Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplicativos a: ✔️ VMs ✔️ Linux Windows conjuntos de dimensionamento flexíveis Conjuntos ✔️ ✔️ de dimensionamento uniformes
Esta página é um índice de definições de política internas Azure Policy para Máquinas Virtuais do Azure. Para obter Azure Policy internos adicionais para outros serviços, consulte Azure Policy definições internas.
O nome de cada definição de política interna vincula-se à definição de política no portal Azure. Use o link na coluna Version para exibir a origem no repositório Azure Policy GitHub.
Microsoft. Calcular
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Versão prévia]: uma identidade gerenciada deve ser habilitada em seus computadores | Os recursos gerenciados pelo Gerenciamento Automatizado devem ter uma identidade gerenciada. | Audit, desabilitado | 1.0.0-preview |
| [Versão prévia]: adicionar identidade gerenciada atribuída pelo usuário para habilitar atribuições de Configuração de Convidado em máquinas virtuais | Essa política adiciona uma identidade gerenciada atribuída pelo usuário a máquinas virtuais hospedadas em Azure compatíveis com a Configuração de Convidado. Uma identidade gerenciada atribuída pelo usuário é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, desabilitado | 2.1.0-preview |
| [Versão prévia]: atribua Built-In User-Assigned Identidade Gerenciada ao Conjuntos de Dimensionamento de Máquinas Virtuais | Crie e atribua uma identidade gerenciada atribuída pelo usuário interna ou atribua uma identidade gerenciada atribuída pelo usuário previamente criada em escala a conjuntos de dimensionamento de máquinas virtuais. Para obter uma documentação mais detalhada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.1.0-preview |
| [Versão prévia]: atribua Built-In User-Assigned Identidade Gerenciada ao Máquinas Virtuais | Crie e atribua uma identidade gerenciada atribuída pelo usuário interna ou atribua uma identidade gerenciada atribuída pelo usuário previamente criada em escala a máquinas virtuais. Para obter uma documentação mais detalhada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.1.0-preview |
| [Versão prévia]: audite a postura de segurança do SSH para Windows | Essa política audita a configuração de segurança do servidor SSH em computadores Windows Server 2019, 2022 e 2025 (Azure VMs e computadores habilitados para Arc). Para obter mais informações, incluindo pré-requisitos, configurações no escopo, padrões e personalização, consulte https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | AuditIfNotExists, desabilitado | 1.1.0-preview |
| [Versão prévia]: a atribuição de perfil de configuração de Gerenciamento Automatizado deve estar em conformidade | Os recursos gerenciados pelo Gerenciamento Automatizado devem ter um status de Conformant ou ConformantCorrected. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: Backup do Azure deve ser habilitado para Managed Disks | Verifique a proteção do Managed Disks habilitando Backup do Azure. Backup do Azure é uma solução de proteção de dados segura e econômica para Azure. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: o diagnóstico de inicialização deve estar habilitado nas máquinas virtuais | Azure máquinas virtuais devem ter diagniostics de inicialização habilitados. | Audit, desabilitado | 1.0.0-preview |
| [Versão prévia]: a extensão ChangeTracking deve ser instalada em sua máquina virtual Linux | Instale a extensão ChangeTracking em máquinas virtuais do Linux para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitoring Agent. | AuditIfNotExists, desabilitado | 2.0.0-preview |
| [Versão prévia]: a extensão ChangeTracking deve ser instalada em sua máquina virtual Windows | Instale a extensão ChangeTracking em máquinas virtuais Windows para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitoring Agent. | AuditIfNotExists, desabilitado | 2.0.0-preview |
| [Versão prévia]: configurar Azure Defender para o SQL Agent na máquina virtual | Configure Windows computadores para instalar automaticamente o Azure Defender do SQL Agent em que o agente de Azure Monitor está instalado. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e Log Analytics workspace na mesma região que o computador. As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: configure o backup para Azure Disks (Managed Disks) com uma determinada marca para um cofre de backup existente na mesma região | Imponha o backup para todos os discos de Azure (Managed Disks) que contêm uma determinada marca para um cofre de backup central. Saiba mais em https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0-preview |
| [Versão prévia]: configure o backup para Azure Disks (Managed Disks) sem uma determinada marca para um cofre de backup existente na mesma região | Imponha o backup para todos os discos de Azure (Managed Disks) que não contêm uma determinada marca para um cofre de backup central. Saiba mais em https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0-preview |
| [Versão prévia]: configurar a postura de segurança SSH para Windows | Essa política configura a configuração de segurança do servidor SSH em computadores Windows Server 2019, 2022 e 2025 (Azure VMs e computadores habilitados para Arc). Para obter mais informações, incluindo pré-requisitos, configurações no escopo, padrões e personalização, consulte https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | DeployIfNotExists, desabilitado | 1.1.0-preview |
| [Versão prévia]: configurar os conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis para instalar automaticamente a extensão de Atestado de Convidado | Configure conjuntos de dimensionamento de máquinas virtuais do Linux com suporte para instalar automaticamente a extensão atestado de convidado para permitir que Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 6.1.0-preview |
| [Versão prévia]: configurar máquinas virtuais do Linux compatíveis para habilitar a Inicialização Segura automaticamente | Configure as máquinas virtuais do Linux compatíveis para habilitar automaticamente a Inicialização Segura a fim de atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. | DeployIfNotExists, desabilitado | 5.0.0-preview |
| [Versão prévia]: configurar as máquinas virtuais do Linux compatíveis para instalar automaticamente a extensão Atestado de Convidado | Configure máquinas virtuais do Linux com suporte para instalar automaticamente a extensão atestado de convidado para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 7.1.0-preview |
| [Versão prévia]: configurar máquinas virtuais com suporte para habilitar vTPM automaticamente | Configure máquinas virtuais compatíveis para habilitar automaticamente o vTPM a fim de facilitar a Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. | DeployIfNotExists, desabilitado | 2.0.0-preview |
| [Versão prévia]: configure conjuntos de dimensionamento de máquinas virtuais de Windows com suporte para instalar automaticamente a extensão atestado de convidado | Configure Windows conjuntos de dimensionamento de máquinas virtuais com suporte para instalar automaticamente a extensão atestado de convidado para permitir que Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 4.1.0-preview |
| [Versão prévia]: configure máquinas virtuais de Windows com suporte para habilitar automaticamente a Inicialização Segura | Configure Windows máquinas virtuais com suporte para habilitar automaticamente a Inicialização Segura para atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. | DeployIfNotExists, desabilitado | 3.0.0-preview |
| [Versão prévia]: configure máquinas virtuais de Windows com suporte para instalar automaticamente a extensão atestado de convidado | Configure Windows máquinas virtuais com suporte para instalar automaticamente a extensão atestado de convidado para permitir que Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 5.1.0-preview |
| [Versão prévia]: configure a identidade gerenciada atribuída pelo sistema para habilitar atribuições de Azure Monitor em VMs | Configure a identidade gerenciada atribuída pelo sistema para máquinas virtuais hospedadas em Azure compatíveis com Azure Monitor e não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída pelo sistema é um pré-requisito para todas as atribuições de Azure Monitor e deve ser adicionada aos computadores antes de usar qualquer extensão Azure Monitor. As máquinas virtuais de destino devem estar em um local com suporte. | Modificar, Desabilitado | 6.2.0-preview |
| [Versão prévia]: configurar VMs criadas com imagens Galeria de Imagens Compartilhadas para instalar a extensão atestado de convidado | Configure máquinas virtuais criadas com Galeria de Imagens Compartilhadas imagens para instalar automaticamente a extensão atestado de convidado para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 2.0.0-preview |
| [Versão prévia]: configurar o VMSS criado com imagens Galeria de Imagens Compartilhadas para instalar a extensão atestado de convidado | Configure o VMSS criado com Galeria de Imagens Compartilhadas imagens para instalar automaticamente a extensão atestado de convidado para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 2.1.0-preview |
| [Versão prévia]: configure Windows Server para desabilitar usuários locais. | Cria uma atribuição de Configuração de Convidado para configurar a desabilitação de usuários locais no Windows Server. Isso garante que Windows Servidores só possam ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. | DeployIfNotExists, desabilitado | 1.3.0-preview |
| [Versão prévia]: implantar Microsoft Defender para Ponto de Extremidade agente em máquinas virtuais linux | Implanta Microsoft Defender para Ponto de Extremidade agente em imagens de VM do Linux aplicáveis. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 3.0.0-preview |
| [Versão prévia]: implantar Microsoft Defender para Ponto de Extremidade agente em máquinas virtuais Windows | Implanta Microsoft Defender para Ponto de Extremidade em imagens de VM Windows aplicáveis. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 2.0.1-preview |
| [Versão prévia]: habilitar a identidade atribuída pelo sistema à VM do SQL | Habilite a identidade atribuída pelo sistema em escala para máquinas virtuais do SQL. Você precisa atribuir essa política no nível da assinatura. Atribuir no nível do grupo de recursos não funcionará conforme o esperado. | DeployIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nas máquinas virtuais do Linux compatíveis | Instale a extensão atestado de convidado em máquinas virtuais linux com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica às máquinas virtuais do Linux Confidenciais e de Início Confiável. | AuditIfNotExists, desabilitado | 6.0.0-preview |
| [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis | Instale a extensão atestado de convidado em conjuntos de dimensionamento de máquinas virtuais linux com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica aos conjuntos de dimensionamento de máquinas virtuais de início confiável e Linux Confidencial. | AuditIfNotExists, desabilitado | 5.1.0-preview |
| [Versão prévia]: a extensão atestado de convidado deve ser instalada em máquinas virtuais Windows com suporte | Instale a extensão atestado de convidado em máquinas virtuais com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica a máquinas virtuais de inicialização confiável e de Windows confidenciais. | AuditIfNotExists, desabilitado | 4.0.0-preview |
| [Versão prévia]: a extensão atestado de convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows com suporte | Instale a extensão atestado de convidado em conjuntos de dimensionamento de máquinas virtuais com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica ao Início Confiável e aos conjuntos de dimensionamento de máquinas virtuais do Windows Confidencial. | AuditIfNotExists, desabilitado | 3.1.0-preview |
| [Versão prévia]: os computadores Linux devem atender aos requisitos da linha de base de segurança Azure para hosts do Docker | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. O computador não está configurado corretamente para uma das recomendações na linha de base de segurança Azure para hosts do Docker. | AuditIfNotExists, desabilitado | 1.2.0-preview |
| [Versão prévia]: os computadores Linux devem atender ao requisito de conformidade do STIG para Azure computação | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não estiver configurado corretamente para uma das recomendações no requisito de conformidade do STIG para Azure computação. A DISA (Agência de Sistemas de Informações de Defesa) fornece guias técnicos STIG (Guia de Implementação Técnica de Segurança) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para obter mais detalhes, acesse https://public.cyber.mil/stigs/. | AuditIfNotExists, desabilitado | 1.2.0-preview |
| [Versão prévia]: computadores do Linux com OMI instalado devem ter a versão 1.6.8-1 ou posterior | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Devido a uma correção de segurança incluída na versão 1.6.8-1 do pacote OMI para Linux, todos os computadores devem ser atualizados para a versão mais recente. Atualize aplicativos/pacotes que usam o OMI para resolver o problema. Para obter mais informações, consulte https://aka.ms/omiguidance. | AuditIfNotExists, desabilitado | 1.2.0-preview |
| [Versão prévia]: as máquinas virtuais do Linux devem usar somente componentes de inicialização confiáveis e assinados | Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por fornecedores confiáveis. Defender para Nuvem identificou componentes de inicialização do sistema operacional não confiáveis em um ou mais de seus computadores Linux. Para proteger seus computadores contra componentes potencialmente mal-intencionados, adicione-os à lista de permissão ou remova os componentes identificados. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: as máquinas virtuais do Linux devem usar a Inicialização Segura | Para proteger contra a instalação de rootkits baseados em malware e kits de inicialização, habilite a Inicialização Segura em máquinas virtuais do Linux compatíveis. A Inicialização segura garante que somente os drivers e sistemas operacionais assinados tenham permissão para serem executados. Essa avaliação só se aplica às máquinas virtuais do Linux que têm o agente de Azure Monitor instalado. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: as cargas de trabalho do Linux devem estar em conformidade com o Parâmetro de Comparação de Segurança oficial do CIS | Essa política fornece a capacidade de personalizar e implantar parâmetros de comparação de segurança cis para fins de auditoria em suas cargas de trabalho do Linux em ambientes Azure, locais e híbridos. O conteúdo dos Parâmetros de Comparação de Segurança do CIS está em paridade com os parâmetros de comparação publicados em https://cisecurity.org. A política é alimentada por azure-osconfig. Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 2.0.0-preview |
| [Versão prévia]: os computadores devem ter portas fechadas que possam expor vetores de ataque | os Termos de Uso da Azure proíbem o uso de serviços Azure de maneiras que possam danificar, desabilitar, sobrecarregar ou prejudicar qualquer servidor Microsoft ou a rede. As portas expostas identificadas por essa recomendação precisam ser fechadas para a manutenção da sua segurança. Para cada porta identificada, a recomendação também fornece uma explicação da ameaça potencial. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: Managed Disks deve ser resiliente à zona | Managed Disks pode ser configurado para ser Alinhado a Zona, Com Redundância de Zona ou nenhum dos dois. Managed Disks com exatamente uma atribuição de zona são Alinhadas a Zona. Managed Disks com um nome de sku que termina no ZRS são com redundância de zona. Essa política ajuda a identificar e impor essas configurações de resiliência para Managed Disks. | Audit, Deny, desabilitado | 1.0.0-preview |
| [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o agente de dependência Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2-preview |
| [Versão prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado em Windows máquinas virtuais | A Central de Segurança usa o agente de dependência Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2-preview |
| [Versão prévia]: Parâmetros de comparação de segurança de CIS oficiais para Windows Server | Essa política fornece a capacidade de personalizar e implantar parâmetros de comparação de segurança cis para fins de auditoria em seu Windows Server em ambientes Azure, locais e híbridos. O conteúdo dos Parâmetros de Comparação de Segurança do CIS está em paridade com os parâmetros de comparação publicados em https://cisecurity.org. Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: a Inicialização Segura deve ser habilitada em máquinas virtuais Windows com suporte | Habilite a Inicialização Segura em máquinas virtuais de Windows com suporte para atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. Essa avaliação se aplica a máquinas virtuais de inicialização confiável e de Windows confidenciais. | Audit, desabilitado | 4.0.0-preview |
| [Versão prévia]: Conjuntos de Dimensionamento de Máquinas Virtuais deve ser resiliente à zona | Conjuntos de Dimensionamento de Máquinas Virtuais pode ser configurado para ser Alinhado a Zona, Com Redundância de Zona ou nenhum dos dois. Conjuntos de Dimensionamento de Máquinas Virtuais que têm exatamente uma entrada na matriz de zonas são consideradas Alinhadas à Zona. Por outro lado, Conjuntos de Dimensionamento de Máquinas Virtuais com 3 ou mais entradas em sua matriz de zonas e uma capacidade de pelo menos 3 são reconhecidas como Redundantes de Zona. Essa política ajuda a identificar e impor essas configurações de resiliência. | Audit, Deny, desabilitado | 1.0.0-preview |
| [Versão prévia]: Conjuntos de Dimensionamento de Máquinas Virtuais com mais de 2 zonas de disponibilidade devem ter o rebalanceamento automático do AZ habilitado | Essa política permite o reequilíbrio automático do AZ para Conjuntos de Dimensionamento de Máquinas Virtuais que, de outra forma, são resilientes à zona. O rebalanceamento automático de zona ajuda a garantir que seus Conjuntos de Dimensionamento de Máquinas Virtuais sejam distribuídos uniformemente entre as zonas da região. | Modificar, Desabilitado | 1.0.0-preview |
| [Versão prévia]: o status de atestado de convidado de máquinas virtuais deve ser íntegro | O atestado de convidado é executado enviando um TCGLog (log confiável) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Essa avaliação destina-se a detectar comprometimentos da cadeia de inicialização que podem ser o resultado de uma infecção do kit de inicialização ou do rootkit. Essa avaliação só se aplica a máquinas virtuais habilitadas para Início Confiável que têm a extensão de Atestado de Convidado instalada. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: Máquinas Virtuais deve ser Alinhado à Zona | Máquinas Virtuais pode ser configurado para ser Alinhado a Zona ou não. Elas serão consideradas Alinhadas à Zona se tiverem apenas uma entrada na matriz de zonas. Essa política garante que elas estejam configuradas para operar em uma única zona de disponibilidade. | Audit, Deny, desabilitado | 1.0.0-preview |
| [Versão prévia]: o vTPM deve estar habilitado nas máquinas virtuais compatíveis | Habilite o dispositivo TPM virtual em máquinas virtuais compatíveis para facilitar Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para início confiável. | Audit, desabilitado | 2.0.0-preview |
| [Versão prévia]: os computadores Windows devem atender aos requisitos de conformidade do STIG para Azure computação | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não estiver configurado corretamente para uma das recomendações nos requisitos de conformidade do STIG para Azure computação. A DISA (Agência de Sistemas de Informações de Defesa) fornece guias técnicos STIG (Guia de Implementação Técnica de Segurança) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para obter mais detalhes, acesse https://public.cyber.mil/stigs/. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. Central de Segurança do Azure tipo de preço padrão inclui verificação de vulnerabilidade para suas máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas em Azure compatíveis com a Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas em Azure compatíveis com a Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
| Adiciona uma marca a VMs (NVAs) de rede e VMSS para suporte a MANA | Aplica uma marca para implantações de NVA do Marketplace quando a NVA está usando tamanhos de VM existentes. https://aka.ms/manasupportforexistingvmfamilynvaConsulte . | Modificar, Desabilitado | 1.0.0 |
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| SKUs de tamanho de máquina virtual permitidos | Esta política permite especificar um conjunto de SKUs de tamanho de máquina virtual que sua organização pode implantar. | Deny | 1.0.1 |
| Assign System Assigned identity to SQL Máquinas Virtuais | Atribua a identidade atribuída pelo sistema em escala a máquinas virtuais Windows SQL. | DeployIfNotExists, desabilitado | 1.0.0 |
| Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desabilitado | 3.1.0 |
| Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | AuditIfNotExists, desabilitado | 3.1.0 |
| Auditar os computadores Linux que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro não estão instalados. | AuditIfNotExists, desabilitado | 4.2.0 |
| Auditar os computadores Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem contas sem senhas | AuditIfNotExists, desabilitado | 3.1.0 |
| Auditar os computadores Linux que têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro estão instalados. | AuditIfNotExists, desabilitado | 4.2.0 |
| Auditar postura de segurança SSH para Linux (com tecnologia OSConfig) | Essa política audita a configuração de segurança do servidor SSH em computadores Linux (Azure VMs e computadores habilitados para Arc). Para obter mais informações, incluindo pré-requisitos, configurações de escopo, padrões e personalização, veja https://aka.ms/SshPostureControlOverview | AuditIfNotExists, desabilitado | 1.0.1 |
| Auditar máquinas virtuais sem a recuperação de desastre configurada | Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Auditar VMs que não usam discos gerenciados | Essa política audita VMs que não usam discos gerenciados | auditoria | 1.0.0 |
| Audit Windows computadores que não têm nenhum dos membros especificados no grupo Administradores | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local não contiver um ou mais membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Audit Windows conectividade de rede de computadores | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se um status de conexão de rede para um IP e a porta TCP não corresponderem ao parâmetro de política. | auditIfNotExists | 2.0.0 |
| Audit Windows computadores nos quais a configuração de DSC não está em conformidade | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o comando Windows PowerShell Get-DSCConfigurationStatus retornará que a configuração de DSC para o computador não está em conformidade. | auditIfNotExists | 3.0.0 |
| Audit Windows computadores nos quais o agente Log Analytics não está conectado conforme o esperado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o agente não estiver instalado e nem se ele estiver instalado, mas o objeto COM AgentConfigManager.MgmtSvcCfg retornar que ele está registrado em um workspace diferente da ID especificada no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Audit Windows computadores nos quais os serviços especificados não estão instalados e "Executando" | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o resultado do Windows comando do PowerShell Get-Service não incluir o nome do serviço com o status de correspondência, conforme especificado pelo parâmetro de política. | auditIfNotExists | 3.0.0 |
| Audit Windows computadores nos quais Windows Console Serial não está habilitado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não tiver o software do Console Serial instalado ou se o número da porta do EMS ou a taxa de transmissão não estiverem configurados com os mesmos valores que os dos parâmetros da política. | auditIfNotExists | 3.0.0 |
| Audit Windows computadores que permitem o reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se Windows computadores que permitem o reutilizador das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desabilitado | 2.1.0 |
| Audit Windows computadores que não ingressaram no domínio especificado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o valor da propriedade de Domínio na classe WMI win32_computersystem não corresponder ao valor no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Audit Windows computadores que não estão definidos para o fuso horário especificado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o valor da propriedade StandardName na classe WMI Win32_TimeZone não corresponder ao fuso horário selecionado para o parâmetro de política. | auditIfNotExists | 4.0.0 |
| Audit Windows computadores que contêm certificados expirando dentro do número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os certificados no repositório especificado tiverem uma data de validade fora do intervalo para o número de dias fornecido como parâmetro. A política também fornece a opção de verificar apenas certificados específicos ou excluir certificados específicos e se certificados expirados serão relatados. | auditIfNotExists | 2.0.0 |
| Audit Windows computadores que não contêm os certificados especificados na Raiz Confiável | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o repositório de certificados Raiz Confiável do computador (Cert:\LocalMachine\Root) não contiver um ou mais certificados listados pelo parâmetro de política. | auditIfNotExists | 3.0.0 |
| Audit Windows computadores que não têm a idade máxima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se Windows computadores que não têm a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias | AuditIfNotExists, desabilitado | 2.1.0 |
| Audit Windows computadores que não têm a idade mínima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se Windows computadores que não têm a idade mínima da senha definida como o número especificado de dias. O valor padrão para a idade mínima da senha é 1 dia | AuditIfNotExists, desabilitado | 2.1.0 |
| Audit Windows computadores que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se Windows computadores que não têm a configuração de complexidade de senha habilitada | AuditIfNotExists, desabilitado | 2.0.0 |
| Audit Windows computadores que não têm a política de execução do PowerShell Windows especificada | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o comando Windows PowerShell Get-ExecutionPolicy retornar um valor diferente do que foi selecionado no parâmetro de política. | AuditIfNotExists, desabilitado | 3.0.0 |
| Audit Windows computadores que não têm os módulos do PowerShell Windows especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se um módulo não estiver disponível em um local especificado pela variável de ambiente PSModulePath. | AuditIfNotExists, desabilitado | 3.0.0 |
| Audit Windows computadores que não restringem o comprimento mínimo da senha ao número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se Windows computadores que não restringem o comprimento mínimo da senha ao número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desabilitado | 2.1.0 |
| Audit Windows computadores que não armazenam senhas usando criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se Windows computadores que não armazenam senhas usando criptografia reversível | AuditIfNotExists, desabilitado | 2.0.0 |
| Audit Windows computadores que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o nome do aplicativo não for encontrado em nenhum dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows computadores que têm contas extras no grupo Administradores | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local contiver membros que não estejam listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Audit Windows computadores que não foram reiniciados dentro do número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se a propriedade WMI LastBootUpTime na classe Win32_Operatingsystem estiver fora do intervalo de dias fornecido pelo parâmetro de política. | auditIfNotExists | 2.0.0 |
| Audit Windows computadores que têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o nome do aplicativo for encontrado em qualquer um dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows computadores que têm os membros especificados no grupo Administradores | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local contiver um ou mais membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Audit Windows VMs com uma reinicialização pendente | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador estiver aguardando reinicialização por qualquer um dos seguintes motivos: manutenção baseada em componente, Windows Update, renomeação de arquivo pendente, renomeação de computador pendente, reinicialização pendente do gerenciador de configurações. Cada detecção tem um caminho do Registro exclusivo. | auditIfNotExists | 2.0.0 |
| A autenticação para computadores Linux deve exigir chaves SSH | Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticar em uma máquina virtual do Linux Azure por SSH é com um par de chaves público-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desabilitado | 3.2.0 |
| Backup do Azure deve ser habilitado para Máquinas Virtuais | Verifique a proteção do Máquinas Virtuais do Azure habilitando Backup do Azure. Backup do Azure é uma solução de proteção de dados segura e econômica para Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
| A extensão ChangeTracking deve ser instalada em seus conjuntos de dimensionamento de máquinas virtuais do Linux | Instale a extensão ChangeTracking em conjuntos de dimensionamento de máquinas virtuais do Linux para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitoring Agent. | AuditIfNotExists, desabilitado | 2.0.1 |
| A extensãoChangeTracking deve ser instalada em seus conjuntos de dimensionamento de máquinas virtuais Windows | Instale a extensão ChangeTracking em Windows conjuntos de dimensionamento de máquinas virtuais para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitoring Agent. | AuditIfNotExists, desabilitado | 2.0.1 |
| As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ser configuradas com segurança | Proteja suas instâncias de função dos Serviços de Nuvem (suporte estendido) contra ataques, garantindo que elas não sejam expostas a vulnerabilidades do sistema operacional. | AuditIfNotExists, desabilitado | 1.0.0 |
| As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ter atualizações do sistema instaladas | Proteja suas instâncias de função dos Serviços de Nuvem (suporte estendido), garantindo que as mais recentes atualizações críticas e de segurança sejam instaladas nelas. | AuditIfNotExists, desabilitado | 1.0.0 |
| Configurar Azure Defender para servidores a serem desabilitados para todos os recursos (nível de recurso) | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política desabilitará o plano Defender para Servidores para todos os recursos (VMs, VMSSs e Máquinas ARC) no escopo selecionado (assinatura ou grupo de recursos). | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar Azure Defender para servidores a serem desabilitados para recursos (nível de recurso) com a marca selecionada | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política desabilitará o plano Defender para Servidores para todos os recursos (VMs, VMSSs e Máquinas ARC) que têm o nome da marca e os valores de marca selecionados. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar Azure Defender para servidores a serem habilitados (subplano 'P1') para todos os recursos (nível de recurso) com a marca selecionada | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política habilitará o plano Defender para Servidores (com subplano 'P1') para todos os recursos (VMs e Máquinas ARC) que têm o nome da marca selecionado e os valores de marca. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configuração Azure Defender para servidores a serem habilitados (com subplano 'P1') para todos os recursos (nível de recurso) | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política habilitará o plano Defender para Servidores (com subplano 'P1') para todos os recursos (VMs e Máquinas ARC) no escopo selecionado (assinatura ou grupo de recursos). | DeployIfNotExists, desabilitado | 1.1.0 |
| Configure o backup em máquinas virtuais com uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão | Impor o backup a todas as máquinas virtuais implantando um cofre dos Serviços de Recuperação na mesma localização e no mesmo grupo de recursos da máquina virtual. É útil fazer isso quando diferentes equipes de aplicativo na sua organização recebem grupos de recursos separados e precisam gerenciar restaurações e backups próprios. Opcionalmente, você pode incluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.5.0 |
| Configure o backup em máquinas virtuais com uma determinada tag para um cofre de serviços de recuperação existente no mesmo local | Imponha o backup a todas as máquinas virtuais fazendo backup delas em um cofre central dos Serviços de Recuperação existente na mesma localização e assinatura da máquina virtual. É útil fazer isso quando há uma equipe central na sua organização que gerencia os backups de todos os recursos em uma assinatura. Opcionalmente, você pode incluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.5.0 |
| Configure o backup em máquinas virtuais sem uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão | Impor o backup a todas as máquinas virtuais implantando um cofre dos Serviços de Recuperação na mesma localização e no mesmo grupo de recursos da máquina virtual. É útil fazer isso quando diferentes equipes de aplicativo na sua organização recebem grupos de recursos separados e precisam gerenciar restaurações e backups próprios. Opcionalmente, você pode excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.5.0 |
| Configurar o backup em máquinas virtuais sem uma marca especificada para um cofre dos Serviços de Recuperação existente na mesma localização | Imponha o backup a todas as máquinas virtuais fazendo backup delas em um cofre central dos Serviços de Recuperação existente na mesma localização e assinatura da máquina virtual. É útil fazer isso quando há uma equipe central na sua organização que gerencia os backups de todos os recursos em uma assinatura. Opcionalmente, você pode excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.5.0 |
| Configurar a extensão ChangeTracking para conjuntos de dimensionamento de máquinas virtuais do Linux | Configure conjuntos de dimensionamento de máquinas virtuais do Linux para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitor Agent. | DeployIfNotExists, desabilitado | 2.1.0 |
| Configurar a extensão ChangeTracking para máquinas virtuais Linux | Configure máquinas virtuais do Linux para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitor Agent. | DeployIfNotExists, desabilitado | 2.2.0 |
| Configure ChangeTracking Extension for Windows virtual machine scale sets | Configure Windows conjuntos de dimensionamento de máquinas virtuais para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitor Agent. | DeployIfNotExists, desabilitado | 2.1.0 |
| Extensão Configure ChangeTracking para máquinas virtuais Windows | Configure Windows máquinas virtuais para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (Monitoramento de Integridade de Arquivos) no Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros Windows, software de aplicativo, arquivos do sistema Linux e muito mais, para obter alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais compatíveis com Azure Monitor Agent. | DeployIfNotExists, desabilitado | 2.2.0 |
| Configurar a recuperação de desastre em máquinas virtuais habilitando a replicação via Azure Site Recovery | As máquinas virtuais sem configurações de recuperação de desastre são vulneráveis a interrupções. Se a máquina virtual ainda não tivesse a recuperação de desastre configurada, isso iniciaria a mesma coisa habilitando a replicação usando configurações predefinidas para facilitar a continuidade dos negócios. Opcionalmente, você pode incluir/excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. | DeployIfNotExists, desabilitado | 2.1.1 |
| Configurar recursos de acesso ao disco com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. Com o mapeamento dos pontos de extremidade privados para os recursos de acesso ao disco, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar Computadores Linux para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a associação para vincular máquinas virtuais do Linux, conjuntos de dimensionamento de máquinas virtuais e computadores Arc à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 6.8.0 |
| Configure o Linux Server para desabilitar usuários locais. | Cria uma atribuição de Configuração de Convidado para configurar a desabilitação de usuários locais no Linux Server. Isso garante que os Servidores Linux só possam ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. | DeployIfNotExists, desabilitado | 1.4.0-preview |
| Configurar linux Conjuntos de Dimensionamento de Máquinas Virtuais ser associado a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a associação para vincular conjuntos de dimensionamento de máquinas virtuais do Linux à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 4.7.0 |
| Configurar conjuntos de dimensionamento de máquinas virtuais linux para executar Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão Azure Monitor Agent em seus conjuntos de dimensionamento de máquinas virtuais do Linux para coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 3.10.0 |
| Configurar conjuntos de dimensionamento de máquinas virtuais linux para executar Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão Azure Monitor Agent em seus conjuntos de dimensionamento de máquinas virtuais do Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 3.11.0 |
| Configurar linux Máquinas Virtuais ser associado a uma Regra de Coleta de Dados para ChangeTracking e Inventário | Implante a associação para vincular máquinas virtuais do Linux à regra de coleta de dados especificada para habilitar o ChangeTracking e o inventário. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar linux Máquinas Virtuais ser associado a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a associação para vincular computadores virtuais do Linux à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 4.7.0 |
| Configurar máquinas virtuais linux para executar Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão Azure Monitor Agent em suas máquinas virtuais do Linux para coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 3.10.0 |
| Configurar máquinas virtuais linux para executar Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão Azure Monitor Agent em suas máquinas virtuais do Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 3.14.0 |
| Configurar VMs do Linux para instalar o AMA para ChangeTracking e Inventário com identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão Azure Monitor Agent em suas máquinas virtuais do Linux para habilitar o ChangeTracking e o Inventário. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.7.0 |
| Configurar o VMSS do Linux para ser associado a uma regra de coleta de dados para ChangeTracking e Inventário | Implante a associação para vincular conjuntos de dimensionamento de máquinas virtuais do Linux à regra de coleta de dados especificada para habilitar o ChangeTracking e o inventário. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar o VMSS do Linux para instalar o AMA para ChangeTracking e Inventário com a identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão Azure Monitor Agent em seus conjuntos de dimensionamento de máquinas virtuais do Linux para habilitar o ChangeTracking e o Inventário. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.5.0 |
| Configurar os computadores para receber um provedor de avaliação de vulnerabilidade | Azure Defender inclui verificação de vulnerabilidade para seus computadores sem custo adicional. Você não precisa de uma licença do Qualys nem de uma conta do Qualys: tudo é tratado diretamente na Central de Segurança. Quando você habilita essa política, Azure Defender implanta automaticamente o provedor de avaliação de vulnerabilidades do Qualys em todos os computadores com suporte que ainda não a têm instalado. | DeployIfNotExists, desabilitado | 4.0.0 |
| Configurar discos gerenciados para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu recurso de disco gerenciado para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Modificar, Desabilitado | 2.0.0 |
| Configurar a verificação periódica de atualizações do sistema ausentes nas máquinas virtuais do Azure | Configure a avaliação automática (a cada 24 horas) para atualizações do sistema operacional em máquinas virtuais de Azure nativas. Você pode controlar o escopo da atribuição de acordo com a assinatura do computador, o grupo de recursos, o local ou a marca. Saiba mais sobre isso para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.10.0 |
| Configurar protocolos de comunicação segura(TLS 1.1 ou TLS 1.2) em computadores Windows | Cria uma atribuição de Configuração de Convidado para configurar a versão de protocolo seguro especificada (TLS 1.1 ou TLS 1.2) em Windows computador. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar Máquinas Virtuais SQL para instalar automaticamente o Azure Monitor Agent | Automatize a implantação da extensão Azure Monitor Agent no Máquinas Virtuais do SQL Windows. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.6.0 |
| Configure SQL Máquinas Virtuais para instalar automaticamente Microsoft Defender para SQL | Configure Windows sql Máquinas Virtuais para instalar automaticamente o Microsoft Defender para a extensão SQL. Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). | DeployIfNotExists, desabilitado | 1.6.0 |
| Configure SQL Máquinas Virtuais instalar automaticamente Microsoft Defender para SQL e DCR com um workspace Log Analytics | Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos, uma Regra de Coleta de Dados e Log Analytics workspace na mesma região que o computador. | DeployIfNotExists, desabilitado | 1.9.0 |
| Máquinas Virtuais SQL do Configure para instalar automaticamente Microsoft Defender para SQL e DCR com um workspace la definido pelo usuário | Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos e uma regra de coleta de dados na mesma região que o workspace Log Analytics definido pelo usuário. | DeployIfNotExists, desabilitado | 1.10.0 |
| Configure SQL Máquinas Virtuais instalar automaticamente Microsoft Defender para extensão sql | Configure Windows sql Máquinas Virtuais para instalar automaticamente o Microsoft Defender para a extensão SQL. Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar postura de segurança SSH para Linux (com tecnologia OSConfig) | Essa política audita e configura a configuração de segurança do servidor SSH em computadores Linux (Azure VMs e computadores habilitados para Arc). Para obter mais informações, incluindo pré-requisitos, configurações de escopo, padrões e personalização, veja https://aka.ms/SshPostureControlOverview | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar fuso horário em Windows machines. | Essa política cria uma atribuição de Configuração de Convidado para definir o fuso horário especificado em Windows máquinas virtuais. | deployIfNotExists | 3.1.0 |
| Configurar máquinas virtuais a serem integradas ao Gerenciamento Automatizado do Azure | Gerenciamento Automatizado do Azure registra, configura e monitora máquinas virtuais com as melhores práticas, conforme definido no Microsoft Cloud Adoption Framework para Azure. Use esta política para aplicar o Autogerenciamento ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desabilitado | 2.4.0 |
| Configurar máquinas virtuais a serem integradas ao Gerenciamento Automatizado do Azure com o Perfil de Configuração Personalizada | Gerenciamento Automatizado do Azure registra, configura e monitora máquinas virtuais com as melhores práticas, conforme definido no Microsoft Cloud Adoption Framework para Azure. Use esta política para aplicar o Gerenciamento Automatizado com seu próprio Perfil de Configuração personalizado ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.4.0 |
| Configure Windows Machines a serem associados a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular Windows máquinas virtuais, conjuntos de dimensionamento de máquinas virtuais e máquinas Arc à Regra de Coleta de Dados especificada ou ao ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 4.8.0 |
| Configurar Windows Conjuntos de Dimensionamento de Máquinas Virtuais ser associado a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular Windows conjuntos de dimensionamento de máquinas virtuais à Regra de Coleta de Dados especificada ou ao ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 3.7.0 |
| Configuração Windows conjuntos de dimensionamento de máquinas virtuais para executar Azure Monitor Agent usando a identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão Azure Monitor Agent em seus conjuntos de dimensionamento de máquinas virtuais Windows para coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 3.7.0 |
| Configuração Windows conjuntos de dimensionamento de máquinas virtuais para executar Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão Azure Monitor Agent em seus conjuntos de dimensionamento de máquinas virtuais Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.9.0 |
| Configurar Máquinas Virtuais do Windows ser associado a uma regra de coleta de dados para ChangeTracking e Inventário | Implante a Associação para vincular Windows máquinas virtuais à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 1.3.0 |
| Configurar Máquinas Virtuais do Windows ser associado a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular Windows máquinas virtuais à Regra de Coleta de Dados especificada ou ao ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 3.6.0 |
| Configure Windows máquinas virtuais para executar Azure Monitor Agent usando a identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão Azure Monitor Agent em suas máquinas virtuais Windows para coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 4.7.0 |
| Configuração Windows máquinas virtuais para executar Azure Monitor Agent com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão Azure Monitor Agent em suas máquinas virtuais Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.9.0 |
| Configuração Windows VMs para instalar o AMA para ChangeTracking e Inventário com identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão Azure Monitor Agent em suas máquinas virtuais Windows para habilitar o ChangeTracking e o Inventário. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.4.0 |
| Configuração Windows VMSS a ser associada a uma Regra de Coleta de Dados para ChangeTracking e Inventário | Implante a Associação para vincular Windows conjuntos de dimensionamento de máquinas virtuais à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configuração Windows VMSS para instalar o AMA para ChangeTracking e Inventário com identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão Azure Monitor Agent em seu Windows conjuntos de dimensionamento de máquinas virtuais para habilitar o ChangeTracking e o Inventário. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.3.0 |
| Criar e atribuir uma identidade gerenciada interna atribuída pelo usuário | Crie e atribua identidades gerenciadas integradas atribuídas pelo usuário às máquinas virtuais do SQL em larga escala. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.8.0 |
| O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas | Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. | AuditIfNotExists, desabilitado | 2.1.0 |
| O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas | Relata conjuntos de dimensionamento de máquinas virtuais como não compatíveis se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. | AuditIfNotExists, desabilitado | 2.1.0 |
| Deploy – Configurar o agente de dependência para ser habilitado em Windows conjuntos de dimensionamento de máquinas virtuais | Implante o Agente de Dependência para Windows conjuntos de dimensionamento de máquinas virtuais se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. Caso o conjunto de dimensionamento upgradePolicy seja definido como Manual, será preciso aplicar uma extensão a todas as máquinas virtuais do conjunto, executando uma atualização delas. | DeployIfNotExists, desabilitado | 3.3.0 |
| Deploy – Configurar o agente de dependência para ser habilitado em Windows máquinas virtuais | Implante o Agente de Dependência para Windows máquinas virtuais se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desabilitado | 3.3.0 |
| Deploy padrão Microsoft extensão IaaSAntimalware para Windows Server | Essa política implanta um Microsoft extensão IaaSAntimalware com uma configuração padrão quando uma VM não está configurada com a extensão antimalware. | deployIfNotExists | 1.1.0 |
| Implantar o Dependency Agent em conjuntos de dimensionamento de máquinas virtuais do Linux | Implantar o Dependency Agent nos conjuntos de dimensionamento de máquinas virtuais do Linux se a imagem da VM (sistema operacional) estiver na lista definida e o agente não estiver instalado. Observação: se o conjunto de dimensionamento upgradePolicy for definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais no conjunto chamando a atualização nelas. Na CLI, isso seria az vmss update-instances. | deployIfNotExists | 5.1.0 |
| Deploy Dependency agent for Linux virtual machine scale sets with Azure Monitoring Agent settings | Implante o Agente de Dependência para conjuntos de dimensionamento de máquinas virtuais do Linux com configurações do Agente de Monitoramento Azure se a imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. Observação: se o conjunto de dimensionamento upgradePolicy for definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais no conjunto chamando a atualização nelas. Na CLI, isso seria az vmss update-instances. | DeployIfNotExists, desabilitado | 3.2.0 |
| Implantar o Dependency Agent nas máquinas virtuais do Linux | Implante o Dependency Agent nas máquinas virtuais do Linux se a Imagem de VM (SO) estiver na lista definida e o agente não estiver instalado. | deployIfNotExists | 5.1.0 |
| Deploy Dependency agent for Linux virtual machines with Azure Monitoring Agent settings | Implante o Agente de Dependência para máquinas virtuais do Linux com configurações do Agente de Monitoramento Azure se a imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desabilitado | 3.2.0 |
| Deploy Dependency Agent a ser habilitado em conjuntos de dimensionamento de máquinas virtuais Windows com configurações do Agente de Monitoramento Azure | Implante o Agente de Dependência para Windows conjuntos de dimensionamento de máquinas virtuais com configurações do Agente de Monitoramento Azure se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. Caso o conjunto de dimensionamento upgradePolicy seja definido como Manual, será preciso aplicar uma extensão a todas as máquinas virtuais do conjunto, executando uma atualização delas. | DeployIfNotExists, desabilitado | 1.4.0 |
| Deploy Dependency Agent a ser habilitado em máquinas virtuais Windows com configurações do Agente de Monitoramento Azure | Implante o Agente de Dependência para máquinas virtuais Windows com configurações do Agente de Monitoramento Azure se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desabilitado | 1.4.0 |
| Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais linux hospedadas em Azure compatíveis com a Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 3.2.0 |
| Deploy a extensão de Configuração de Convidado Windows para habilitar as atribuições de Configuração de Convidado em VMs Windows | Essa política implanta a extensão de Configuração de Convidado do Windows para Windows máquinas virtuais hospedadas em Azure compatíveis com a Configuração de Convidado. A extensão Windows Configuração de Convidado é um pré-requisito para todas as atribuições de configuração de convidado Windows e deve ser implantada em computadores antes de usar qualquer definição de política de configuração de convidado Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.3.0 |
| Os recursos de acesso ao disco devem usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desabilitado | 1.0.0 |
| Discos e imagem do sistema operacional devem dar suporte a TrustedLaunch | O TrustedLaunch aprimora a segurança de uma máquina virtual que exige que o disco do sistema operacional e a imagem do sistema operacional deem suporte a ela (Gen 2). Para saber mais sobre TrustedLaunch, visite https://aka.ms/trustedlaunch | Audit, desabilitado | 1.0.0 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como "Windows o Exploit Guard deve ser habilitado". Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.3 |
| Hotpatch deve ser habilitado para VMs Windows Server Azure Edition | Minimize as reinicializações e instale atualizações rapidamente com o hotpatch. Saiba mais em https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Deny, desabilitado | 1.0.0 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| os computadores Linux devem atender aos requisitos da linha de base de segurança de computação Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não estiver configurado corretamente para uma das recomendações no Azure linha de base de segurança de computação. | AuditIfNotExists, desabilitado | 2.3.1 |
| Os computadores Linux devem ter apenas contas locais que sejam permitidas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Gerenciar contas de usuário usando Azure Active Directory é uma prática recomendada para o gerenciamento de identidades. Reduzir contas de computador local ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. Os computadores não serão compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro da política. | AuditIfNotExists, desabilitado | 2.2.0 |
| os conjuntos de dimensionamento de máquinas virtuais Linux devem ter Azure Monitor Agent instalado | Os conjuntos de dimensionamento de máquinas virtuais do Linux devem ser monitorados e protegidos por meio do agente de Azure Monitor implantado. O agente de Azure Monitor coleta dados de telemetria do sistema operacional convidado. Essa política fará a auditoria dos conjuntos de dimensionamento de máquinas virtuais com imagens do sistema operacional com suporte em regiões com suporte. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desabilitado | 3.6.0 |
| as máquinas virtuais Linux devem habilitar Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma, discos de recurso (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite https://aka.ms/diskencryptioncomparison para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.2.1 |
| as máquinas virtuais Linux devem ter Azure Monitor Agent instalado | As máquinas virtuais do Linux devem ser monitoradas e protegidas por meio do agente de Azure Monitor implantado. O agente de Azure Monitor coleta dados de telemetria do sistema operacional convidado. Essa política fará a auditoria das máquinas virtuais com imagens do sistema operacional com suporte em regiões com suporte. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desabilitado | 3.6.0 |
| Os métodos de autenticação local devem ser desativados em máquinas Linux | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os servidores Linux não tiverem métodos de autenticação local desabilitados. Isso é para validar que os Servidores Linux só podem ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. | AuditIfNotExists, desabilitado | 1.2.0-preview |
| os métodos de autenticação Local devem ser desabilitados em servidores Windows | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se Windows servidores não tiverem métodos de autenticação locais desabilitados. Isso é para validar que os servidores Windows só podem ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| Log Analytics agente deve ser instalado em suas instâncias de função dos Serviços de Nuvem (suporte estendido) | A Central de Segurança coleta dados das instâncias de função dos Serviços de Nuvem (suporte estendido) para monitorar vulnerabilidades e ameaças à segurança. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os computadores devem ser configurados para verificar periodicamente se há atualizações do sistema ausentes | Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam disparadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, desabilitado | 3.9.0 |
| Os computadores devem ter as descobertas secretas resolvidas | Audita máquinas virtuais para detectar se elas contêm descobertas secretas das soluções de verificação do segredo em suas máquinas virtuais. | AuditIfNotExists, desabilitado | 1.0.2 |
| Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma | Os clientes confidenciais de alta segurança que estão preocupados com o risco associado a qualquer determinado algoritmo de criptografia, implementação ou chave sendo comprometido podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar a criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. | Audit, Deny, desabilitado | 1.0.0 |
| Os discos gerenciados devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que um disco gerenciado não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos discos gerenciados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Audit, Deny, desabilitado | 2.1.0 |
| Os discos gerenciados devem usar um conjunto específico de conjuntos de criptografia de disco para a criptografia de chave gerenciada pelo cliente | A exigência de um conjunto específico de conjuntos de criptografia de disco a ser usado com discos gerenciados oferece controle sobre as chaves usadas para criptografia em repouso. Você pode selecionar os conjuntos criptografados permitidos, e todos os outros são rejeitados quando anexados a um disco. Saiba mais em https://aka.ms/disks-cmk. | Audit, Deny, desabilitado | 2.0.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just-In-Time) à rede será monitorado por Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
| Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
| Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | Essa política audita qualquer máquina virtual Windows não configurada com a atualização automática de assinaturas de proteção antimalware Microsoft. | AuditIfNotExists, desabilitado | 1.0.0 |
| Microsoft extensão IaaSAntimalware deve ser implantada em servidores Windows | Essa política audita qualquer VM do servidor Windows sem Microsoft extensão IaaSAntimalware implantada. | AuditIfNotExists, desabilitado | 1.1.0 |
| Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| Somente as extensões aprovadas da VM devem ser instaladas | Essa política rege as extensões da máquina virtual que não foram aprovadas. | Audit, Deny, desabilitado | 1.0.0 |
| O sistema operacional e os discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. | Audit, Deny, desabilitado | 3.0.0 |
| Os pontos de extremidade privados para atribuições de configuração de convidado devem ser habilitados | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada à configuração de convidado para máquinas virtuais. As máquinas virtuais não estarão em conformidade, a menos que tenham a marca 'EnablePrivateNetworkGC'. Essa marca impõe a comunicação segura por meio da conectividade privada com a Configuração de Convidado para Máquinas Virtuais. A conectividade privada limita o acesso ao tráfego proveniente apenas de redes conhecidas e impede o acesso de todos os outros endereços IP, inclusive em Azure. | Audit, Deny, desabilitado | 1.1.0 |
| Proteja seus dados com requisitos de autenticação ao exportar ou fazer upload em um disco ou instantâneo. | Quando a URL de exportação/upload é usada, o sistema verifica se o usuário tem uma identidade no Azure Active Directory e tem as permissões necessárias para exportar/carregar os dados. Consulte aka.ms/DisksAzureADAuth. | Modificar, Desabilitado | 1.0.0 |
| Require aplicação automática de patch de imagem do sistema operacional em Conjuntos de Dimensionamento de Máquinas Virtuais | Essa política impõe a habilitação de patch automático de imagem do sistema operacional em Conjuntos de Dimensionamento de Máquinas Virtuais para sempre manter Máquinas Virtuais seguro aplicando com segurança os patches de segurança mais recentes todos os meses. | deny | 1.0.0 |
| atualizações recorrentes Schedule usando Gerenciador de Atualizações do Azure | Você pode usar Gerenciador de Atualizações do Azure em Azure para salvar agendas de implantação recorrentes para instalar atualizações do sistema operacional para seus computadores Windows Server e Linux em Azure, em ambientes locais e em outros ambientes de nuvem conectados usando servidores habilitados para Azure Arc. Essa política também alterará o modo de patch do Azure Máquina Virtual para 'AutomaticByPlatform'. Confira mais: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, desabilitado | 3.14.0 |
| Definir os pré-requisitos para agendar atualizações recorrentes em Azure máquinas virtuais. | Essa política definirá o pré-requisito necessário para agendar atualizações recorrentes no Gerenciador de Atualizações do Azure configurando a orquestração de patch para "Agendas Gerenciadas pelo Cliente". Essa alteração definirá automaticamente o modo de patch como 'AutomaticByPlatform' e habilitará 'BypassPlatformSafetyChecksOnUserSchedule' como 'True' em VMs Azure. O pré-requisito não é aplicável para servidores habilitados para Arc. Saiba mais - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, desabilitado | 1.3.0 |
| Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
| As atualizações do sistema devem ser instaladas em seus computadores (da plataforma de atualização) | As atualizações de sistema, segurança e críticas estão ausentes em seus computadores. As atualizações de software geralmente incluem patches críticos para brechas de segurança. Essas brechas costumam ser exploradas em ataques de malware, portanto, é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger seus computadores, siga as etapas de correção. | AuditIfNotExists, desabilitado | 1.0.1 |
| A extensão de Log Analytics herdada não deve ser instalada em conjuntos de dimensionamento de máquinas virtuais do Linux | Impedir automaticamente a instalação do agente de Log Analytics herdado como a etapa final da migração de agentes herdados para Azure Monitor Agent. Após você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão do agente herdado nos conjuntos de dimensionamento de máquinas virtuais Linux. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desabilitado | 1.0.0 |
| A extensão de Log Analytics herdada não deve ser instalada em máquinas virtuais linux | Impedir automaticamente a instalação do agente de Log Analytics herdado como a etapa final da migração de agentes herdados para Azure Monitor Agent. Após você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão do agente herdado em máquinas virtuais Linux. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desabilitado | 1.0.0 |
| A extensão de Log Analytics herdada não deve ser instalada em conjuntos de dimensionamento de máquinas virtuais | Impedir automaticamente a instalação do agente de Log Analytics herdado como a etapa final da migração de agentes herdados para Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão do agente herdado em Windows conjuntos de dimensionamento de máquinas virtuais. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desabilitado | 1.0.0 |
| A extensão de Log Analytics herdada não deve ser instalada em máquinas virtuais | Impedir automaticamente a instalação do agente de Log Analytics herdado como a etapa final da migração de agentes herdados para Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão do agente herdado em Windows máquinas virtuais. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desabilitado | 1.0.0 |
| A Máquina Virtual deve ter TrustedLaunch habilitado | Habilite TrustedLaunch na Máquina Virtual para maior segurança, use a SKU da VM (Gen 2) que dá suporte ao TrustedLaunch. Para saber mais sobre TrustedLaunch, visite https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, desabilitado | 1.0.0 |
| As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Audit, Deny, desabilitado | 1.0.0 |
| os computadores Virtual devem ser migrados para novos recursos de Azure Resource Manager | Use novas Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas em Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos Azure Autenticação baseada em AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Audit, Deny, desabilitado | 1.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. Azure máquinas virtuais no escopo dessa política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída pelo sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
| Windows Defender Exploit Guard deve estar habilitado em seus computadores | Windows Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas balanceem seus requisitos de risco de segurança e produtividade (apenas Windows). | AuditIfNotExists, desabilitado | 2.0.0 |
| Windows computadores devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists, desabilitado | 4.1.1 |
| Windows computadores devem configurar Windows Defender para atualizar assinaturas de proteção dentro de um dia | Para fornecer proteção adequada contra malware recém-lançado, as assinaturas de proteção Windows Defender precisam ser atualizadas regularmente para levar em conta o malware recém-lançado. Essa política não foi aplicada nos servidores conectados ao Arc e requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.1 |
| Windows computadores devem habilitar Windows Defender proteção em tempo real | Windows computadores devem habilitar a proteção em tempo real no Windows Defender para fornecer proteção adequada contra malware recém-lançado. Essa política não é aplicável aos servidores conectados ao Arc e requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.1 |
| Windows computadores devem atender aos requisitos para 'Modelos Administrativos - Painel de Controle' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos - Painel de Controle' para personalização e prevenção de entrada para habilitar telas de bloqueio. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Modelos Administrativos - MSS (Herdado)' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – MSS (Herdado)' para logon automático, economia de tela, comportamento de rede, DLL segura e log de eventos. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Modelos Administrativos - Rede' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – Rede' para logons de convidado, conexões simultâneas, ponte de rede, ICS e resolução de nomes multicast. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Modelos Administrativos - Sistema' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – Sistema' para configurações que controlam a experiência administrativa e a Assistência Remota. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos de 'Opções de Segurança - Contas' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Contas' para limitar o uso da conta local de senhas em branco e status da conta de convidado. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos de 'Opções de Segurança – Auditoria' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Auditoria' para forçar a subcategoria da política de auditoria e desligar se não for possível registrar auditorias de segurança. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Opções de Segurança - Dispositivos' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Dispositivos' para desencaixar sem fazer logon, instalar drivers de impressão e formatar/ejetar mídia. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos de 'Opções de Segurança – Logon Interativo' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Logon Interativo' para exibir o sobrenome do usuário e exigir ctrl-alt-del. Essa política exige que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Opções de Segurança - Microsoft Cliente de Rede' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Microsoft Cliente de Rede' para Microsoft cliente/servidor de rede e SMB v1. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Opções de Segurança - Microsoft Servidor de Rede' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Microsoft Servidor de Rede' para desabilitar o servidor SMB v1. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Opções de Segurança – Acesso à Rede' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Acesso à Rede' para incluir acesso a usuários anônimos, contas locais e acesso remoto ao registro. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Opções de Segurança - Segurança de Rede' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Segurança de Rede' para incluir o comportamento do sistema local, PKU2U, LAN Manager, cliente LDAP e NTLM SSP. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos de 'Opções de Segurança – Console de recuperação' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Console de recuperação' para permitir a cópia disquete e o acesso a todas as unidades e pastas. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos de 'Opções de Segurança – Desligamento' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Desligamento' para permitir o desligamento sem logon e limpar o arquivo de página de memória virtual. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Opções de Segurança - Objetos do sistema' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Objetos do sistema' para insensibilidade de caso para subsistemas não Windows e permissões de objetos internos do sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Opções de Segurança - Configurações do sistema' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Configurações do sistema' para regras de certificado em executáveis para SRP e subsistemas opcionais. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Opções de Segurança – Controle de Conta de Usuário' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Controle de Conta de Usuário' para modo para administradores, comportamento do prompt de elevação e virtualização de falhas de gravação de arquivo e registro. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Configurações de Segurança - Políticas de Conta' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Configurações de Segurança – Políticas de Conta' para histórico de senha, idade, comprimento, complexidade e armazenamento de senhas usando criptografia reversível. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Políticas de Auditoria do Sistema - Logon de Conta' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Logon de Conta' para auditoria da validação de credenciais e outros eventos de logon de conta. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Políticas de Auditoria do Sistema - Gerenciamento de Contas' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Gerenciamento de Contas' para auditoria de gerenciamento de aplicativo, segurança e grupo de usuários e outros eventos de gerenciamento. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Políticas de Auditoria do Sistema - Controle Detalhado' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' para auditoria de DPAPI, criação/encerramento do processo, eventos RPC e atividade PNP. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Políticas de Auditoria do Sistema - Logon-Logoff' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Logon-Logoff' para auditoria de IPSec, política de rede, declarações, bloqueio de conta, associação de grupo e eventos de logon/logoff. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Políticas de Auditoria do Sistema – Acesso a Objetos' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Acesso a Objetos' para arquivo de auditoria, registro, SAM, armazenamento, filtragem, kernel e outros tipos de sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Políticas de Auditoria do Sistema - Alteração de Política' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Alteração de Política' para auditoria de alterações nas políticas de auditoria do sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Políticas de Auditoria do Sistema – Uso de Privilégios' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Uso de Privilégios' para auditoria de uso sem sentido e outros privilégios. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Políticas de Auditoria do Sistema - Sistema' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Sistema' para auditoria do driver IPsec, integridade do sistema, extensão do sistema, alteração de estado e outros eventos do sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos de 'Atribuição de Direitos de Usuário' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Atribuição de Direitos de Usuário' para permitir logon localmente, RDP, acesso da rede e muitas outras atividades do usuário. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Windows Components' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'componentes Windows' para autenticação básica, tráfego não criptografado, contas Microsoft, telemetria, Cortana e outros comportamentos de Windows. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos para 'Windows Propriedades do Firewall' | Windows computadores devem ter as configurações de Política de Grupo especificadas na categoria 'Propriedades do Firewall Windows' para estado de firewall, conexões, gerenciamento de regras e notificações. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Windows computadores devem atender aos requisitos da linha de base de segurança de computação Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não estiver configurado corretamente para uma das recomendações no Azure linha de base de segurança de computação. | AuditIfNotExists, desabilitado | 2.1.1 |
| Windows computadores só devem ter contas locais permitidas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Essa definição não tem suporte no Windows Server 2012 ou 2012 R2. Gerenciar contas de usuário usando Azure Active Directory é uma prática recomendada para o gerenciamento de identidades. Reduzir contas de computador local ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. Os computadores não serão compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro da política. | AuditIfNotExists, desabilitado | 2.0.0 |
| Windows conjuntos de dimensionamento de máquinas virtuais devem ter Azure Monitor Agent instalado | Windows conjuntos de dimensionamento de máquinas virtuais devem ser monitorados e protegidos por meio do agente de Azure Monitor implantado. O agente de Azure Monitor coleta dados de telemetria do sistema operacional convidado. Conjuntos de dimensionamento de máquinas virtuais com sistema operacional com suporte e em regiões com suporte são monitorados para implantação do agente de Azure Monitor. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desabilitado | 3.5.0 |
| Windows máquinas virtuais devem habilitar Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma, discos de recurso (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite https://aka.ms/diskencryptioncomparison para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.1.1 |
| Windows máquinas virtuais devem ter Azure Monitor Agent instalado | Windows máquinas virtuais devem ser monitoradas e protegidas por meio do agente de Azure Monitor implantado. O agente de Azure Monitor coleta dados de telemetria do sistema operacional convidado. Windows máquinas virtuais com sistema operacional com suporte e em regiões com suporte são monitoradas para implantação do agente de Azure Monitor. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desabilitado | 3.5.0 |
Microsoft. VirtualMachineImages
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Os modelos do Construtor de Imagens de VM devem usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditoria, desabilitado, negação | 1.1.0 |
Microsoft. ClassicCompute
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. Central de Segurança do Azure tipo de preço padrão inclui verificação de vulnerabilidade para suas máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| Auditar máquinas virtuais sem a recuperação de desastre configurada | Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores devem ter as descobertas secretas resolvidas | Audita máquinas virtuais para detectar se elas contêm descobertas secretas das soluções de verificação do segredo em suas máquinas virtuais. | AuditIfNotExists, desabilitado | 1.0.2 |
| Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
| Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| os computadores Virtual devem ser migrados para novos recursos de Azure Resource Manager | Use novas Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas em Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos Azure Autenticação baseada em AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Audit, Deny, desabilitado | 1.0.0 |
Próximas etapas
- Consulte os internos no repositório Azure Policy GitHub.
- Examine a estrutura de definição Azure Policy.
- Revisar Compreendendo os efeitos da política.