Definizioni predefinite di Criteri di Azure per i server con abilitazione di Azure Arc
Questa pagina è un indice di Criteri di Azure definizioni di criteri predefiniti per i server abilitati per Azure Arc. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Server con abilitazione di Azure Arc
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: È necessario abilitare un'identità gestita nei computer | Le risorse gestite da Gestione automatica devono avere un'identità gestita. | Audit, Disabled | 1.0.0-preview |
[Anteprima]: l'assegnazione del profilo di configurazione automatica deve essere conforme | Le risorse gestite da Gestione automatica devono avere lo stato Conforme o ConformeCorrected. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: È consigliabile installare l'agente di Sicurezza di Azure nelle macchine virtuali Linux Arc | Installare l'agente di sicurezza di Azure nei computer Linux Arc per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: È consigliabile installare l'agente di Sicurezza di Azure nelle macchine virtuali Windows Arc | Installare l'agente di sicurezza di Azure nei computer Windows Arc per monitorare le configurazioni di sicurezza e le vulnerabilità dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: È consigliabile installare l’estensione ChangeTracking nel computer Linux Arc | Installare l'estensione ChangeTracking nei computer Linux Arc per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: È consigliabile installare l’estensione ChangeTracking nel computer Arc di Windows | Installare l'estensione ChangeTracking nei computer Windows Arc per abilitare monitoraggio dell'integrità dei file (FIM) nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: Configurare i computer Linux abilitati per Azure Arc con agenti di Log Analytics connessi all'area di lavoro Log Analytics predefinita | Protegge i computer Linux abilitati per Azure Arc con le funzionalità di Microsoft Defender per il cloud installando gli agenti di Log Analytics che inviano dati a un'area di lavoro Log Analytics predefinita creata da Microsoft Defender per il cloud. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: Configurare i computer Windows abilitati per Azure Arc con agenti di Log Analytics connessi all'area di lavoro Log Analytics predefinita | Proteggere i computer Windows abilitati per Azure Arc con le funzionalità di Microsoft Defender per il cloud installando gli agenti di Log Analytics che inviano dati a un'area di lavoro Log Analytics predefinita creata da Microsoft Defender per il cloud. | DeployIfNotExists, Disabled | 1.1.0-preview |
[Anteprima]: Configura l’estensione ChangeTracking per i computer Arc di Linux | Configurare i computer Linux Arc per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Anteprima]: Configurare l’estensione ChangeTracking per i computer Arc Windows | Configurare i computer Windows Arc per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Anteprima]: Configurare i computer Linux abilitati per Arc da associare a una regola di raccolta dati per ChangeTracking e Inventario | Distribuire Associazione per collegare computer abilitati per Linux Arc a una regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: Configurare i computer Linux abilitati per Arc per installare l'agente di Monitoraggio di Azure per ChangeTracking e Inventario | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei computer abilitati per Linux Arc per abilitare ChangeTracking e Inventario. Questo criterio installerà l'estensione se l'area è supportata. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.3.0-anteprima |
[Anteprima]: Configurare le macchine virtuali Linux Arc supportate per l'installazione automatica dell'agente di sicurezza di Azure | Configurare le macchine virtuali Linux Arc supportate per l'installazione automatica dell'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). I computer Linux Arc di destinazione devono trovarsi in un percorso supportato. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: Configurare le macchine virtuali Windows Arc supportate per l'installazione automatica dell'agente di sicurezza di Azure | Configurare le macchine virtuali Windows Arc supportate per l'installazione automatica dell'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). I computer Windows Arc di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: Configurare i computer abilitati per Windows Arc da associare a una regola di raccolta dati per ChangeTracking e Inventario | Distribuire associazione per collegare i computer abilitati per Windows Arc alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: Configurare i computer Windows abilitati per Arc per installare l'agente di Monitoraggio di Azure per ChangeTracking e Inventario | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei computer abilitati per Windows Arc per abilitare ChangeTracking e Inventario. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: Configurare Windows Server per disabilitare gli utenti locali.. | Creare un'assegnazione configurazione guest per configurare la disabilitazione degli utenti locali in Windows Server. In questo modo si garantisce che i server Windows possano accedere solo tramite l'account AAD (Azure Active Directory) o un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | DeployIfNotExists, Disabled | 1.2.0-preview |
[Anteprima]: Negare la creazione o la modifica delle licenze degli aggiornamenti della sicurezza estesa (ESU). | Questo criterio consente di limitare la creazione o la modifica delle licenze ESU per i computer Windows Server 2012 Arc. Per altre informazioni sui prezzi, visitare https://aka.ms/ArcWS2012ESUPricing | Deny, Disabled | 1.0.0-preview |
[Anteprima]: Consente di distribuire l'agente di Microsoft Defender per endpoint nei computer Linux ibridi | Distribuisce l'agente di Microsoft Defender per endpoint nei computer Linux ibridi | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
[Anteprima]: Distribuire l'agente di Microsoft Defender per endpoint in computer Windows Azure Arc | Distribuisce Microsoft Defender per endpoint nei computer Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
[Anteprima]: abilitare la licenza degli aggiornamenti della sicurezza estesa (ESU) per mantenere protetti i computer Windows 2012 al termine del ciclo di vita del supporto. | Abilitare la licenza degli aggiornamenti della sicurezza estesa (ESU) per mantenere protetti i computer Windows 2012 anche dopo la fine del ciclo di vita del supporto. Informazioni su come preparare la distribuzione di aggiornamenti della sicurezza estesi per Windows Server 2012 tramite AzureArc, visitare https://video2.skills-academy.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Per altre informazioni sui prezzi, visitare https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: gli aggiornamenti della sicurezza estesi devono essere installati nei computer Windows Server 2012 Arc. | I computer Windows Server 2012 Arc devono aver installato tutti gli aggiornamenti della sicurezza estesa rilasciati da Microsoft. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.0-preview |
[Anteprima]: I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Docker | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di Azure per gli host Docker. | AuditIfNotExists, Disabled | 1.2.0-preview |
[Anteprima]: Le macchine Linux devono soddisfare i requisiti di conformità STIG per i servizi di calcolo | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per uno dei consigli indicati nel requisito di conformità STIG per l'ambiente di calcolo di Azure. DISA (Defense Information Systems Agency) fornisce guide tecniche STIG (Security Technical Implementation Guide) per proteggere il sistema operativo di calcolo come richiesto dal Dipartimento della Difesa (DoD). Per altri dettagli: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-preview |
[Anteprima]: i computer Linux con OMI installato devono avere la versione 1.6.8-1 o successiva | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. A causa di una correzione di sicurezza inclusa nella versione 1.6.8-1 del pacchetto OMI per Linux, tutti i computer devono essere aggiornati alla versione più recente. Aggiornare app/pacchetti che usano OMI per risolvere il problema. Per ulteriori informazioni, vedere https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-preview |
[Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Linux in Azure Arc | Questo criterio controlla le macchine virtuali Linux in Azure Arc in cui non è installata l'estensione di Log Analytics. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Windows in Azure Arc | Questo criterio controlla le macchine virtuali Windows in Azure Arc in cui non è installata l'estensione di Log Analytics. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Anteprima]: Nexus Compute Machines deve soddisfare la baseline di sicurezza | Usa l'agente di configurazione guest di Criteri di Azure per il controllo. Questo criterio garantisce che i computer rispettino la baseline di sicurezza di calcolo Nexus, includendo varie raccomandazioni progettate per rafforzare i computer rispetto a una serie di vulnerabilità e configurazioni non sicure (solo Linux). | AuditIfNotExists, Disabled | 1.1.0-preview |
[Anteprima]: Le macchine Windows devono soddisfare i requisiti di conformità STIG per i servizi di calcolo | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni riportate nei requisiti di conformità STIG per l'ambiente di calcolo di Azure. DISA (Defense Information Systems Agency) fornisce guide tecniche STIG (Security Technical Implementation Guide) per proteggere il sistema operativo di calcolo come richiesto dal Dipartimento della Difesa (DoD). Per altri dettagli: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-preview |
Controlla i computer Linux che consentono connessioni remote da account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password | AuditIfNotExists, Disabled | 3.1.0 |
Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 | AuditIfNotExists, Disabled | 3.1.0 |
Controlla i computer Linux in cui non sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la risorsa Chef InSpec indica che uno o più pacchetti forniti dal parametro non sono installati. | AuditIfNotExists, Disabled | 4.2.0 |
Controlla i computer Linux in cui sono presenti account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux sono presenti account senza password | AuditIfNotExists, Disabled | 3.1.0 |
Controlla i computer Linux in cui sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la risorsa Chef InSpec indica che uno o più pacchetti forniti dal parametro sono installati. | AuditIfNotExists, Disabled | 4.2.0 |
Controllare il comportamento di sicurezza SSH per Linux (basato su OSConfig) | Questo criterio controlla la configurazione della sicurezza del server SSH nei computer Linux (macchine virtuali di Azure e computer abilitati per Arc). Per altre informazioni, inclusi i prerequisiti, le impostazioni nell'ambito, le impostazioni predefinite e la personalizzazione, vedere https://aka.ms/SshPostureControlOverview | AuditIfNotExists, Disabled | 1.0.1 |
Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale non contiene uno o più membri elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
Controlla la connettività di rete dei computer Windows | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se lo stato di una connessione di rete a un indirizzo IP e alla porta TCP non corrisponde al parametro dei criteri. | auditIfNotExists | 2.0.0 |
Controlla i computer Windows in cui la configurazione DSC non è conforme | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il comando Get-DSCConfigurationStatus di Windows PowerShell restituisce che la configurazione DSC per il computer non è conforme. | auditIfNotExists | 3.0.0 |
Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se l'agente non è installato o se è installato ma l'oggetto COM AgentConfigManager.MgmtSvcCfg restituisce che è registrato in un'area di lavoro diversa dall'ID specificato nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
Controlla i computer Windows in cui i servizi specificati non sono installati e in esecuzione | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il risultato del comando Get-Service di Windows PowerShell non include il nome del servizio con stato corrispondente come specificato nel parametro dei criteri. | auditIfNotExists | 3.0.0 |
Controlla i computer Windows in cui la console seriale Windows non è abilitata | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nel computer non è installato il software della console seriale o se il numero di porta o la velocità in baud di Servizi di gestione emergenze non sono configurati con gli stessi valori dei parametri dei criteri. | auditIfNotExists | 3.0.0 |
Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Le macchine non sono conformi se si tratta di macchine Windows che consentono il riutilizzo delle password dopo il numero specificato di password uniche. Il valore predefinito per le password univoche è 24 | AuditIfNotExists, Disabled | 2.1.0 |
Controlla i computer Windows che non sono aggiunti al dominio specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il valore della proprietà del dominio nella classe WMI win32_computersystem non corrisponde il valore nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
Controlla i computer Windows che non sono impostati sul fuso orario specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il valore della proprietà StandardName nella classe WMI Win32_TimeZone non corrisponde al fuso orario selezionato per parametro dei criteri. | auditIfNotExists | 3.0.0 |
Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i certificati nell'archivio specificato presentano una data di scadenza non compresa nell'intervallo consentito per il numero di giorni fornito come parametro. Il criterio offre inoltre l'opzione di controllare solo certificati specifici o di escludere determinati certificati e inviare una segnalazione per i certificati scaduti. | auditIfNotExists | 2.0.0 |
Controlla i computer Windows che non contengono i certificati specificati nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se l'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale (Cert:\LocalMachine\Root) non contiene uno o più certificati elencati nel parametro dei criteri. | auditIfNotExists | 3.0.0 |
Controlla i computer Windows che non hanno la validità massima della password impostata sul numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato. Il valore predefinito per la validità massima della password è 70 giorni | AuditIfNotExists, Disabled | 2.1.0 |
Controlla i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni. Il valore predefinito per l'età minima della password è 1 giorno | AuditIfNotExists, Disabled | 2.1.0 |
Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Windows non è abilitata l'impostazione relativa alla complessità della password | AuditIfNotExists, Disabled | 2.0.0 |
Controlla i computer Windows in cui non sono disponibili i criteri di esecuzione di Windows PowerShell specificati | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il comando Get-ExecutionPolicy di Windows PowerShell restituisce un valore diverso da quello selezionato nel parametro dei criteri. | AuditIfNotExists, Disabled | 3.0.0 |
Controlla i computer Windows in cui non sono installati i moduli di Windows PowerShell specificati | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se un modulo non è disponibile in una posizione specificata dalla variabile di ambiente PSModulePath. | AuditIfNotExists, Disabled | 3.0.0 |
Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Non sono conformi le macchine Windows che non limitano la lunghezza minima della password al numero di caratteri specificato. Il valore predefinito per la lunghezza minima della password è di 14 caratteri | AuditIfNotExists, Disabled | 2.1.0 |
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile | AuditIfNotExists, Disabled | 2.0.0 |
Controlla i computer Windows in cui non sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il nome dell'applicazione non viene trovato in uno dei percorsi del Registro di sistema seguenti: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
Controlla i computer Windows in cui sono presenti account in eccesso nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
Controlla i computer Windows che non sono stati riavviati entro il numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la proprietà WMI LastBootUpTime nella classe Win32_Operatingsystem non è compresa nell'intervallo di giorni fornito dal parametro dei criteri. | auditIfNotExists | 2.0.0 |
Controlla i computer Windows in cui sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il nome dell'applicazione viene trovato in uno dei percorsi del Registro di sistema seguenti: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
Controlla le macchine virtuali Windows in attesa di riavvio | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il computer è in attesa di riavvio per uno dei motivi seguenti: manutenzione basata su componenti, Windows Update, ridenominazione file in sospeso, ridenominazione computer in sospeso, Gestione configurazione in attesa di riavvio. Per ogni rilevamento è presente un percorso del Registro di sistema univoco. | auditIfNotExists | 2.0.0 |
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed | AuditIfNotExists, Disabled | 3.2.0 |
Gli ambiti collegamento privato di Azure Arc devono essere configurati con un endpoint privato | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli ambiti di collegamento privato di Azure Arc, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/arc/privatelink. | Audit, Disabled | 1.0.0 |
Gli ambiti collegamento privato di Azure Arc devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le risorse di Azure Arc non possano connettersi tramite La rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione delle risorse di Azure Arc. Per altre informazioni, vedere https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
I server abilitati per Azure Arc devono essere configurati con un ambito collegamento privato Azure Arc | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping dei server abilitati per Azure Arc a un ambito di collegamento privato di Azure Arc configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
Configurare i server abilitati per Arc con l'estensione SQL Server installata per abilitare o disabilitare la valutazione delle procedure consigliate per SQL. | Abilitare o disabilitare la valutazione delle procedure consigliate SQL nelle istanze di SQL Server nei server abilitati per Arc per valutare le procedure consigliate. Per ulteriori informazioni, vedi https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Disabled | 1.0.1 |
Configurare SQL Server con abilitazione di Arc per installare automaticamente l'agente di Monitoraggio di Azure | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei server SQL abilitati per Windows Arc. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.3.0 |
Configurare SQL Server con abilitazione di Arc per installare automaticamente Microsoft Defender per SQL | Configurare SQL Server abilitati per Windows Arc per installare automaticamente Microsoft Defender per SQL Agent. Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). | DeployIfNotExists, Disabled | 1.2.0 |
Configurare SQL Server con abilitazione di Arc per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse, una regola di raccolta dati e un'area di lavoro Log Analytics nella stessa area del computer. | DeployIfNotExists, Disabled | 1.5.0 |
Configurare SQL Server con abilitazione di Arc per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro LA definita dall'utente | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e una regola di raccolta dati nella stessa area dell'area di lavoro Log Analytics definita dall'utente. | DeployIfNotExists, Disabled | 1.7.0 |
Configurare SQL Server abilitati per Arc con associazione di regole di raccolta dati a Microsoft Defender per SQL DCR | Configurare l'associazione tra SQL Server abilitati per Arc e Microsoft Defender per SQL DCR. L'eliminazione di questa associazione interromperà il rilevamento delle vulnerabilità di sicurezza per i server SQL abilitati per Arc. | DeployIfNotExists, Disabled | 1.1.0 |
Configurare SQL Servers abilitati per Arc con associazione di regole di raccolta dati a Microsoft Defender per SQL DCR definito dall'utente | Configurare l'associazione tra SQL Servers con abilitazione per Arc e Il DCR definito dall'utente di Microsoft Defender per SQL. L'eliminazione di questa associazione interromperà il rilevamento delle vulnerabilità di sicurezza per i server SQL abilitati per Arc. | DeployIfNotExists, Disabled | 1.3.0 |
Configurare gli ambiti collegamento privato di Azure Arc per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'ambito del collegamento privato di Azure Arc in modo che le risorse di Azure Arc associate non possano connettersi ai servizi di Azure Arc tramite la rete Internet pubblica. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/arc/privatelink. | Modifica, disattivato | 1.0.0 |
Configurare gli ambiti collegamento privato di Azure Arc con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli ambiti di collegamento privato di Azure Arc, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 2.0.0 |
Configurare i server abilitati per Azure Arc per l'utilizzo di un ambito collegamento privato di Azure Arc | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping dei server abilitati per Azure Arc a un ambito di collegamento privato di Azure Arc configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/arc/privatelink. | Modifica, disattivato | 1.0.0 |
Configurare Azure Defender per server da disabilitare per tutte le risorse (livello di risorsa) | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. Questo criterio disabiliterà il piano Defender per server per tutte le risorse (VM, VMSS e computer ARC) nell'ambito selezionato (sottoscrizione o gruppo di risorse). | DeployIfNotExists, Disabled | 1.0.0 |
Configurare Azure Defender per server da disabilitare per le risorse (livello di risorsa) con il tag selezionato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. Questo criterio disabiliterà il piano Defender per server per tutte le risorse (VM, VMSS e computer ARC) con il nome e i valori di tag selezionati. | DeployIfNotExists, Disabled | 1.0.0 |
Configurare Azure Defender per server da abilitare (sottopiano 'P1' ) per tutte le risorse (livello di risorsa) con il tag selezionato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. Questo criterio abiliterà il piano Defender per server (con sottopiano "P1") per tutte le risorse (VM e computer ARC) con il nome e i valori dei tag selezionati. | DeployIfNotExists, Disabled | 1.0.0 |
Configurare Azure Defender per server da abilitare (con sottopiano "P1") per tutte le risorse (livello di risorsa) | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. Questo criterio abiliterà il piano Defender per server (con sottopiano "P1") per tutte le risorse (VM e computer ARC) nell'ambito selezionato (sottoscrizione o gruppo di risorse). | DeployIfNotExists, Disabled | 1.0.0 |
Configurare Dependency Agent nei server Linux abilitati ad Azure Arc | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite server abilitati per Arc installando l'estensione macchina virtuale Dependency Agent. Informazioni dettagliate sulle macchine virtuali usa Dependency Agent per raccogliere le metriche di rete e i dati individuati sui processi in esecuzione nel computer e sulle dipendenze dei processi esterni. Per altre informazioni, vedere https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.1.0 |
Configurare Dependency Agent in nei server Linux abilitati ad Azure Arc con le impostazioni dell'agente di Monitoraggio di Azure | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite i server abilitati per Arc installando l'estensione macchina virtuale Dependency Agent con le impostazioni dell'agente di monitoraggio di Azure. Informazioni dettagliate sulle macchine virtuali usa Dependency Agent per raccogliere le metriche di rete e i dati individuati sui processi in esecuzione nel computer e sulle dipendenze dei processi esterni. Per altre informazioni, vedere https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.2.0 |
Configurare Dependency Agent nei server Windows abilitati ad Azure Arc | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite server abilitati per Arc installando l'estensione macchina virtuale Dependency Agent. Informazioni dettagliate sulle macchine virtuali usa Dependency Agent per raccogliere le metriche di rete e i dati individuati sui processi in esecuzione nel computer e sulle dipendenze dei processi esterni. Per altre informazioni, vedere https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.1.0 |
Configurare Dependency Agent in nei server Windows abilitati ad Azure Arc con le impostazioni dell'agente di Monitoraggio di Azure | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite i server abilitati per Arc installando l'estensione macchina virtuale Dependency Agent con le impostazioni dell'agente di monitoraggio di Azure. Informazioni dettagliate sulle macchine virtuali usa Dependency Agent per raccogliere le metriche di rete e i dati individuati sui processi in esecuzione nel computer e sulle dipendenze dei processi esterni. Per altre informazioni, vedere https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.2.0 |
Configurare i computer Linux ARC da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare i computer Linux Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 2.2.1 |
Configurare i computer abilitati ad Arc Linux per l'esecuzione dell'agente di Monitoraggio di Azure | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei computer abilitati per Linux Arc per la raccolta dei dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se l'area è supportata. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 2.4.0 |
Configurare computer Linux da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare macchine virtuali Linux, set di scalabilità di macchine virtuali e computer Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 6.5.1 |
Configurare il server Linux per disabilitare gli utenti locali. | Crea un'assegnazione di configurazione guest per configurare la disabilitazione degli utenti locali in Linux Server. In questo modo, i server Linux possono accedere solo tramite l'account AAD (Azure Active Directory) o un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | DeployIfNotExists, Disabled | 1.3.0-anteprima |
Configurare l'estensione Log Analytics sui server Linux abilitati ad Azure Arc. Vedere l'avviso di deprecazione riportato di seguito | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite server abilitati per Arc installando l'estensione macchina virtuale Log Analytics. Informazioni dettagliate sulle macchine virtuali usa l'agente di Log Analytics per raccogliere i dati sulle prestazioni del sistema operativo guest e fornisce informazioni dettagliate sulle prestazioni. Per altre informazioni, vedere https://aka.ms/vminsightsdocs. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione alla sostituzione dell'agente di Monitoraggio di Azure prima di tale data | DeployIfNotExists, Disabled | 2.1.1 |
Configurare l'estensione di Log Analytics nei server Windows abilitati ad Azure Arc | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite server abilitati per Arc installando l'estensione macchina virtuale Log Analytics. Informazioni dettagliate sulle macchine virtuali usa l'agente di Log Analytics per raccogliere i dati sulle prestazioni del sistema operativo guest e fornisce informazioni dettagliate sulle prestazioni. Per altre informazioni, vedere https://aka.ms/vminsightsdocs. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. | DeployIfNotExists, Disabled | 2.1.1 |
Configurare i computer per ricevere un provider di valutazione della vulnerabilità | Azure Defender include l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. Non è necessaria una licenza Qualys, né un account Qualys: tutto viene gestito senza interruzioni all'interno del Centro sicurezza. Quando si abilita questo criterio, Azure Defender distribuisce automaticamente il provider di valutazione della vulnerabilità Qualys in tutti i computer supportati che non lo hanno già installato. | DeployIfNotExists, Disabled | 4.0.0 |
Configurare il controllo periodico per gli aggiornamenti di sistema mancanti nei server abilitati per Azure Arc | Configurare la valutazione automatica (ogni 24 ore) per gli aggiornamenti del sistema operativo nei server abilitati per Azure Arc. È possibile controllare l'ambito dell'assegnazione in base alla sottoscrizione del computer, al gruppo di risorse, alla posizione o al tag. Altre informazioni su questo argomento per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.3.0 |
Configurare protocolli di comunicazione sicuri (TLS 1.1 o TLS 1.2) su macchine Windows. | Crea un'assegnazione della configurazione guest per configurare la versione del protocollo di protezione specificata (TLS 1.1 o TLS 1.2) sulla macchina Windows | DeployIfNotExists, Disabled | 1.0.1 |
Configurare il comportamento di sicurezza SSH per Linux (basato su OSConfig) | Questo criterio controlla e configura la configurazione della sicurezza del server SSH nei computer Linux (macchine virtuali di Azure e computer abilitati per Arc). Per altre informazioni, inclusi i prerequisiti, le impostazioni nell'ambito, le impostazioni predefinite e la personalizzazione, vedere https://aka.ms/SshPostureControlOverview | DeployIfNotExists, Disabled | 1.0.1 |
Configurare l'area di lavoro Microsoft Defender per SQL Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e un'area di lavoro Log Analytics nella stessa area del computer. | DeployIfNotExists, Disabled | 1.4.0 |
Configura il fuso orario nelle macchine Windows. | Questo criterio crea un'assegnazione della configurazione guest per impostare il fuso orario specificato nelle macchine virtuali Windows. | deployIfNotExists | 2.1.0 |
Configura le macchine virtuali per l'onboarding in Gestione automatica di Azure | Gestione automatica di Azure registra, configura e monitora le macchine virtuali con le procedure consigliate definite in Microsoft Cloud Adoption Framework per Azure. Usare questo criterio per applicare Gestione automatica all'ambito selezionato. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
Configurare le macchine virtuali di cui eseguire l'onboarding per Gestione automatica di Azure con il profilo di configurazione personalizzato | Gestione automatica di Azure registra, configura e monitora le macchine virtuali con le procedure consigliate definite in Microsoft Cloud Adoption Framework per Azure. Usare questo criterio per applicare la gestione automatica con il proprio profilo di configurazione personalizzato all'ambito selezionato. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
Configurare i computer Windows ARC da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare i computer Windows Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 2.2.1 |
Configurare i computer abilitati ad Arc Windows per l'esecuzione dell'agente di Monitoraggio di Azure | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei computer abilitati per Windows Arc per la raccolta dei dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 2.4.0 |
Configurare i computer Windows da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare macchine virtuali Windows, set di scalabilità di macchine virtuali e computer Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 4.5.1 |
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Le soluzioni Endpoint Protection supportate dal Centro sicurezza di Azure sono documentate qui: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
È necessario installare Endpoint Protection nei computer | Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection. | AuditIfNotExists, Disabled | 1.0.0 |
Nei computer abilitati ad Arc Linux deve essere installato l'agente di Monitoraggio di Azure | I computer abilitati per Linux Arc devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla i computer abilitati per Arc nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview | AuditIfNotExists, Disabled | 1.2.0 |
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.2.0 |
I computer Linux devono includere solo account locali consentiti | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. La gestione degli account utente con Azure Active Directory è una procedura consigliata per la gestione delle identità. La riduzione degli account del computer locale consente di evitare la proliferazione delle identità gestite all'esterno di un sistema centrale. I computer non sono conformi se esistono account utente locali abilitati e non elencati nel parametro dei criteri. | AuditIfNotExists, Disabled | 2.2.0 |
I metodi di autenticazione locali devono essere disabilitati nei computer Linux | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i server Linux non dispongono di metodi di autenticazione locali disabilitati. Ciò consente di verificare che i server Linux siano accessibili solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | AuditIfNotExists, Disabled | 1.2.0-preview |
I metodi di autenticazione locali devono essere disabilitati nei server Windows | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i server Windows non dispongono di metodi di autenticazione locali disabilitati. Ciò consente di verificare che i server Windows siano accessibili solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | AuditIfNotExists, Disabled | 1.0.0-preview |
I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti del sistema mancanti | Per garantire che le valutazioni periodiche per gli aggiornamenti di sistema mancanti vengano attivate automaticamente ogni 24 ore, la proprietà AssessmentMode deve essere impostata su "AutomaticByPlatform". Altre informazioni sulla proprietà AssessmentMode per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
Pianificare gli aggiornamenti ricorrenti con Gestione aggiornamenti di Azure | È possibile usare Gestione aggiornamenti di Azure in Azure per salvare le pianificazioni di distribuzione ricorrenti per installare gli aggiornamenti del sistema operativo per i computer Windows Server e Linux in Azure, negli ambienti locali e in altri ambienti cloud connessi usando i server abilitati per Azure Arc. Questo criterio modificherà anche la modalità patch per la macchina virtuale di Azure in "AutomaticByPlatform". Altro: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.12.0 |
I risultati delle vulnerabilità devono essere risolti nei server SQL | Valutazione della vulnerabilità di SQL analizza il database per individuare vulnerabilità a livello di sicurezza ed espone eventuali scostamenti dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. | AuditIfNotExists, Disabled | 1.0.0 |
Sottoscrivere istanze di SQL Server abilitate per Arc idonee per gli aggiornamenti della sicurezza estesi. | Sottoscrivere istanze di SQL Server abilitate per Arc idonee con tipo di licenza impostato su Pagamento o Pagamento in base al consumo per gli aggiornamenti della sicurezza estesi. Altre informazioni sugli aggiornamenti della sicurezza estesi https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, Disabled | 1.0.0 |
È consigliabile installare gli aggiornamenti di sistema nei computer (tramite Update Center) | Nei computer mancano aggiornamenti di sistema, di sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. | AuditIfNotExists, Disabled | 1.0.1 |
L'estensione Log Analytics legacy non deve essere installata nei server Linux abilitati per Azure Arc | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione agente legacy nei server Linux abilitati per Azure Arc. Altre informazioni: https://aka.ms/migratetoAMA | Rifiutare, controllare, disabilitato | 1.0.0 |
L'estensione Log analytics legacy non deve essere installata nei server Windows abilitati per Azure Arc | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione agente legacy nei server Windows con abilitazione di Azure Arc. Altre informazioni: https://aka.ms/migratetoAMA | Rifiutare, controllare, disabilitato | 1.0.0 |
Nei computer abilitati ad Arc Windows deve essere installato l'agente di Monitoraggio di Azure | I computer abilitati per Windows Arc devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. I computer abilitati per Windows Arc nelle aree supportate vengono monitorati per la distribuzione dell'agente di Monitoraggio di Azure. Altre informazioni: https://aka.ms/AMAOverview | AuditIfNotExists, Disabled | 1.2.0 |
Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | Windows Defender Exploit Guard usa l’agente di Configurazione guest di Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
I computer Windows devono configurare Windows Defender per aggiornare le firme di protezione entro un giorno | Per garantire una protezione adeguata contro il malware appena rilasciato, le firme di protezione di Windows Defender devono essere aggiornate regolarmente per tenere conto del malware appena rilasciato. Questo criterio non viene applicato ai server connessi ad Arc e richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
I computer Windows devono abilitare la protezione in tempo reale di Windows Defender | I computer Windows devono abilitare la protezione in tempo reale in Windows Defender per garantire una protezione adeguata contro il malware appena rilasciato. Questo criterio non è applicabile ai server connessi ad arco e richiede che i prerequisiti di Configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Pannello di controllo' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Pannello di controllo' per personalizzare l'input e impedire l'abilitazione delle schermate di blocco. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - MSS (legacy)' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - MSS (legacy)' per accesso automatico, screen saver, comportamento della rete, file DLL sicuro e log eventi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Rete' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Rete' per accessi guest, connessioni simultanee, bridge di rete, ICS e risoluzione dei nomi multicast. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Sistema' per impostazioni che controllano l'esperienza di amministrazione e Assistenza remota. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Account' per limitare l'uso di password vuote e lo stato dell'account guest per account locali. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Controllo' per forzare la sottocategoria dei criteri di controllo e arrestare il sistema se non riesce a registrare i controlli di sicurezza. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Dispositivi' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Dispositivi' per il disinserimento senza accesso, l'installazione di driver della stampante e la formattazione/espulsione di supporti. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso interattivo' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso interattivo' per visualizzare il nome dell'ultimo utente e richiedere la pressione della combinazione di tasti CTRL+ALT+CANC. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Client di rete Microsoft' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Client di rete Microsoft' per client/server di rete Microsoft e SMB v1. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Server di rete Microsoft' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Server di rete Microsoft' per disabilitare il server SMB v1. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso alla rete' per includere l'accesso per utenti anonimi, account locali e accesso remoto al Registro di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Sicurezza di rete' per includere il comportamento di Sistema locale, PKU2U, LAN Manager, client LDAP e SSP NTLM. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Console di ripristino di emergenza' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Console di ripristino di emergenza' per consentire la copia su disco floppy e l'accesso a tutte le unità e a tutte le cartelle. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Arresto del sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Arresto del sistema' per consentire l'arresto del sistema senza accesso e la cancellazione del file di paging della memoria virtuale. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Oggetti di sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Oggetti di sistema' per la mancata distinzione maiuscole/minuscole per sottosistemi non Windows e autorizzazioni di oggetti di sistema interni. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Impostazioni di sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Impostazioni di sistema' per le regole dei certificati sugli eseguibili per i criteri di restrizione software e i sottosistemi facoltativi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Controllo dell'account utente' per la modalità per amministratori, il comportamento della richiesta di elevazione dei privilegi e la virtualizzazione di file ed errori di scrittura del Registro di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Impostazioni di sicurezza - Criteri account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Impostazioni di sicurezza - Criteri account' per cronologia, scadenza, lunghezza e complessità delle password e per archiviare le password con la crittografia reversibile. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso account' per controllare la convalida delle credenziali e altri eventi di accesso account. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Gestione account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Gestione Account' per il controllo della gestione di applicazioni, sicurezza e gruppi di utenti e per altri eventi di gestione. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Analisi dettagliata' per il controllo di DPAPI, creazione/terminazione di processi, eventi RPC e attività PNP. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso/Disconnessione' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso/Disconnessione' per il controllo di IPSec, criteri di rete, attestazioni, blocco degli account, appartenenza a gruppi ed eventi di accesso/disconnessione. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso agli oggetti' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso agli oggetti' per il controllo di file, Registro di sistema, SAM, archiviazione, filtro, kernel e altri tipi di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Modifica dei criteri' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Modifica dei criteri' per il controllo delle modifiche apportate ai criteri di controllo del sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Uso dei privilegi' per il controllo senza distinzione maiuscole/minuscole e l'uso di altri privilegi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Sistema' per controllare driver IPsec, integrità di sistema, estensione di sistema, modifica dello stato e altri eventi di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Assegnazione diritti utente' per consentire l'accesso in locale, RDP, l'accesso dalla rete e molte altre attività utente. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Componenti di Windows' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Componenti di Windows' per autenticazione di base, traffico non crittografato, account Microsoft, telemetria, Cortana e altri comportamenti di Windows. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti per 'Proprietà Windows Firewall' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Proprietà Windows Firewall' per lo stato, le connessioni, la gestione regole e le notifiche del firewall. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.0.0 |
I computer Windows devono includere solo account locali consentiti | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Questa definizione non è supportata in Windows Server 2012 o 2012 R2. La gestione degli account utente con Azure Active Directory è una procedura consigliata per la gestione delle identità. La riduzione degli account del computer locale consente di evitare la proliferazione delle identità gestite all'esterno di un sistema centrale. I computer non sono conformi se esistono account utente locali abilitati e non elencati nel parametro dei criteri. | AuditIfNotExists, Disabled | 2.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.