Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: ✔️ VMs ✔️ Linux Windows VMs ✔️ Conjuntos ✔️ de escala flexíveis Conjuntos de escala uniformes
Esta página é um índice de definições de políticas incorporadas Azure Policy para Máquinas Virtuais do Azure. Para Azure Policy incorporados adicionais para outros serviços, veja Azure Policy definições incorporadas.
O nome de cada definição de política incorporada está ligado à definição da política no portal do Azure. Use o link na coluna Version para visualizar a fonte no repositório Azure Policy GitHub.
Microsoft. Compute
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Uma identidade gerida deve ser ativada nas suas máquinas | Os recursos gerenciados pelo Automanage devem ter uma identidade gerenciada. | Modo de Auditoria, Desativado | 1.0.0-preview |
| [Pré-visualização]: Adicionar identidade gerida atribuída pelo utilizador para ativar atribuições de Configuração de Convidado em máquinas virtuais | Esta política adiciona uma identidade gerida atribuída pelo utilizador a máquinas virtuais alojadas no Azure suportadas por Configuração de Convidados. Uma identidade gerenciada atribuída pelo usuário é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, desativado | 2.1.0-pré-visualização |
| [Pré-visualização]: Atribuir Built-In User-Assigned Identidade Gerida a Conjuntos de Dimensionamento de Máquinas Virtuais | Crie e atribua uma identidade gerenciada atribuída pelo usuário interna ou atribua uma identidade gerenciada pré-criada atribuída pelo usuário em escala para conjuntos de escala de máquina virtual. Para obter documentação mais detalhada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, desativado | 1.1.0-preview |
| [Pré-visualização]: Atribuir Built-In User-Assigned Identidade Gerida a Máquinas Virtuais | Crie e atribua uma identidade gerenciada atribuída pelo usuário interna ou atribua uma identidade gerenciada pré-criada atribuída pelo usuário em escala para máquinas virtuais. Para obter documentação mais detalhada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, desativado | 1.1.0-preview |
| [Pré-visualização]: Auditar a postura de segurança SSH para Windows | Esta política audita a configuração de segurança dos servidores SSH em máquinas Windows Server 2019, 2022 e 2025 (VMs Azure e máquinas com Arc). Para obter mais informações, incluindo pré-requisitos, configurações no escopo, padrões e personalização, consulte https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | AuditIfNotExists, desativado | 1.1.0-preview |
| [Pré-visualização]: A atribuição de perfil de configuração de gestão automática deve ser conforme | Os recursos gerenciados pelo Automanage devem ter um status de Conformant ou ConformantCorrected. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: Azure Backup deve estar ativado para Managed Disks | Garanta a proteção dos seus Managed Disks ativando o Azure Backup. O Azure Backup é uma solução segura e económica de proteção de dados para Azure. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: O Diagnóstico de Arranque deve ser ativado em máquinas virtuais | As máquinas virtuais do Azure devem ter os diagnióticos de arranque ativados. | Modo de Auditoria, Desativado | 1.0.0-preview |
| [Preview]: A extensão ChangeTracking deve ser instalada na sua máquina virtual Linux | Instale a extensão ChangeTracking em máquinas virtuais Linux para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: A extensão ChangeTracking deve estar instalada na sua Windows máquina virtual | Instale a extensão ChangeTracking nas máquinas virtuais Windows para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar Azure Defender para o agente SQL na máquina virtual | Configura Windows máquinas para instalarem automaticamente o Azure Defender para o agente SQL onde o Azure Monitor Agent está instalado. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e um espaço de trabalho Log Analytics na mesma região da máquina. As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: Configurar backup para Azure Discos (Managed Disks) com uma dada etiqueta para um cofre de backup existente na mesma região | Impor o backup para todos os Azure Disks (Managed Disks) que contenham uma determinada etiqueta para um cofre central de backup. Saiba mais em https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: Configurar backup para Azure Discos (Managed Disks) sem uma dada etiqueta para um cofre de backup existente na mesma região | Impor o backup para todos os Azure Disks (Managed Disks) que não contenham uma dada etiqueta para um cofre central de backup. Saiba mais em https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: Configurar a postura de segurança SSH para Windows | Esta política configura a configuração de segurança dos servidores SSH em máquinas Windows Server 2019, 2022 e 2025 (VMs Azure e máquinas com suporte Arc). Para obter mais informações, incluindo pré-requisitos, configurações no escopo, padrões e personalização, consulte https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | DeployIfNotExists, desativado | 1.1.0-preview |
| [Preview]: Configure conjuntos de dimensionamento de máquinas virtuais Linux suportados para instalar automaticamente a extensão Guest Attestation | Configure conjuntos de escalas de máquinas virtuais Linux suportadas para instalar automaticamente a extensão Guest Attestation, permitindo que o Centro de Segurança do Azure atesta proativamente e monitorize a integridade do arranque. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 6.1.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais Linux suportadas para ativar automaticamente o Arranque Seguro | Configure máquinas virtuais Linux suportadas para habilitar automaticamente a Inicialização Segura para mitigar alterações maliciosas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. | DeployIfNotExists, desativado | 5.0.0-preview |
| [Preview]: Configure máquinas virtuais Linux suportadas para instalar automaticamente a extensão Guest Attestation | Configure as máquinas virtuais Linux suportadas para instalar automaticamente a extensão Guest Attestation, permitindo que o Centro de Segurança do Azure ateste proativamente e monitorize a integridade do arranque. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 7.1.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais suportadas para ativar automaticamente o vTPM | Configure máquinas virtuais suportadas para habilitar automaticamente o vTPM para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configure conjuntos de escalas Windows máquinas virtuais suportados para instalar automaticamente a extensão Guest Attestation | Configure conjuntos de escalas de máquinas virtuais Windows suportadas para instalar automaticamente a extensão Guest Attestation, permitindo que o Centro de Segurança do Azure ateste proativamente e monitorize a integridade do arranque. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 4.1.0-pré-visualização |
| [Pré-visualização]: Configurar máquinas virtuais suportadas Windows para ativarem automaticamente o Secure Boot | Configure as máquinas virtuais Windows suportadas para ativarem automaticamente o Secure Boot para mitigar alterações maliciosas e não autorizadas na cadeia de arranque. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. | DeployIfNotExists, desativado | 3.0.0-pré-visualização |
| [Pré-visualização]: Configurar Windows máquinas virtuais suportadas para instalar automaticamente a extensão Guest Attestation | Configure as máquinas virtuais Windows suportadas para instalar automaticamente a extensão Guest Attestation, permitindo que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 5.1.0-preview |
| [Pré-visualização]: Configurar a identidade gerida atribuída ao sistema para permitir atribuições de Azure Monitor em VMs | Configure a identidade gerida atribuída ao sistema a máquinas virtuais alojadas no Azure que sejam suportadas pelo Azure Monitor e que não tenham uma identidade gerida atribuída pelo sistema. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições do Azure Monitor e deve ser adicionada às máquinas antes de usar qualquer extensão do Azure Monitor. As máquinas virtuais de destino devem estar em um local com suporte. | Modificar, Desativado | 6.2.0-pré-visualização |
| [Pré-visualização]: Configurar VMs criadas com imagens Shared Image Gallery para instalar a extensão Guest Attestation | Configure máquinas virtuais criadas com imagens Shared Image Gallery para instalar automaticamente a extensão Guest Attestation, permitindo que o Centro de Segurança do Azure ateste proativamente e monitorize a integridade do arranque. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configure o VMSS criado com imagens Shared Image Gallery para instalar a extensão Guest Attestation | Configure o VMSS criado com imagens do Shared Image Gallery para instalar automaticamente a extensão Guest Attestation, permitindo que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 2.1.0-pré-visualização |
| [Pré-visualização]: Configurar Windows Server para desativar utilizadores locais. | Cria uma atribuição de Configuração de Convidado para configurar a desativação de utilizadores locais no Windows Server. Isto garante que os servidores Windows só podem ser acedidos pela conta AAD (Azure Active Directory) ou por uma lista de utilizadores explicitamente permitidos por esta política, melhorando a postura geral de segurança. | DeployIfNotExists, desativado | 1.3.0-pré-visualização |
| [Pré-visualização]: Implementar Microsoft Defender para Endpoint agente em máquinas virtuais Linux | Implementa o agente Microsoft Defender para Endpoint em imagens de VM Linux aplicáveis. | DeployIfNotExists, AuditIfNotExists, desativado | 3.0.0-pré-visualização |
| [Pré-visualização]: Implementar Microsoft Defender para Endpoint agente em Windows máquinas virtuais | Implementa o Microsoft Defender para Endpoint em imagens de máquinas virtuais Windows aplicáveis. | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-pré-visualização |
| [Pré-visualização]: Ativar a identidade atribuída pelo sistema à SQL VM | Habilite a identidade atribuída ao sistema em escala para máquinas virtuais SQL. Você precisa atribuir essa política no nível da assinatura. Atribuir no nível do grupo de recursos não funcionará conforme o esperado. | DeployIfNotExists, desativado | 1.0.0-preview |
| [Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas | Instalar a extensão Guest Attestation em máquinas virtuais Linux suportadas para permitir que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Linux Trusted Launch e Confidential. | AuditIfNotExists, desativado | 6.0.0-preview |
| [Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados | Instalar a extensão Guest Attestation em conjuntos de escalas de máquinas virtuais Linux suportadas para permitir que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Linux Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 5.1.0-preview |
| [Pré-visualização]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Windows suportadas | Instale a extensão Guest Attestation em máquinas virtuais suportadas para permitir que o Centro de Segurança do Azure atesta e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se às máquinas virtuais Trusted Launch e Confidential Windows. | AuditIfNotExists, desativado | 4.0.0-preview |
| [Pré-visualização]: A extensão Guest Attestation deve ser instalada em conjuntos de escalas Windows máquinas virtuais suportadas | Instale a extensão Guest Attestation em conjuntos de escalas de máquinas virtuais suportadas para permitir que o Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a conjuntos de escalas de máquinas virtuais Trusted Launch e Confidential Windows. | AuditIfNotExists, desativado | 3.1.0-prévia |
| [Pré-visualização]: As máquinas Linux devem cumprir os requisitos para a linha base de segurança Azure para hosts Docker | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. A máquina não está configurada corretamente para uma das recomendações na base de segurança do Azure para hosts Docker. | AuditIfNotExists, desativado | 1.2.0-prévia |
| [Pré-visualização]: As máquinas Linux devem cumprir o requisito de conformidade STIG para Azure computação | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não estiver configurada corretamente para uma das recomendações do requisito de conformidade STIG para computação no Azure. A DISA (Defense Information Systems Agency) fornece guias técnicos STIG (Security Technical Implementation Guide) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para mais detalhes, https://public.cyber.mil/stigs/. | AuditIfNotExists, desativado | 1.2.0-prévia |
| [Preview]: Máquinas Linux com OMI instalado devem ter a versão 1.6.8-1 ou posterior | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. Devido a uma correção de segurança incluída na versão 1.6.8-1 do pacote OMI para Linux, todas as máquinas devem ser atualizadas para a versão mais recente. Atualize aplicativos/pacotes que usam o OMI para resolver o problema. Para obter mais informações, veja https://aka.ms/omiguidance. | AuditIfNotExists, desativado | 1.2.0-prévia |
| [Pré-visualização]: As máquinas virtuais Linux devem utilizar apenas componentes de arranque assinados e fidedignos | Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por editores confiáveis. O Defender para a Cloud identificou componentes de arranque do sistema operativo não confiáveis em uma ou mais das suas máquinas Linux. Para proteger as suas máquinas de componentes potencialmente maliciosos, adicione-os à sua lista de permissões ou remova os componentes identificados. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: As máquinas virtuais Linux devem utilizar o Arranque Seguro | Para proteger contra a instalação de rootkits baseados em malware e kits de inicialização, habilite a Inicialização Segura em máquinas virtuais Linux suportadas. A Inicialização Segura garante que apenas os sistemas operacionais e drivers assinados terão permissão para serem executados. Esta avaliação aplica-se apenas a máquinas virtuais Linux que tenham o Azure Monitor Agent instalado. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: As cargas de trabalho Linux devem cumprir o Benchmark Oficial de Segurança CIS | Esta política permite-lhe personalizar e implementar Benchmarks de Segurança CIS para fins de auditoria nas suas cargas de trabalho Linux em ambientes Azure, on-premises e híbridos. O conteúdo dos Benchmarks de Segurança CIS está em paridade com os benchmarks publicados em https://cisecurity.org. A política é gerida pelo azure-osconfig. Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: As máquinas devem ter portas fechadas que possam expor vetores de ataque | Os Termos de Uso do Azure proíbem a utilização de serviços Azure de formas que possam danificar, desativar, sobrecarregar ou prejudicar qualquer servidor Microsoft ou a rede. As portas expostas identificadas por esta recomendação precisam ser fechadas para sua segurança contínua. Para cada porto identificado, a recomendação também fornece uma explicação da ameaça potencial. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: Managed Disks deve ser Zona Resiliente | Managed Disks podem ser configurados para serem Alinhados por Zona, Redundantes por Zona, ou nenhum dos dois. Managed Disks com exatamente uma atribuição de zona são ZoneAligned. Managed Disks com um nome sku que termina em ZRS são Redundantes de Zona. Esta política ajuda a identificar e reforçar estas configurações de resiliência para Managed Disks. | Auditoria, Negar, Desativado | 1.0.0-preview |
| [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | O Security Center utiliza o agente Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure, permitindo funcionalidades avançadas de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de reforço de rede e ameaças específicas de rede. | AuditIfNotExists, desativado | 1.0.2-pré-visualização |
| [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em Windows máquinas virtuais | O Security Center utiliza o agente Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure, permitindo funcionalidades avançadas de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de reforço de rede e ameaças específicas de rede. | AuditIfNotExists, desativado | 1.0.2-pré-visualização |
| [Pré-visualização]: Benchmarks Oficiais de Segurança CIS para Windows Server | Esta política permite-lhe personalizar e implementar Benchmarks de Segurança CIS para fins de auditoria no seu Windows Server em ambientes Azure, on-premises e híbridos. O conteúdo dos Benchmarks de Segurança CIS está em paridade com os benchmarks publicados em https://cisecurity.org. Exige que os pré-requisitos sejam aplicados ao âmbito da atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: O Secure Boot deve estar ativado em máquinas virtuais Windows suportadas | Ative o Arranque Seguro nas máquinas virtuais Windows suportadas para mitigar alterações maliciosas e não autorizadas na cadeia de arranque. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. Esta avaliação aplica-se às máquinas virtuais Trusted Launch e Confidential Windows. | Modo de Auditoria, Desativado | 4.0.0-preview |
| [Pré-visualização]: Conjuntos de Dimensionamento de Máquinas Virtuais deve ser Zona Resiliente | Conjuntos de Dimensionamento de Máquinas Virtuais podem ser configurados para serem Alinhados por Zona, Redundantes por Zona, ou nenhum dos dois. Conjuntos de Dimensionamento de Máquinas Virtuais que têm exatamente uma entrada no seu array de zonas são considerados Zone Aligned. Em contraste, Conjuntos de Dimensionamento de Máquinas Virtuais com 3 ou mais entradas no seu array de zonas e uma capacidade de pelo menos 3 são reconhecidos como Redundantes de Zona. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-preview |
| [Pré-visualização]: Conjuntos de Dimensionamento de Máquinas Virtuais com mais de 2 zonas de disponibilidade devem ter o rebalanceamento automático do AZ ativado | Esta política permite o reequilíbrio automático do AZ para Conjuntos de Dimensionamento de Máquinas Virtuais que, de outra forma, são resilientes em zonas. O reequilíbrio automático de zonas ajuda a garantir que os seus Conjuntos de Dimensionamento de Máquinas Virtuais estejam distribuídos de forma uniforme entre as zonas da região. | Modificar, Desativado | 1.0.0-preview |
| [Pré-visualização]: O estado do atestado de convidado de máquinas virtuais deve estar saudável | O atestado de convidado é realizado enviando um log confiável (TCGLog) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Esta avaliação destina-se a detetar comprometimentos da cadeia de inicialização que podem ser o resultado de uma infeção por bootkit ou rootkit. Essa avaliação só se aplica a máquinas virtuais habilitadas para Inicialização Confiável que tenham a extensão Atestado de Convidado instalada. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: Máquinas Virtuais deve ser Alinhado à Zona | As Máquinas Virtuais podem ser configuradas para serem alinhadas por zonas ou não. Eles são considerados alinhados por zona se tiverem apenas uma entrada em sua matriz de zonas. Essa política garante que eles estejam configurados para operar em uma única zona de disponibilidade. | Auditoria, Negar, Desativado | 1.0.0-preview |
| [Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas | Habilite o dispositivo TPM virtual em máquinas virtuais suportadas para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável. | Modo de Auditoria, Desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Windows máquinas devem cumprir os requisitos de conformidade STIG para Azure computação | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas são não compatíveis se a máquina não estiver configurada corretamente para uma das recomendações nos requisitos de conformidade STIG para computação do Azure. A DISA (Defense Information Systems Agency) fornece guias técnicos STIG (Security Technical Implementation Guide) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para mais detalhes, https://public.cyber.mil/stigs/. | AuditIfNotExists, desativado | 1.0.0-preview |
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O preço padrão do Centro de Segurança do Azure inclui a análise de vulnerabilidades para as suas máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerida atribuída pelo sistema às máquinas virtuais alojadas no Azure que são suportadas pela Configuração de Convidados, mas que não têm identidades geridas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerida atribuída pelo sistema às máquinas virtuais alojadas no Azure que são suportadas por Configuração de Convidados e têm pelo menos uma identidade atribuída pelo utilizador, mas não possuem uma identidade gerida atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Adiciona uma etiqueta aos Appliances Virtuais de Rede (NVAs), VMs e VMSS para suporte a MANA | Aplica uma etiqueta para implementações NVA do Marketplace quando o NVA está a usar tamanhos de VM existentes. Por favor, consulte https://aka.ms/manasupportforexistingvmfamilynva. | Modificar, Desativado | 1.0.0 |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | O Centro de Segurança do Azure identificou algumas das regras de entrada dos seus grupos de segurança de rede como demasiado permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| SKUs de tamanho de máquina virtual permitido | Esta política permite especificar um conjunto de SKUs de tamanho de máquina virtual que sua organização pode implantar. | Deny | 1.0.1 |
| Atribuir identidade atribuída ao sistema a SQL Máquinas Virtuais | Atribuir identidade atribuída ao sistema em escala para máquinas virtuais Windows SQL. | DeployIfNotExists, desativado | 1.0.0 |
| Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desativado | 3.1.0 |
| Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | AuditIfNotExists, desativado | 3.1.0 |
| Auditar máquinas Linux que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro não estão instalados. | AuditIfNotExists, desativado | 4.2.0 |
| Auditar máquinas Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que têm contas sem senhas | AuditIfNotExists, desativado | 3.1.0 |
| Auditar máquinas Linux que tenham os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro estão instalados. | AuditIfNotExists, desativado | 4.2.0 |
| Auditar a postura de segurança SSH para Linux (alimentado pelo OSConfig) | Esta política audita a configuração de segurança dos servidores SSH em máquinas Linux (VMs Azure e máquinas com Arc). Para obter mais informações, incluindo pré-requisitos, configurações no escopo, padrões e personalização, consulte https://aka.ms/SshPostureControlOverview | AuditIfNotExists, desativado | 1.0.1 |
| Auditar máquinas virtuais sem recuperação de desastres configurada | Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Auditar VMs que não usam discos gerenciados | Esta política audita VMs que não utilizam discos geridos | auditoria | 1.0.0 |
| Audit Windows máquinas que faltem algum dos membros especificados no grupo de Administradores | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local não contiver um ou mais membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Audit Windows conectividade de rede | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o status de uma conexão de rede com uma porta IP e TCP não corresponder ao parâmetro de política. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas em que a configuração DSC não está em conformidade | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o comando PowerShell Windows Get-DSCConfigurationStatus devolver que a configuração DSC da máquina não é compatível. | auditIfNotExists | 3.0.0 |
| Audit Windows máquinas nas quais o agente Log Analytics não está ligado como esperado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o agente não estiver instalado ou se estiver instalado, mas o objeto COM AgentConfigManager.MgmtSvcCfg retornará que ele está registrado em um espaço de trabalho diferente da ID especificada no parâmetro policy. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas em que os serviços especificados não estão instalados e em 'Execução' | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o resultado do comando PowerShell Windows Get-Service não incluir o nome do serviço com o estado correspondente especificado pelo parâmetro da política. | auditIfNotExists | 3.0.0 |
| Audit Windows máquinas nas quais Windows Consola Serial não está ativada | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não tiver o software Serial Console instalado ou se o número da porta EMS ou a taxa de transmissão não estiverem configurados com os mesmos valores que os parâmetros da política. | auditIfNotExists | 3.0.0 |
| Audit Windows máquinas que permitem a reutilização das palavras-passe após o número especificado de palavras-passe únicas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não compatíveis são Windows que permitem a reutilização das palavras-passe após o número especificado de palavras-passe únicas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desativado | 2.1.0 |
| Audit Windows máquinas que não estão ligadas ao domínio especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o valor da propriedade Domain na classe WMI win32_computersystem não corresponder ao valor no parâmetro policy. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas que não estejam definidas para o fuso horário especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o valor da propriedade StandardName na classe WMI Win32_TimeZone não corresponder ao fuso horário selecionado para o parâmetro de política. | auditIfNotExists | 4.0.0 |
| Audit Windows máquinas que contenham certificados a expirar dentro do número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os certificados no armazenamento especificado tiverem uma data de expiração fora do intervalo para o número de dias fornecido como parâmetro. A política também fornece a opção de verificar apenas se há certificados específicos ou excluir certificados específicos e se deseja relatar certificados expirados. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas que não contenham os certificados especificados em Trusted Root | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o armazenamento de certificados Raiz Confiável da máquina (Cert:\LocalMachine\Root) não contiver um ou mais dos certificados listados pelo parâmetro de política. | auditIfNotExists | 3.0.0 |
| Audit Windows máquinas que não têm a idade máxima da palavra-passe definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows não têm a idade máxima da palavra-passe definida para o número especificado de dias. O valor padrão para a idade máxima da senha é 70 dias | AuditIfNotExists, desativado | 2.1.0 |
| Audit Windows máquinas que não tenham a idade mínima da palavra-passe definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows não têm a idade mínima da palavra-passe definida para o número especificado de dias. O valor padrão para a idade mínima da senha é de 1 dia | AuditIfNotExists, desativado | 2.1.0 |
| Audit Windows máquinas que não tenham ativada a definição de complexidade da palavra-passe | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows não tiverem a definição de complexidade da palavra-passe ativada | AuditIfNotExists, desativado | 2.0.0 |
| Audit Windows máquinas que não têm a política de execução Windows PowerShell especificada | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o comando PowerShell Windows Get-ExecutionPolicy devolver um valor diferente do selecionado no parâmetro da política. | AuditIfNotExists, desativado | 3.0.0 |
| Audit Windows máquinas que não tenham instalados os módulos PowerShell de Windows especificados | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se um módulo não estiver disponível em um local especificado pela variável de ambiente PSModulePath. | AuditIfNotExists, desativado | 3.0.0 |
| Audit Windows máquinas que não restringem o comprimento mínimo da palavra-passe ao número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas são não compatíveis se forem máquinas Windows que não restringem o comprimento mínimo da palavra-passe ao número especificado de caracteres. O valor padrão para o comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desativado | 2.1.0 |
| Audit Windows máquinas que não armazenam palavras-passe usando encriptação reversível | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se forem máquinas Windows que não armazenam palavras-passe usando encriptação reversível | AuditIfNotExists, desativado | 2.0.0 |
| Audit Windows máquinas que não têm as aplicações especificadas instaladas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o nome da aplicação não for encontrado em nenhum dos seguintes caminhos de registo: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Desinstalar. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas que tenham contas extra no grupo de Administradores | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local contiver membros que não estão listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas que não tenham reiniciado dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a propriedade WMI LastBootUpTime na classe Win32_Operatingsystem estiver fora do intervalo de dias fornecido pelo parâmetro policy. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas que tenham as aplicações especificadas instaladas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o nome da aplicação for encontrado em qualquer um dos seguintes caminhos de registo: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Desinstalar. | auditIfNotExists | 2.0.0 |
| Audit Windows máquinas que tenham os membros especificados no grupo de Administradores | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local contiver um ou mais dos membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Audit Windows VMs com um reinício pendente | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina estiver pendente de reinício por qualquer uma das seguintes razões: serviço baseado em componentes, Windows Update, renomeação pendente de ficheiro, renomeação pendente de computador, gestor de configuração pendente de reinicialização. Cada deteção tem um caminho de registro exclusivo. | auditIfNotExists | 2.0.0 |
| A autenticação em máquinas Linux deve exigir chaves SSH | Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação numa máquina virtual Azure Linux via SSH é com um par de chaves públicas-privadas, também conhecidas como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desativado | 3.2.0 |
| Azure Backup deve estar ativado para Máquinas Virtuais | Garanta a proteção das suas Máquinas Virtuais do Azure ativando o Azure Backup. O Azure Backup é uma solução segura e económica de proteção de dados para Azure. | AuditIfNotExists, desativado | 3.0.0 |
| A extensão ChangeTracking deve ser instalada em seus conjuntos de dimensionamento de máquina virtual Linux | Instale a extensão ChangeTracking em conjuntos de escalas de máquinas virtuais Linux para permitir o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.1 |
| A extensão ChangeTracking deve estar instalada nos seus conjuntos de escalas de máquinas virtuais Windows | Instale a extensão ChangeTracking em conjuntos de escalas de máquinas virtuais Windows para permitir o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.1 |
| As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ser configuradas com segurança | Proteja suas instâncias de função do Serviço de Nuvem (suporte estendido) contra ataques, garantindo que elas não sejam expostas a nenhuma vulnerabilidade do sistema operacional. | AuditIfNotExists, desativado | 1.0.0 |
| As instâncias de função Serviços de Nuvem (suporte estendido) devem ter atualizações do sistema instaladas | Proteja suas instâncias de função de Serviços de Nuvem (suporte estendido) garantindo que as atualizações críticas e de segurança mais recentes sejam instaladas nelas. | AuditIfNotExists, desativado | 1.0.0 |
| Configure Azure Defender para que os servidores sejam desativados para todos os recursos (nível de recurso) | O Azure Defender for Servers oferece proteção contra ameaças em tempo real para cargas de trabalho dos servidores e gera recomendações de reforço, bem como alertas sobre atividades suspeitas. Esta política desativará o plano Defender for Servers para todos os recursos (VMs, VMSSs e ARC Machines) no âmbito selecionado (subscrição ou grupo de recursos). | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Defender para servidores serem desativados para recursos (nível de recurso) com a etiqueta selecionada | O Azure Defender for Servers oferece proteção contra ameaças em tempo real para cargas de trabalho dos servidores e gera recomendações de reforço, bem como alertas sobre atividades suspeitas. Esta política irá desativar o plano Defender for Servers para todos os recursos (VMs, VMSSs e ARC Machines) que tenham o nome da etiqueta e o(s) valor(es) da etiqueta selecionados. | DeployIfNotExists, desativado | 1.1.0 |
| Configure Azure Defender para que os Servidores estejam ativados (subplano 'P1') para todos os recursos (nível de recurso) com a etiqueta selecionada | O Azure Defender for Servers oferece proteção contra ameaças em tempo real para cargas de trabalho dos servidores e gera recomendações de reforço, bem como alertas sobre atividades suspeitas. Esta política permitirá o plano Defender for Servers (com o subplano 'P1') para todos os recursos (VMs e Máquinas ARC) que tenham o nome e valor(es) da etiqueta selecionados. | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Defender para que os Servidores sejam ativados (com subplano 'P1') para todos os recursos (nível de recursos) | O Azure Defender for Servers oferece proteção contra ameaças em tempo real para cargas de trabalho dos servidores e gera recomendações de reforço, bem como alertas sobre atividades suspeitas. Esta política permitirá o plano Defender for Servers (com subplano 'P1') para todos os recursos (VMs e ARC Machines) no âmbito selecionado (subscrição ou grupo de recursos). | DeployIfNotExists, desativado | 1.1.0 |
| Configurar o backup em máquinas virtuais com uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão | Imponha o backup para todas as máquinas virtuais implantando um cofre de serviços de recuperação no mesmo local e grupo de recursos que a máquina virtual. Fazer isso é útil quando diferentes equipes de aplicativos em sua organização são alocadas em grupos de recursos separados e precisam gerenciar seus próprios backups e restaurações. Opcionalmente, você pode incluir máquinas virtuais contendo uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.5.0 |
| Configurar o backup em máquinas virtuais com uma determinada tag para um cofre de serviços de recuperação existente no mesmo local | Imponha o backup para todas as máquinas virtuais fazendo backup delas em um cofre de serviços de recuperação central existente no mesmo local e assinatura da máquina virtual. Fazer isso é útil quando há uma equipe central em sua organização gerenciando backups para todos os recursos em uma assinatura. Opcionalmente, você pode incluir máquinas virtuais contendo uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.5.0 |
| Configurar o backup em máquinas virtuais sem uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão | Imponha o backup para todas as máquinas virtuais implantando um cofre de serviços de recuperação no mesmo local e grupo de recursos que a máquina virtual. Fazer isso é útil quando diferentes equipes de aplicativos em sua organização são alocadas em grupos de recursos separados e precisam gerenciar seus próprios backups e restaurações. Opcionalmente, você pode excluir máquinas virtuais que contenham uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.5.0 |
| Configure o backup em máquinas virtuais sem uma determinada tag para um cofre de serviços de recuperação existente no mesmo local | Imponha o backup para todas as máquinas virtuais fazendo backup delas em um cofre de serviços de recuperação central existente no mesmo local e assinatura da máquina virtual. Fazer isso é útil quando há uma equipe central em sua organização gerenciando backups para todos os recursos em uma assinatura. Opcionalmente, você pode excluir máquinas virtuais que contenham uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.5.0 |
| Configurar a extensão ChangeTracking para conjuntos de dimensionamento de máquinas virtuais Linux | Configure conjuntos de escalas de máquinas virtuais Linux para instalar automaticamente a Extensão ChangeTracking para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.1.0 |
| Configurar a extensão ChangeTracking para máquinas virtuais Linux | Configure as máquinas virtuais Linux para instalar automaticamente a Extensão ChangeTracking para permitir o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.2.0 |
| Configure a ChangeTracking Extension para Windows conjuntos de escalas de máquinas virtuais | Configure conjuntos de escalas de máquinas virtuais do Windows para instalar automaticamente a Extensão ChangeTracking para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.1.0 |
| Configure a Extensão ChangeTracking para Windows máquinas virtuais | Configure as máquinas virtuais do Windows para instalar automaticamente a Extensão ChangeTracking para ativar o File Integrity Monitoring (FIM) no Centro de Segurança do Azure. O FIM examina ficheiros do sistema operativo, registos do Windows, software de aplicação, ficheiros do sistema Linux e outros, à procura de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.2.0 |
| Configure a recuperação de desastres em máquinas virtuais ativando a replicação via Azure Site Recovery | As máquinas virtuais sem configurações de recuperação de desastres são vulneráveis a interrupções e outras interrupções. Se a máquina virtual ainda não tiver a recuperação de desastres configurada, isso iniciará o mesmo habilitando a replicação usando configurações predefinidas para facilitar a continuidade dos negócios. Opcionalmente, você pode incluir/excluir máquinas virtuais que contenham uma tag especificada para controlar o escopo da atribuição. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | DeployIfNotExists, desativado | 2.1.1 |
| Configurar recursos de acesso ao disco com pontos de extremidade privados | Os endpoints privados ligam as suas redes virtuais a serviços Azure sem um endereço IP público na origem ou destino. Ao mapear pontos de extremidade privados para recursos de acesso ao disco, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar máquinas Linux para serem associadas a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a Associação para vincular máquinas virtuais Linux, conjuntos de dimensionamento de máquinas virtuais e máquinas Arc à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 6.8.0 |
| Configure o Linux Server para desativar usuários locais. | Cria uma atribuição de Configuração de Convidado para configurar a desativação de usuários locais no Linux Server. Isto garante que os servidores Linux só podem ser acedidos por conta AAD (Azure Active Directory) ou por uma lista de utilizadores explicitamente permitidos por esta política, melhorando a postura geral de segurança. | DeployIfNotExists, desativado | 1.4.0-pré-visualização |
| Configure o Linux Conjuntos de Dimensionamento de Máquinas Virtuais para estar associado a uma Regra de Recolha de Dados ou a um Endpoint de Recolha de Dados | Implante a Associação para vincular conjuntos de dimensionamento de máquina virtual Linux à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 4.7.0 |
| Configure conjuntos de escalas de máquinas virtuais Linux para executar Azure Monitor Agente com autenticação baseada em identidade gerida atribuída pelo sistema | Automatize a implementação da extensão Azure Monitor Agent nos seus conjuntos de escalas de máquinas virtuais Linux para recolher dados de telemetria do sistema operativo convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.10.0 |
| Configure conjuntos de escalas de máquinas virtuais Linux para executar Azure Monitor Agente com autenticação gerida baseada em identidade atribuída pelo utilizador | Automatize a implementação da extensão Azure Monitor Agent nos seus conjuntos de escalas de máquinas virtuais Linux para recolher dados de telemetria do sistema operativo convidado. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.11.0 |
| Configure o Linux Máquinas Virtuais para estar associado a uma Regra de Recolha de Dados para ChangeTracking e Inventário | Implante a Associação para vincular máquinas virtuais Linux à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.2.0 |
| Configure o Linux Máquinas Virtuais para estar associado a uma Regra de Recolha de Dados ou a um Endpoint de Recolha de Dados | Implante a Associação para vincular máquinas virtuais Linux à Regra de Coleta de Dados especificada ou ao Ponto de Extremidade de Coleta de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 4.7.0 |
| Configure máquinas virtuais Linux para executar Azure Monitor Agente com autenticação baseada em identidade gerida atribuída pelo sistema | Automatize a implementação da extensão Azure Monitor Agent nas suas máquinas virtuais Linux para recolher dados de telemetria do sistema operativo convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.10.0 |
| Configure máquinas virtuais Linux para executar Azure Monitor Agente com autenticação baseada em identidade gerida atribuída pelo utilizador | Automatize a implementação da extensão Azure Monitor Agent nas suas máquinas virtuais Linux para recolher dados de telemetria do sistema operativo convidado. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.14.0 |
| Configurar VMs Linux para instalar o AMA para ChangeTracking e Inventory com identidade gerenciada atribuída pelo usuário | Automatize a implementação da extensão Azure Monitor Agent nas suas máquinas virtuais Linux para ativar o ChangeTracking e o Inventory. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.7.0 |
| Configurar o VMSS do Linux para ser associado a uma regra de coleta de dados para ChangeTracking e inventário | Implante a Associação para vincular conjuntos de dimensionamento de máquina virtual Linux à Regra de Coleta de Dados especificada para habilitar o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar o VMSS do Linux para instalar o AMA para ChangeTracking e Inventory com identidade gerenciada atribuída pelo usuário | Automatize a implementação da extensão Azure Monitor Agent nos seus conjuntos de escalas de máquinas virtuais Linux para ativar o ChangeTracking e o Inventory. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.5.0 |
| Configurar máquinas para receber um provedor de avaliação de vulnerabilidade | Azure Defender inclui varredura de vulnerabilidades para as suas máquinas sem custo adicional. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro da Central de Segurança. Quando ativa esta política, Azure Defender implementa automaticamente o fornecedor de avaliação de vulnerabilidades Qualys para todas as máquinas suportadas que ainda não o tenham instalado. | DeployIfNotExists, desativado | 4.0.0 |
| Configurar discos gerenciados para desabilitar o acesso à rede pública | Desative o acesso à rede pública para o recurso de disco gerenciado para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Modificar, Desativado | 2.0.0 |
| Configurar a verificação periódica de atualizações do sistema ausentes em máquinas virtuais do Azure | Configure a autoavaliação (a cada 24 horas) para atualizações do sistema operativo em máquinas virtuais nativas do Azure. Você pode controlar o escopo da atribuição de acordo com a assinatura da máquina, grupo de recursos, local ou tag. Saiba mais sobre isto para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.10.0 |
| Configurar protocolos de comunicação seguros (TLS 1.1 ou TLS 1.2) em Windows máquinas | Cria uma atribuição de Configuração de Convidado para configurar uma versão específica do protocolo seguro (TLS 1.1 ou TLS 1.2) numa máquina Windows. | DeployIfNotExists, desativado | 1.1.0 |
| Configure o Máquinas Virtuais SQL para instalar automaticamente Azure Monitor Agent | Automatize a implementação da extensão Azure Monitor Agent nas suas Windows SQL Máquinas Virtuais. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.6.0 |
| Configure o Máquinas Virtuais SQL para instalar automaticamente Microsoft Defender para SQL | Configure Windows SQL Máquinas Virtuais para instalar automaticamente a extensão Microsoft Defender for SQL. O Microsoft Defender for SQL recolhe eventos do agente e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). | DeployIfNotExists, desativado | 1.6.0 |
| Configure o Máquinas Virtuais SQL para instalar automaticamente Microsoft Defender para SQL e DCR com um espaço de trabalho Log Analytics | O Microsoft Defender for SQL recolhe eventos do agente e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). Crie um grupo de recursos, uma Regra de Recolha de Dados e um espaço de trabalho de Log Analytics na mesma região da máquina. | DeployIfNotExists, desativado | 1.9.0 |
| Configure o Máquinas Virtuais SQL para instalar automaticamente Microsoft Defender para SQL e DCR com um espaço de trabalho LA definido pelo utilizador | O Microsoft Defender for SQL recolhe eventos do agente e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). Crie um grupo de recursos e uma Regra de Recolha de Dados na mesma região do espaço de trabalho Log Analytics definido pelo utilizador. | DeployIfNotExists, desativado | 1.10.0 |
| Configure o Máquinas Virtuais SQL para instalar automaticamente Microsoft Defender extensão SQL | Configure Windows SQL Máquinas Virtuais para instalar automaticamente a extensão Microsoft Defender for SQL. O Microsoft Defender for SQL recolhe eventos do agente e usa-os para fornecer alertas de segurança e tarefas de reforço personalizadas (recomendações). | DeployIfNotExists, desativado | 1.0.0 |
| Configurar postura de segurança SSH para Linux (alimentado por OSConfig) | Esta política audita e configura a configuração de segurança dos servidores SSH em máquinas Linux (VMs Azure e máquinas com suporte Arc). Para obter mais informações, incluindo pré-requisitos, configurações no escopo, padrões e personalização, consulte https://aka.ms/SshPostureControlOverview | DeployIfNotExists, desativado | 1.1.0 |
| Configurar fuso horário em Windows máquinas. | Esta política cria uma atribuição de Configuração de Convidados para definir um fuso horário especificado nas máquinas virtuais Windows. | deployIfNotExists | 3.1.0 |
| Configure máquinas virtuais para serem integradas em Azure Automanage | O Azure Automanage inscreve, configura e monitoriza máquinas virtuais com as melhores práticas definidas no Microsoft Cloud Adoption Framework for Azure. Use esta política para aplicar o Gerenciamento Automático ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desativado | 2.4.0 |
| Configure máquinas virtuais para serem integradas para Azure Automanage com Perfil de Configuração Personalizado | O Azure Automanage inscreve, configura e monitoriza máquinas virtuais com as melhores práticas definidas no Microsoft Cloud Adoption Framework for Azure. Use esta política para aplicar o Automanage com seu próprio Perfil de Configuração personalizado ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desativado | 1.4.0 |
| Configure Windows Máquinas para estarem associadas a uma Regra de Recolha de Dados ou a um Endpoint de Recolha de Dados | Deploy Association para ligar máquinas virtuais Windows, conjuntos de escalas de máquinas virtuais e máquinas Arc à Regra de Recolha de Dados especificada ou ao Endpoint de Recolha de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 4.8.0 |
| Configure Windows Conjuntos de Dimensionamento de Máquinas Virtuais para estar associado a uma Regra de Recolha de Dados ou a um Endpoint de Recolha de Dados | Deploy Association para ligar conjuntos de escalas de máquinas virtuais do Windows à Regra de Recolha de Dados especificada ou ao Endpoint de Recolha de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 3.7.0 |
| Configure Windows conjuntos de escalas de máquinas virtuais para executar Azure Monitor Agente usando identidade gerida atribuída pelo sistema | Automatize a implementação da extensão Azure Monitor Agent nos conjuntos de escalas da sua máquina virtual Windows para recolher dados de telemetria do sistema operativo convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 3.7.0 |
| Configure Windows conjuntos de escalas de máquinas virtuais para executar Azure Monitor Agente com autenticação gerida baseada em identidade atribuída pelo utilizador | Automatize a implementação da extensão Azure Monitor Agent nos conjuntos de escalas da sua máquina virtual Windows para recolher dados de telemetria do sistema operativo convidado. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.9.0 |
| Configure Máquinas Virtuais do Windows para estar associada a uma Regra de Recolha de Dados para ChangeTracking e Inventário | Implementar a Associação para ligar máquinas virtuais Windows à Regra de Recolha de Dados especificada, permitindo o ChangeTracking e o Inventário. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.3.0 |
| Configure Máquinas Virtuais do Windows para estar associado a uma Regra de Recolha de Dados ou a um Endpoint de Recolha de Dados | Deploy Association para ligar máquinas virtuais Windows à Regra de Recolha de Dados especificada ou ao Endpoint de Recolha de Dados especificado. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 3.6.0 |
| Configure Windows máquinas virtuais para executar Azure Monitor Agente usando identidade gerida atribuída pelo sistema | Automatize a implementação da extensão Azure Monitor Agent nas suas máquinas virtuais Windows para recolher dados de telemetria do sistema operativo convidado. Esta política instalará a extensão se o SO e a região forem suportados e a identidade gerida atribuída pelo sistema estiver ativada, ignorando a instalação caso contrário. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 4.7.0 |
| Configure Windows máquinas virtuais para executar Azure Monitor Agente com autenticação gerida baseada em identidade atribuída pelo utilizador | Automatize a implementação da extensão Azure Monitor Agent nas suas máquinas virtuais Windows para recolher dados de telemetria do sistema operativo convidado. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.9.0 |
| Configure Windows VMs para instalar AMA para ChangeTracking e Inventory com identidade gerida atribuída pelo utilizador | Automatize a implementação da extensão Azure Monitor Agent nas suas máquinas virtuais Windows para ativar o ChangeTracking e o Inventory. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.4.0 |
| Configure Windows VMSS para estar associado a uma Regra de Recolha de Dados para ChangeTracking e Inventário | Deploy Association para ligar conjuntos de escalas de máquinas virtuais do Windows à Regra de Recolha de Dados especificada para permitir o ChangeTracking e o Inventory. A lista de locais e imagens do sistema operacional são atualizadas ao longo do tempo à medida que o suporte é aumentado. | DeployIfNotExists, desativado | 1.2.0 |
| Configure Windows VMSS para instalar AMA para ChangeTracking e Inventory com identidade gerida atribuída pelo utilizador | Automatize a implementação da extensão Azure Monitor Agent nos conjuntos de escalas da sua máquina virtual Windows para ativar o ChangeTracking e o Inventário. Esta política instalará a extensão e configurá-la-á para utilizar a identidade gerida atribuída pelo utilizador especificada, se o SO e a região forem suportados, e ignorará a instalação de outra forma. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.3.0 |
| Criar e atribuir uma identidade gerenciada atribuída pelo usuário interna | Crie e atribua uma identidade gerenciada interna atribuída pelo usuário em escala para máquinas virtuais SQL. | AuditIfNotExists, DeployIfNotExists, desativado | 1.8.0 |
| O agente de dependência deve ser habilitado para imagens de máquina virtual listadas | Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. A lista de imagens do SO é atualizada ao longo do tempo à medida que o suporte é atualizado. | AuditIfNotExists, desativado | 2.1.0 |
| O agente de dependência deve ser habilitado em conjuntos de dimensionamento de máquina virtual para imagens de máquina virtual listadas | Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. A lista de imagens do SO é atualizada ao longo do tempo à medida que o suporte é atualizado. | AuditIfNotExists, desativado | 2.1.0 |
| Deploy - Configurar o agente de dependências para ser ativado em conjuntos de escalas Windows máquinas virtuais | Deploy Dependency agent para conjuntos de escalas de máquinas virtuais Windows se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. Se o conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais do conjunto atualizando-as. | DeployIfNotExists, desativado | 3.3.0 |
| Deploy - Configurar o agente de dependência para ser ativado em Windows máquinas virtuais | Implemente o agente de dependência para máquinas virtuais Windows se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desativado | 3.3.0 |
| Deploy por defeito Microsoft extensão IaaSAntimalware para Windows Server | Esta política implementa uma extensão Microsoft IaaSAntimalware com configuração padrão quando uma VM não está configurada com a extensão antimalware. | deployIfNotExists | 1.1.0 |
| Implantar o agente de dependência para conjuntos de dimensionamento de máquinas virtuais Linux | Implante conjuntos de dimensionamento de agente de dependência para máquinas virtuais Linux se a imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. Nota: se o seu conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais no conjunto chamando upgrade nelas. Na CLI, isso seria az vmss update-instances. | deployIfNotExists | 5.1.0 |
| Deploy Dependency Agent para conjuntos de escalas de máquinas virtuais Linux com definições Azure Monitoring Agent | Implemente conjuntos de escalas do Dependency Agent para máquinas virtuais Linux com as definições do Azure Monitoring Agent se a Imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. Nota: se o seu conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais no conjunto chamando upgrade nelas. Na CLI, isso seria az vmss update-instances. | DeployIfNotExists, desativado | 3.2.0 |
| Implantar o agente de dependência para máquinas virtuais Linux | Implante o agente de dependência para máquinas virtuais Linux se a imagem da VM (SO) estiver na lista definida e o agente não estiver instalado. | deployIfNotExists | 5.1.0 |
| Deploy Dependency Agent para máquinas virtuais Linux com definições Azure Monitoring Agent | Implemente o Dependency Agent para máquinas virtuais Linux com as definições do Azure Monitoring Agent se a VM Image (SO) estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desativado | 3.2.0 |
| Deploy Dependency Agent para ser ativado em conjuntos de escalas Windows máquinas virtuais com Azure definições do Agente de Monitorização | Implemente conjuntos de escalas do Dependency Agent para máquinas virtuais Windows com as definições do Azure Monitoring Agent se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. Se o conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais do conjunto atualizando-as. | DeployIfNotExists, desativado | 1.4.0 |
| Deploy Dependency Agent para ser ativado em Windows máquinas virtuais com definições Azure Monitoring Agent | Implementar o agente de dependência para máquinas virtuais Windows com as definições do Azure Monitoring Agent se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desativado | 1.4.0 |
| Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implementa a extensão Linux Guest Configuration para máquinas virtuais Linux alojadas no Azure que são suportadas pela Guest Configuration. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.2.0 |
| Implemente a extensão Windows Guest Configuration para permitir atribuições de Configuração de Convidados em VMs Windows | Esta política implementa a extensão Windows Guest Configuration para máquinas virtuais Windows alojadas no Azure suportadas pela Guest Configuration. A extensão de Configuração de Convidados do Windows é um pré-requisito para todas as atribuições de Configuração de Convidados do Windows e deve ser implementada em máquinas antes de usar qualquer definição de política de Configuração de Convidados do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.3.0 |
| Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
| Os discos e a imagem do SO devem suportar TrustedLaunch | TrustedLaunch melhora a segurança de uma máquina virtual que requer o disco do sistema operacional & imagem do sistema operacional para suportá-lo (Gen 2). Para saber mais sobre o TrustedLaunch, visite https://aka.ms/trustedlaunch | Modo de Auditoria, Desativado | 1.0.0 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, estarão disponíveis políticas de in-guest como 'O Windows Exploit guard deve estar ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
| Hotpatch deve estar ativado para VMs Windows Server Azure Edition | Minimize as reinicializações e instale atualizações rapidamente com o hotpatch. Saiba mais em https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Auditoria, Negar, Desativado | 1.0.0 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Linux devem cumprir os requisitos para a linha base de segurança de computação Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.3.1 |
| As máquinas Linux só devem ter contas locais permitidas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. Gerir contas de utilizador usando o Azure Active Directory é uma boa prática para a gestão de identidades. A redução de contas de máquinas locais ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. As máquinas não são compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro de política. | AuditIfNotExists, desativado | 2.2.0 |
| Os conjuntos de escala de máquinas virtuais Linux devem ser monitorizados e protegidos através do Azure Monitor Agent implementado. O Azure Monitor Agent recolhe dados de telemetria do sistema operativo convidado. Esta política auditará conjuntos de dimensionamento de máquinas virtuais com imagens de SO suportadas em regiões suportadas. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 3.6.0 | |
| As máquinas virtuais Linux devem ativar o Azure Disk Encryption ou o EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma; discos de recursos (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use Azure Disk Encryption ou EncryptionAtHost para remediar. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.2.1 |
| As máquinas virtuais Linux devem ter Azure Monitor Agente instalado | As máquinas virtuais Linux devem ser monitorizadas e protegidas através do Azure Monitor Agent implementado. O Azure Monitor Agent recolhe dados de telemetria do sistema operativo convidado. Esta política irá auditar máquinas virtuais com imagens de SO suportadas em regiões suportadas. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 3.6.0 |
| Os métodos de autenticação local devem ser desativados em máquinas Linux | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os servidores Linux não tiverem os métodos de autenticação local desativados. Isto serve para validar que os servidores Linux só podem ser acedidos pela conta AAD (Azure Active Directory) ou por uma lista de utilizadores explicitamente permitidos por esta política, melhorando a postura geral de segurança. | AuditIfNotExists, desativado | 1.2.0-prévia |
| Os métodos de autenticação Local devem ser desativados nos servidores Windows | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os servidores Windows não tiverem métodos de autenticação locais desativados. Isto serve para validar que os servidores Windows só podem ser acedidos por conta AAD (Azure Active Directory) ou por uma lista de utilizadores explicitamente permitidos por esta política, melhorando assim a postura geral de segurança. | AuditIfNotExists, desativado | 1.0.0-preview |
| O agente Log Analytics deve estar instalado nas instâncias do seu papel de Serviços Cloud (suporte estendido) | A Central de Segurança coleta dados de suas instâncias de função de Serviços de Nuvem (suporte estendido) para monitorar vulnerabilidades e ameaças de segurança. | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas devem ser configuradas para verificar periodicamente se há atualizações do sistema ausentes | Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam acionadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Auditoria, Negar, Desativado | 3.9.0 |
| Máquinas devem ter descobertas secretas resolvidas | Audita máquinas virtuais para detetar se elas contêm descobertas secretas das soluções de verificação secretas em suas máquinas virtuais. | AuditIfNotExists, desativado | 1.0.2 |
| Os discos gerenciados devem ser duplamente criptografados com chaves gerenciadas pela plataforma e gerenciadas pelo cliente | Os clientes sensíveis à alta segurança que estão preocupados com o risco associado a qualquer algoritmo de criptografia específico, implementação ou chave comprometida podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. | Auditoria, Negar, Desativado | 1.0.0 |
| Os discos gerenciados devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que um disco gerenciado não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de discos gerenciados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Auditoria, Negar, Desativado | 2.1.0 |
| Os discos gerenciados devem usar um conjunto específico de conjuntos de criptografia de disco para a criptografia de chave gerenciada pelo cliente | Exigir que um conjunto específico de conjuntos de criptografia de disco seja usado com discos gerenciados lhe dá controle sobre as chaves usadas para criptografia em repouso. Você pode selecionar os conjuntos criptografados permitidos e todos os outros são rejeitados quando anexados a um disco. Saiba mais em https://aka.ms/disks-cmk. | Auditoria, Negar, Desativado | 2.0.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso Just In Time (JIT) da rede será monitorizado pelo Centro de Segurança do Azure conforme recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | Esta política audita qualquer máquina virtual Windows que não esteja configurada com atualização automática das assinaturas de proteção Microsoft Antimalware. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft extensão IaaSAntimalware deve ser implementada em servidores Windows | Esta política audita qualquer VM Windows Server sem a extensão Microsoft IaaSAntimalware implementada. | AuditIfNotExists, desativado | 1.1.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| Somente extensões de VM aprovadas devem ser instaladas | Esta política rege as extensões de máquina virtual que não são aprovadas. | Auditoria, Negar, Desativado | 1.0.0 |
| OS e discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave do Azure Key Vault criada e propriedade sua. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. | Auditoria, Negar, Desativado | 3.0.0 |
| Pontos de extremidade privados para atribuições de Configuração de Convidado devem ser habilitados | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com a Configuração de Convidado para máquinas virtuais. As máquinas virtuais não serão compatíveis, a menos que tenham a tag 'EnablePrivateNetworkGC'. Esta etiqueta reforça a comunicação segura através de conectividade privada à Guest Configuration for Máquinas Virtuais. A conectividade privada limita o acesso ao tráfego proveniente apenas de redes conhecidas e impede o acesso a partir de todos os outros endereços IP, incluindo dentro do Azure. | Auditoria, Negar, Desativado | 1.1.0 |
| Proteja seus dados com requisitos de autenticação ao exportar ou carregar para um disco ou instantâneo. | Quando é usada a URL de exportação/upload, o sistema verifica se o utilizador tem uma identidade no Azure Active Directory e se tem as permissões necessárias para exportar/carregar os dados. Consulte aka.ms/DisksAzureADAuth. | Modificar, Desativado | 1.0.0 |
| Requer patch automático de imagem do sistema operativo em Conjuntos de Dimensionamento de Máquinas Virtuais | Esta política impõe a ativação automática de patches de imagens do sistema operativo nos Conjuntos de Dimensionamento de Máquinas Virtuais para manter sempre as Máquinas Virtuais seguras, aplicando mensalmente os patches de segurança mais recentes. | deny | 1.0.0 |
| Agendar atualizações recorrentes usando Gestor de Atualizações do Azure | Pode usar o Gestor de Atualizações do Azure no Azure para guardar agendas de implementação recorrentes e instalar atualizações do sistema operativo para as suas máquinas Windows Server e Linux no Azure, em ambientes on-premises e noutros ambientes cloud ligados por servidores com Azure Arc. Esta política também alterará o modo de atualização para a Máquina Virtual do Azure para 'AutomaticByPlatform'. Ver mais: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, desativado | 3.14.0 |
| Set pré-requisito para agendar atualizações recorrentes em Azure máquinas virtuais. | Esta política irá definir o pré-requisito necessário para agendar atualizações recorrentes no Gestor de Atualizações do Azure, configurando a orquestração de patches para 'Agendamentos Geridos pelo Cliente'. Esta alteração irá definir automaticamente o modo de atualização para 'AutomaticByPlatform' e ativar o 'BypassPlatformSafetyChecksOnUserSchedule' para 'True' nas VMs do Azure. O pré-requisito não é aplicável para servidores habilitados para Arc. Saiba mais- https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, desativado | 1.3.0 |
| Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidade do SQL verifica seu banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança do seu banco de dados. | AuditIfNotExists, desativado | 1.0.0 |
| As atualizações do sistema devem ser instaladas em suas máquinas (alimentadas pela Central de Atualizações) | Suas máquinas estão faltando sistema, segurança e atualizações críticas. As atualizações de software geralmente incluem patches críticos para falhas de segurança. Essas falhas são frequentemente exploradas em ataques de malware, por isso é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger suas máquinas, siga as etapas de correção. | AuditIfNotExists, desativado | 1.0.1 |
| A extensão legada Log Analytics não deve ser instalada em conjuntos de escalas de máquinas virtuais Linux | Impedir automaticamente a instalação do Log Analytics Agent legado como passo final da migração dos agentes legados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão do agente herdado em conjuntos de dimensionamento de máquinas virtuais Linux. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão legada Log Analytics não deve ser instalada em máquinas virtuais Linux | Impedir automaticamente a instalação do Log Analytics Agent legado como passo final da migração dos agentes legados para o Azure Monitor Agent. Depois de desinstalar as extensões herdadas existentes, esta política negará todas as instalações futuras da extensão de agente herdada em máquinas virtuais Linux. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão legada Log Analytics não deve ser instalada em conjuntos de escala de máquinas virtuais | Impedir automaticamente a instalação do Log Analytics Agent legado como passo final da migração dos agentes legados para o Azure Monitor Agent. Depois de desinstalar extensões legadas existentes, esta política negará todas as futuras instalações da extensão agente legado em conjuntos de escalas de máquinas virtuais do Windows. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A extensão legada Log Analytics não deve ser instalada em máquinas virtuais | Impedir automaticamente a instalação do Log Analytics Agent legado como passo final da migração dos agentes legados para o Azure Monitor Agent. Depois de desinstalar as extensões legadas existentes, esta política irá negar todas as futuras instalações da extensão do agente legado em máquinas virtuais Windows. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desativado | 1.0.0 |
| A máquina virtual deve ter TrustedLaunch ativado | Habilite TrustedLaunch na máquina virtual para maior segurança, use VM SKU (Gen 2) que suporta TrustedLaunch. Para saber mais sobre o TrustedLaunch, visite https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Modo de Auditoria, Desativado | 1.0.0 |
| Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Auditoria, Negar, Desativado | 1.0.0 |
| Máquinas virtuais devem ser migradas para novos recursos Azure Resource Manager | Use o novo Azure Resource Manager para as suas máquinas virtuais para fornecer melhorias de segurança tais como: controlo de acesso (RBAC) mais forte, melhor auditoria, implementação e governação baseadas no Azure Resource Manager, acesso a identidades geridas, acesso ao cofre de chaves para segredos, Azure Autenticação baseada em AD e suporte para etiquetas e grupos de recursos para uma gestão de segurança mais fácil | Auditoria, Negar, Desativado | 1.0.0 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política serão não compatíveis quando tiverem a extensão Guest Configuration instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
| Windows Defender Exploit Guard deve estar ativado nas suas máquinas | Windows Defender Exploit Guard utiliza o agente de configuração de convidados Azure Policy. O Exploit Guard tem quatro componentes concebidos para bloquear dispositivos contra uma grande variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas equilibrem os seus requisitos de risco de segurança e produtividade (apenas para Windows). | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 4.1.1 |
| As máquinas Windows devem configurar Windows Defender para atualizar as assinaturas de proteção dentro de um dia | Para fornecer proteção adequada contra malware recém-lançado, as assinaturas de proteção Windows Defender precisam de ser atualizadas regularmente para ter em conta o malware recém-lançado. Esta política não é aplicada a servidores conectados Arc e requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.1 |
| As máquinas Windows devem ativar Windows Defender proteção em tempo real | Windows máquinas devem ativar a proteção em tempo real no Windows Defender para garantir proteção adequada contra malware recém-lançado. Esta política não é aplicável a servidores conectados por arc e requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.1 |
| As máquinas Windows devem cumprir os requisitos para 'Modelos Administrativos - Painel de Controlo' | As máquinas Windows devem ter as definições de Políticas de Grupo especificadas na categoria 'Modelos Administrativos - Painel de Controlo' para personalização de entrada e prevenção de ativar ecrãs de bloqueio. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Modelos Administrativos - MSS (Legacy)' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Modelos Administrativos - MSS (Legado)' para login automático, protetor de ecrã, comportamento de rede, DLL seguro e registo de eventos. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Modelos Administrativos - Rede' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Modelos Administrativos - Rede' para logons de convidados, ligações simultâneas, ponte de rede, ICS e resolução multicast de nomes. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Modelos Administrativos - Sistema' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Modelos Administrativos - Sistema' para definições que controlam a experiência administrativa e Assistência Remota. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Opções de Segurança - Contas' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Opções de Segurança - Contas' para limitar o uso de palavras-passe em branco e o estado da conta de convidado da conta local. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos de 'Opções de Segurança - Auditoria' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Opções de Segurança - Auditoria' para forçar a subcategoria de política de auditoria e desligar se não for possível registar auditorias de segurança. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos de 'Opções de Segurança - Dispositivos' | As máquinas Windows devem ter as definições de Políticas de Grupo especificadas na categoria 'Opções de Segurança - Dispositivos' para desacoplar sem iniciar sessão, instalar drivers de impressão e formatar/ejetar suportes. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Opções de Segurança - Login Interativo' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Opções de Segurança - Login Interativo' para mostrar o último nome de utilizador e exigir ctrl-alt-del. Esta política exige que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito da atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Opções de Segurança - Microsoft Cliente de Rede' | As máquinas Windows devem ter as definições de Políticas de Grupo especificadas na categoria 'Opções de Segurança - Cliente de Rede Microsoft' para cliente/servidor de rede Microsoft e SMB v1. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos de 'Opções de Segurança - Microsoft Servidor de Rede' | As máquinas Windows devem ter as definições de Políticas de Grupo especificadas na categoria 'Opções de Segurança - Microsoft Network Server' para desativar o servidor SMB v1. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos de 'Opções de Segurança - Acesso à Rede' | As máquinas Windows devem ter as definições de Políticas de Grupo especificadas na categoria 'Opções de Segurança - Acesso à Rede' para incluir acesso a utilizadores anónimos, contas locais e acesso remoto ao registo. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos de 'Opções de Segurança - Segurança de Rede' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Opções de Segurança - Segurança de Rede' para incluir comportamento do Sistema Local, PKU2U, Gestor de LAN, cliente LDAP e SSP NTLM. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos de 'Opções de Segurança - Consola de Recuperação' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Opções de Segurança - Consola de Recuperação' para permitir cópias em disquete e acesso a todos os discos e pastas. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos de 'Opções de Segurança - Desligamento' | As máquinas Windows devem ter as definições de Política de Grupo especificadas na categoria 'Opções de Segurança - Desligamento' para permitir o desligamento sem iniciar sessão e limpar o ficheiro de página da memória virtual. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos de 'Opções de Segurança - Objetos do Sistema' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Opções de Segurança - Objetos do sistema' para insensibilidade a maiúsculas minúsculas em subsistemas não Windows e permissões de objetos internos do sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos de 'Opções de Segurança - Definições do Sistema' | As máquinas Windows devem ter as definições de Políticas de Grupo especificadas na categoria 'Opções de Segurança - Definições do Sistema' para regras de certificado em executáveis para SRP e subsistemas opcionais. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos de 'Opções de Segurança - Controlo da Conta de Utilizador' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Opções de Segurança - Controlo de Conta de Utilizador' para modo para administradores, comportamento do prompt de elevação e falhas de virtualização de ficheiros e registo de escrita. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos de 'Definições de Segurança - Políticas de Conta' | As máquinas Windows devem ter as definições de Política de Grupo especificadas na categoria 'Definições de Segurança - Políticas de Conta' para histórico de palavras-passe, idade, comprimento, complexidade e armazenamento de palavras-passe usando encriptação reversível. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Políticas de Auditoria do Sistema - Login da Conta' | As máquinas Windows devem ter as definições de Políticas de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Login da Conta' para auditar validação de credenciais e outros eventos de início de sessão da conta. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Políticas de Auditoria do Sistema - Gestão de Contas' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Políticas de Auditoria do Sistema - Gestão de Contas' para auditoria de aplicações, segurança, gestão de grupos de utilizadores e outros eventos de gestão. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos de 'Políticas de Auditoria do Sistema - Rastreamento Detalhado' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Políticas de Auditoria do Sistema - Acompanhamento Detalhado' para auditoria de DPAPI, criação/terminação de processos, eventos RPC e atividade PNP. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Políticas de Auditoria do Sistema - Logon-Logoff' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Políticas de Auditoria do Sistema - Logon-Logoff' para auditoria de IPSec, política de rede, reclamações, bloqueio de conta, pertença a grupos e eventos de logon/logoff. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Políticas de Auditoria do Sistema - Acesso a Objetos' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Políticas de Auditoria do Sistema - Acesso a Objetos' para auditoria de ficheiros, registos, SAM, armazenamento, filtragem, kernel e outros tipos de sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Políticas de Auditoria do Sistema - Alteração de Política' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Políticas de Auditoria do Sistema - Alteração de Política' para auditar alterações às políticas de auditoria do sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Políticas de Auditoria do Sistema - Uso de Privilégios' | As máquinas Windows devem ter as definições especificadas de Políticas de Grupo na categoria 'Políticas de Auditoria do Sistema - Utilização de Privilégios' para auditoria de usos não sensíveis e outros privilégios. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Políticas de Auditoria do Sistema - Sistema' | As máquinas Windows devem ter as definições de Políticas de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema - Sistema' para auditar o driver IPsec, integridade do sistema, extensão do sistema, alteração de estado e outros eventos do sistema. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Atribuição de Direitos de Utilizador' | As máquinas Windows devem ter as definições de Políticas de Grupo especificadas na categoria 'Atribuição de Direitos de Utilizador' para permitir login local, RDP, acesso a partir da rede e muitas outras atividades do utilizador. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Componentes Windows' | As máquinas Windows devem ter as definições de Políticas de Grupo especificadas na categoria 'Componentes do Windows' para autenticação básica, tráfego não encriptado, contas Microsoft, telemetria, Cortana e outros comportamentos do Windows. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos para 'Windows Propriedades de Firewall' | As máquinas Windows devem ter as definições de Políticas de Grupo especificadas na categoria 'Propriedades do Firewall Windows' para estado do firewall, ligações, gestão de regras e notificações. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem cumprir os requisitos da linha base de segurança de computação Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.1.1 |
| As máquinas Windows só devem ter contas locais que são permitidas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. Esta definição não é suportada no Windows Server 2012 nem no 2012 R2. Gerir contas de utilizador usando o Azure Active Directory é uma boa prática para a gestão de identidades. A redução de contas de máquinas locais ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. As máquinas não são compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro de política. | AuditIfNotExists, desativado | 2.0.0 |
| Windows conjuntos de escalas de máquinas virtuais devem ter Azure Monitor Agente instalado | Os conjuntos de escalas de máquinas virtuais do Windows devem ser monitorizados e protegidos através do Azure Monitor Agent implementado. O Azure Monitor Agent recolhe dados de telemetria do sistema operativo convidado. Conjuntos de escala de máquinas virtuais com sistema operativo suportado e em regiões suportadas são monitorizados para implementação do Azure Monitor Agent. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 3.5.0 |
| As máquinas virtuais Windows devem ativar Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma; discos de recursos (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use Azure Disk Encryption ou EncryptionAtHost para remediar. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.1.1 |
| As máquinas virtuais Windows devem ter Azure Monitor Agente instalado | As máquinas virtuais Windows devem ser monitorizadas e protegidas através do Azure Monitor Agent implementado. O Azure Monitor Agent recolhe dados de telemetria do sistema operativo convidado. As máquinas virtuais Windows com sistema operativo suportado e em regiões suportadas são monitorizadas para a implementação do Azure Monitor Agent. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desativado | 3.5.0 |
Microsoft. VirtualMachineImages
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desabilitar, Negar | 1.1.0 |
Microsoft. ClassicCompute
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O preço padrão do Centro de Segurança do Azure inclui a análise de vulnerabilidades para as suas máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | O Centro de Segurança do Azure identificou algumas das regras de entrada dos seus grupos de segurança de rede como demasiado permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Auditar máquinas virtuais sem recuperação de desastres configurada | Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| Máquinas devem ter descobertas secretas resolvidas | Audita máquinas virtuais para detetar se elas contêm descobertas secretas das soluções de verificação secretas em suas máquinas virtuais. | AuditIfNotExists, desativado | 1.0.2 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| Máquinas virtuais devem ser migradas para novos recursos Azure Resource Manager | Use o novo Azure Resource Manager para as suas máquinas virtuais para fornecer melhorias de segurança tais como: controlo de acesso (RBAC) mais forte, melhor auditoria, implementação e governação baseadas no Azure Resource Manager, acesso a identidades geridas, acesso ao cofre de chaves para segredos, Azure Autenticação baseada em AD e suporte para etiquetas e grupos de recursos para uma gestão de segurança mais fácil | Auditoria, Negar, Desativado | 1.0.0 |
Próximos passos
- Veja os elementos incorporados no repositório Azure Policy GitHub.
- Revise a estrutura de definição Azure Policy.
- Veja Compreender os efeitos do Policy.