations non Windows des objets système internes. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows les machines doivent répondre aux exigences relatives aux « Options de sécurité - Paramètres système » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Paramètres système » pour les règles de certificat sur les exécutables pour les sous-systèmes SRP et facultatifs. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Options de sécurité - Contrôle de compte d'utilisateur » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Contrôle de compte d'utilisateur » pour le mode pour les administrateurs, le comportement de l'invite d'élévation et la virtualisation des échecs d'écriture de fichier et de Registre. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « Paramètres de sécurité - Stratégies de compte » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Paramètres de sécurité - Stratégies de compte » pour l'historique des mots de passe, l'âge, la longueur, la complexité et le stockage des mots de passe à l'aide du chiffrement réversible. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « stratégies d'audit système - Ouverture de session de compte » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d'audit système - Ouverture de session de compte » pour l'audit de la validation des informations d'identification et d'autres événements d'ouverture de session de compte. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « stratégies d'audit système - Gestion des comptes » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d'audit système - Gestion des comptes » pour l'audit de l'application, de la sécurité et de la gestion des groupes d'utilisateurs et d'autres événements de gestion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « stratégies d'audit système - Suivi détaillé » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d'audit système - Suivi détaillé » pour l'audit de DPAPI, de création/arrêt de processus, d'événements RPC et d'activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows les machines doivent répondre aux exigences relatives aux « stratégies d'audit système - Ouverture de session » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d'audit système - Ouverture de session » pour l'audit d'IPSec, stratégie réseau, revendications, verrouillage de compte, appartenance au groupe et événements d'ouverture de session/déconnexion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « stratégies d'audit système - Accès aux objets » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d'audit système - Accès aux objets » pour l'audit des fichiers, registre, SAM, stockage, filtrage, noyau et autres types de système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « stratégies d'audit système - Changement de stratégie » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d'audit système - Modification de stratégie » pour l'audit des modifications apportées aux stratégies d'audit système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « stratégies d'audit système - Utilisation de privilèges » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d'audit système - Utilisation des privilèges » pour l'audit non sensible et d'autres utilisations de privilèges. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows les machines doivent répondre aux exigences relatives aux « stratégies d'audit système - Système » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d'audit système - Système » pour l'audit du pilote IPsec, de l'intégrité du système, de l'extension du système, du changement d'état et d'autres événements système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives à l'affectation des droits utilisateur | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Attribution des droits utilisateur » pour autoriser l'ouverture de session localement, RDP, accès à partir du réseau et de nombreuses autres activités utilisateur. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « composants Windows » | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « composants Windows » pour l'authentification de base, le trafic non chiffré, les comptes Microsoft, les données de télémétrie, Cortana et d'autres comportements Windows. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences relatives aux « propriétés du pare-feu Windows | Windows machines doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « propriétés du pare-feu Windows » pour l'état du pare-feu, les connexions, la gestion des règles et les notifications. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 3.0.0 |
| Windows machines doivent répondre aux exigences de la base de référence de sécurité de calcul Azure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine n’est pas configurée correctement pour l’une des recommandations de la base de référence de sécurité de calcul Azure. | AuditIfNotExists, Désactivé | 2.1.1 |
| Windows machines ne doivent avoir que des comptes locaux autorisés | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Cette définition n’est pas prise en charge sur Windows Server 2012 ou 2012 R2. La gestion des comptes d’utilisateur à l’aide de Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction des comptes de machine locale permet d’empêcher la prolifération des identités managées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes d’utilisateur locaux activés et non listés dans le paramètre de stratégie. | AuditIfNotExists, Désactivé | 2.0.0 |
| Windows groupes de machines virtuelles identiques doivent avoir Azure Monitor Agent installé | Windows groupes de machines virtuelles identiques doivent être surveillés et sécurisés par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les groupes de machines virtuelles identiques avec le système d’exploitation pris en charge et dans les régions prises en charge sont surveillés pour le déploiement d’Azure Monitor Agent. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 3.5.0 |
| Windows machines virtuelles doivent activer Azure Disk Encryption ou EncryptionAtHost. | Bien que le système d’exploitation et les disques de données d’une machine virtuelle soient chiffrés au repos par défaut à l’aide de clés managées par la plateforme, les disques de ressource (disques temporaires), les caches de données et les flux de données entre les ressources de calcul et de stockage ne sont pas chiffrés. Utilisez Azure Disk Encryption ou EncryptionAtHost pour corriger. Consultez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.1.1 |
| Windows machines virtuelles doivent avoir Azure Monitor Agent installé | Windows machines virtuelles doivent être surveillées et sécurisées via l’agent de Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Windows machines virtuelles avec le système d’exploitation pris en charge et dans les régions prises en charge sont surveillées pour le déploiement de Azure Monitor Agent. En savoir plus : https://aka.ms/AMAOverview. | AuditIfNotExists, Désactivé | 3.5.0 |
Microsoft. VirtualMachineImages
| Name (portail Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Les modèles VM Image Builder doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Désactivé, Refus | 1.1.0 |
Microsoft. ClassicCompute
| Name (portail Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Azure Security Center niveau tarifaire standard inclut l'analyse des vulnérabilités pour vos machines virtuelles sans frais supplémentaires. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié certaines des règles de trafic entrant de vos groupes de sécurité réseau pour être trop permissives. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines doivent avoir des résultats du secret résolus | Audite les machines virtuelles pour détecter si elles contiennent des résultats de secrets provenant des solutions d’analyse des secrets sur vos machines virtuelles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez de nouvelles Azure Resource Manager pour vos machines virtuelles afin de fournir des améliorations de sécurité telles que : contrôle d’accès plus fort (RBAC), un meilleur audit, un déploiement et une gouvernance basés sur Azure Resource Manager, l’accès aux identités managées, l’accès au coffre de clés pour les secrets, Azure Authentification basée sur AD et prise en charge des balises et des groupes de ressources pour faciliter la gestion de la sécurité | Audit, Refuser, Désactivé | 1.0.0 |
Étapes suivantes
- Consultez les compléments intégrés sur le dépôt Azure Policy GitHub.
- Passez en revue la structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.