Definições internas do Azure Policy para máquinas virtuais do Microsoft Azure
Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes
Esta página é um índice de definições de políticas internas do Azure Policy para as Máquinas Virtuais do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Microsoft.Compute
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: uma identidade gerenciada deve ser habilitada em seus computadores | Os recursos gerenciados pelo Gerenciamento Automatizado devem ter uma identidade gerenciada. | Audit, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: adicionar identidade gerenciada atribuída pelo usuário para habilitar atribuições de Configuração de Convidado em máquinas virtuais | Essa política adiciona uma identidade gerenciada atribuída pelo usuário a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado. Uma identidade gerenciada atribuída pelo usuário é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, desabilitado | 2.1.0 – versão prévia |
[Versão Prévia]: Atribuir Identidade Gerenciada Atribuída pelo Usuário Interna a Conjuntos de Dimensionamento de Máquinas Virtuais | Crie e atribua uma identidade gerenciada atribuída pelo usuário interna ou atribua uma identidade gerenciada atribuída pelo usuário previamente criada em escala a conjuntos de dimensionamento de máquinas virtuais. Para obter uma documentação mais detalhada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.1.0 – versão prévia |
[Versão Prévia]: Atribuir Identidade Gerenciada Atribuída pelo Usuário Interna a Máquinas Virtuais | Crie e atribua uma identidade gerenciada atribuída pelo usuário interna ou atribua uma identidade gerenciada atribuída pelo usuário previamente criada em escala a máquinas virtuais. Para obter uma documentação mais detalhada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.1.0 – versão prévia |
[Versão prévia]: a atribuição de perfil de configuração de Gerenciamento Automatizado deve estar em conformidade | Os recursos gerenciados pelo Gerenciamento Automatizado devem ter um status de Conformant ou ConformantCorrected. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: O Backup do Azure deve ser habilitado para Managed Disks | Garanta a proteção dos seus Managed Disks habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: o agente de Segurança do Azure deve ser instalado nos seus conjuntos de dimensionamento de máquinas virtuais do Linux | Instale o agente de Segurança do Azure nos conjuntos de dimensionamento de máquinas virtuais do Linux para monitorar as configurações de segurança e as vulnerabilidades de seus computadores. Os resultados das avaliações podem ser vistos e gerenciados na Central de Segurança do Azure. | AuditIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: o agente de Segurança do Azure deve ser instalado nas suas máquinas virtuais do Linux | Instale o agente de Segurança do Azure em suas máquinas virtuais Linux para monitorar as configurações de segurança e as vulnerabilidades de seus computadores. Os resultados das avaliações podem ser vistos e gerenciados na Central de Segurança do Azure. | AuditIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: o agente de Segurança do Azure deve ser instalado nos seus conjuntos de dimensionamento de máquinas virtuais do Windows | Instale o agente de Segurança do Azure em seus conjuntos de dimensionamento de máquinas virtuais do Windows para monitorar as configurações e as vulnerabilidades de segurança de seus computadores. Os resultados das avaliações podem ser vistos e gerenciados na Central de Segurança do Azure. | AuditIfNotExists, desabilitado | 2.1.0 – versão prévia |
[Versão prévia]: o agente de Segurança do Azure deve ser instalado nas suas máquinas virtuais do Windows | Instale o agente de segurança do Azure em suas máquinas virtuais do Windows para monitorar as configurações de segurança e as vulnerabilidades de seus computadores. Os resultados das avaliações podem ser vistos e gerenciados na Central de Segurança do Azure. | AuditIfNotExists, desabilitado | 2.1.0 – versão prévia |
[Versão prévia]: o diagnóstico de inicialização deve estar habilitado nas máquinas virtuais | As máquinas virtuais do Azure devem ter o diagnóstico de inicialização habilitado. | Audit, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: a extensão ChangeTracking deve ser instalada em sua máquina virtual Linux | Instale a extensão ChangeTracking em máquinas virtuais do Linux para habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente de Monitoramento do Azure. | AuditIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: a extensão ChangeTracking deve ser instalada em seus conjuntos de dimensionamento de máquinas virtuais do Linux | Instale a extensão ChangeTracking em conjuntos de dimensionamento de máquinas virtuais do Linux para habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente de Monitoramento do Azure. | AuditIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: a extensão ChangeTracking deve ser instalada em sua máquina virtual do Windows | Instale a extensão ChangeTracking em máquinas virtuais do Windows para habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente de Monitoramento do Azure. | AuditIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: a extensão ChangeTracking deve ser instalada em seus conjuntos de dimensionamento de máquinas virtuais do Windows | Instale a extensão ChangeTracking em conjuntos de dimensionamento de máquinas virtuais do Windows para habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente de Monitoramento do Azure. | AuditIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: configurar o Azure Defender para SQL Agent na máquina virtual | Configure computadores Windows para instalarem automaticamente o Azure Defender para SQL Agent em que o agente do Azure Monitor está instalado. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e um workspace do Log Analytics na mesma região que a do computador. As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: configurar o backup dos Discos do Azure (Discos Gerenciados) com uma determinada marca em um cofre de backup existente na mesma região | Impor o backup de todos os Discos do Azure (Discos Gerenciados) que contenham uma determinada marca em um cofre de backup central. Saiba mais em https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: configurar o backup dos Discos do Azure (Discos Gerenciados) sem uma determinada marca em um cofre de backup existente na mesma região | Impor o backup de todos os Discos do Azure (Discos Gerenciados) que não contenham uma determinada marca em um cofre de backup central. Saiba mais em https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: configurar a extensão ChangeTracking para conjuntos de dimensionamento de máquinas virtuais do Linux | Configure conjuntos de dimensionamento de máquinas virtuais do Linux para instalar automaticamente a extensão ChangeTracking a fim de habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente do Azure Monitor. | DeployIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: configurar a extensão ChangeTracking para máquinas virtuais do Linux | Configure máquinas virtuais do Linux para instalar automaticamente a extensão ChangeTracking a fim de habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente do Azure Monitor. | DeployIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: configurar a Extensão ChangeTracking para conjuntos de dimensionamento de máquinas virtuais do Windows | Configure conjuntos de dimensionamento de máquinas virtuais Windows para instalar automaticamente a extensão ChangeTracking a fim de habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente do Azure Monitor. | DeployIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: configurar a Extensão ChangeTracking para máquinas virtuais do Windows | Configure máquinas virtuais do Windows para instalar automaticamente a extensão ChangeTracking a fim de habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente do Azure Monitor. | DeployIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: configurar as Máquinas Virtuais do Linux para serem associadas a uma Regra de Coleta de Dados para o ChangeTracking e Inventário | Implante a associação para vincular máquinas virtuais do Linux à regra de coleta de dados especificada para habilitar o ChangeTracking e o inventário. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: configurar as VMs do Linux para instalar o AMA para o ChangeTracking e Inventário com a identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais do Linux para habilitar o ChangeTracking e o inventário. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.5.0-preview |
[Versão prévia]: configurar o VMSS do Linux para ser associado a uma Regra de Coleta de Dados para o ChangeTracking e Inventário | Implante a associação para vincular conjuntos de dimensionamento de máquinas virtuais do Linux à regra de coleta de dados especificada para habilitar o ChangeTracking e o inventário. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: configurar os VMSS do Linux para instalar o AMA para o ChangeTracking e Inventário com a identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Agente do Azure Monitor nos conjuntos de dimensionamento de máquinas virtuais do Linux para habilitar o ChangeTracking e o inventário. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.4.0-preview |
[Versão prévia]: configurar os conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis para instalar automaticamente o agente de Segurança do Azure | Configure as máquinas virtuais do Linux compatíveis para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: configurar os conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis para instalar automaticamente a extensão de Atestado de Convidado | Configure os conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis para instalar automaticamente a extensão Atestado de Convidado a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 6.1.0 – versão prévia |
[Versão prévia]: configurar máquinas virtuais do Linux compatíveis para habilitar a Inicialização Segura automaticamente | Configure as máquinas virtuais do Linux compatíveis para habilitar automaticamente a Inicialização Segura a fim de atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. | DeployIfNotExists, desabilitado | Versão prévia do 5.0.0 |
[Versão prévia]: configurar as máquinas virtuais do Linux compatíveis para instalar automaticamente o agente de Segurança do Azure | Configure as máquinas virtuais do Linux compatíveis para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desabilitado | 7.0.0-preview |
[Versão prévia]: configurar as máquinas virtuais do Linux compatíveis para instalar automaticamente a extensão Atestado de Convidado | Configure as máquinas virtuais do Linux compatíveis para instalar automaticamente a extensão Atestado de Convidado a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 7.1.0-preview |
[Versão prévia]: configurar máquinas virtuais com suporte para habilitar vTPM automaticamente | Configure máquinas virtuais compatíveis para habilitar automaticamente o vTPM a fim de facilitar a Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. | DeployIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: configurar computadores Windows com suporte para instalar automaticamente o agente de segurança do Azure | Configurar computadores Windows com suporte para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desabilitado | 5.1.0-preview |
[Versão prévia]: configurar os conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis para instalar automaticamente o agente de Segurança do Azure | Configurar os conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Os Windows de escala de máquina virtual de destino devem estar em um local com suporte. | DeployIfNotExists, desabilitado | 2.1.0 – versão prévia |
[Versão prévia]: configurar os conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis para instalar automaticamente a extensão Atestado de Convidado | Configure os conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis para instalar automaticamente a extensão Atestado de Convidado a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 4.1.0 – versão prévia |
[Versão prévia]: configurar máquinas virtuais do Windows com suporte para habilitar a Inicialização Segura automaticamente | Configure as máquinas virtuais do Windows compatíveis para habilitar automaticamente a Inicialização Segura a fim de atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. | DeployIfNotExists, desabilitado | 3.0.0 – versão prévia |
[Versão prévia]: configurar as máquinas virtuais do Windows compatíveis para instalar automaticamente a extensão Atestado de Convidado | Configure as máquinas virtuais do Windows compatíveis para instalar automaticamente a extensão Atestado de Convidado a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 5.1.0-preview |
[Versão prévia]: configurar a identidade gerenciada atribuída pelo sistema para permitir atribuições do Azure Monitor nas VMs | Configure a identidade gerenciada atribuída ao sistema para máquinas virtuais hospedadas no Azure com suporte do Azure Monitor e que não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições do Azure Monitor e precisa ser adicionada a computadores antes de usar alguma extensão do Azure Monitor. As máquinas virtuais de destino devem estar em um local com suporte. | Modificar, Desabilitado | 6.0.0-preview |
[Versão prévia]: configurar VMs criadas com imagens da Galeria de Imagens Compartilhadas para instalar a extensão Atestado de Convidado | Configure as máquinas virtuais criadas com as imagens da Galeria de Imagens Compartilhadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 2.0.0-preview |
[Versão prévia]: configurar VMSS criados com imagens da Galeria de Imagens Compartilhadas para instalar a extensão de Atestado de Convidado | Configure os VMSS criados com as imagens da Galeria de Imagens Compartilhadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. | DeployIfNotExists, desabilitado | 2.1.0 – versão prévia |
[Versão prévia]: configure o Windows Server para desabilitar os usuários locais. | Cria uma atribuição de Configuração de Convidado para configurar a desabilitação de usuários locais no Windows Server. Isso garantirá que o Windows Server somente poderá ser acessado pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. | DeployIfNotExists, desabilitado | 1.2.0 – versão prévia |
[Versão prévia]: configurar as Máquinas Virtuais do Windows para serem associadas a uma Regra de Coleta de Dados para o ChangeTracking e Inventário | Implante a associação para vincular máquinas virtuais do Windows à regra de coleta de dados especificada para habilitar o ChangeTracking e o inventário. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: configurar as VMs do Windows para instalar o AMA para o ChangeTracking e Inventário com a identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais do Windows para habilitar o ChangeTracking e o inventário. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.1.0 – versão prévia |
[Versão prévia]: configurar o VMSS do Windows para ser associado a uma Regra de Coleta de Dados para o ChangeTracking e Inventário | Implante a associação para vincular os conjunto de dimensionamento de máquinas virtuais do Windows à regra de coleta de dados especificada para habilitar o ChangeTracking e o inventário. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: configurar o VMSS do Windows para instalar o AMA para o ChangeTracking e Inventário com a identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Agente do Azure Monitor nos conjuntos de dimensionamento de máquinas virtuais do Windows para habilitar o ChangeTracking e o inventário. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.1.0 – versão prévia |
[Versão prévia]: implantar o agente do Microsoft Defender para Ponto de Extremidade para máquinas virtuais do Linux | Implanta o agente do Microsoft Defender para Ponto de Extremidade em imagens de VM do Linux aplicáveis. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 3.0.0 – versão prévia |
[Versão prévia]: implantar o agente do Microsoft Defender para Ponto de Extremidade em máquinas virtuais do Windows | Implanta o Microsoft Defender para Ponto de Extremidade em imagens de VM do Windows aplicáveis. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 2.0.1 – versão prévia |
[Versão prévia]: habilitar a identidade atribuída pelo sistema à VM do SQL | Habilite a identidade atribuída pelo sistema em escala para máquinas virtuais do SQL. Você precisa atribuir essa política no nível da assinatura. Atribuir no nível do grupo de recursos não funcionará conforme o esperado. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: a extensão Atestado de Convidado deve ser instalada nas máquinas virtuais do Linux compatíveis | Instale a extensão Atestado de Convidado em máquinas virtuais do Linux compatíveis a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica às máquinas virtuais do Linux Confidenciais e de Início Confiável. | AuditIfNotExists, desabilitado | 6.0.0-preview |
[Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis | Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica aos conjuntos de dimensionamento de máquinas virtuais de início confiável e Linux Confidencial. | AuditIfNotExists, desabilitado | 5.1.0-preview |
[Versão prévia]: a extensão Atestado de Convidado deve ser instalada em máquinas virtuais do Windows compatíveis | Instale a extensão Atestado de Convidado em máquinas virtuais compatíveis a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica às máquinas virtuais do Windows Confidenciais e de Início Confiável. | AuditIfNotExists, desabilitado | 4.0.0 – versão prévia |
[Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis | Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais compatíveis a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica aos conjuntos de dimensionamento de máquinas virtuais de início confiável e Windows Confidencial. | AuditIfNotExists, desabilitado | 3.1.0 – versão prévia |
[Versão prévia]: As máquinas Linux devem atender aos requisitos da linha de base de segurança do Azure para hosts Docker | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. O computador não está configurado corretamente para uma das recomendações na linha de base de segurança do Azure para hosts Docker. | AuditIfNotExists, desabilitado | 1.2.0 – versão prévia |
[Versão prévia]: os computadores Linux devem atender aos requisitos de conformidade do STIG para a computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não estiver configurado corretamente para uma das recomendações nos requisitos de conformidade do STIG para computação do Azure. A DISA (Agência de Sistemas de Informações de Defesa) fornece guias técnicos STIG (Guia de Implementação Técnica de Segurança) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para obter mais detalhes, acesse https://public.cyber.mil/stigs/. | AuditIfNotExists, desabilitado | 1.2.0 – versão prévia |
[Versão prévia]: computadores do Linux com OMI instalado devem ter a versão 1.6.8-1 ou posterior | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Devido a uma correção de segurança incluída na versão 1.6.8-1 do pacote OMI para Linux, todos os computadores devem ser atualizados para a versão mais recente. Atualize aplicativos/pacotes que usam o OMI para resolver o problema. Para obter mais informações, consulte https://aka.ms/omiguidance. | AuditIfNotExists, desabilitado | 1.2.0 – versão prévia |
[Versão prévia]: as máquinas virtuais do Linux devem usar somente componentes de inicialização confiáveis e assinados | Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por fornecedores confiáveis. O Defender para Nuvem identificou componentes de inicialização de sistema operacional não confiáveis em um ou mais de seus computadores Linux. Para proteger seus computadores contra componentes potencialmente mal-intencionados, adicione-os à lista de permissão ou remova os componentes identificados. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: as máquinas virtuais do Linux devem usar a Inicialização Segura | Para proteger contra a instalação de rootkits baseados em malware e kits de inicialização, habilite a Inicialização Segura em máquinas virtuais do Linux compatíveis. A Inicialização segura garante que somente os drivers e sistemas operacionais assinados tenham permissão para serem executados. Essa avaliação só se aplica a máquinas virtuais do Linux com o agente do Azure Monitor instalado. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas | Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada. | AuditIfNotExists, desabilitado | 2.0.1 – versão prévia |
[Versão prévia]: os computadores devem ter portas fechadas que possam expor vetores de ataque | Os termos de uso do Azure proíbem o uso de serviços do Azure de maneiras que possam danificar, desabilitar, sobrecarregar ou prejudicar qualquer servidor da Microsoft ou a rede. As portas expostas identificadas por essa recomendação precisam ser fechadas para a manutenção da sua segurança. Para cada porta identificada, a recomendação também fornece uma explicação da ameaça potencial. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: os discos gerenciados devem ser com resiliência de zona | Os discos gerenciados podem ser configurados para ser alinhados à zona, ter redundância de zona ou nenhum dos dois. Os discos gerenciados com exatamente uma atribuição de zona são alinhados à zona. Os discos gerenciados com um nome de sku que termina em ZRS são com redundância de zona. Essa política ajuda a identificar e impor essas configurações de resiliência para Discos Gerenciados. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desabilitado | 1.0.2 – versão prévia |
[Versão prévia]: a Inicialização Segura deve estar habilitada em máquinas virtuais Windows compatíveis | Habilite a Inicialização Segura nas máquinas virtuais do Windows compatíveis para atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. Essa avaliação se aplica às máquinas virtuais do Windows Confidenciais e de Início Confiável. | Audit, desabilitado | 4.0.0 – versão prévia |
[Versão prévia]: Definir o pré-requisito para agendar atualizações recorrentes nas máquinas virtuais do Azure. | Esta política definirá o pré-requisito necessário para agendar atualizações recorrentes no Gerenciador de Atualizações do Azure, configurando a orquestração de patches para 'Agendamentos Gerenciados pelo Cliente'. Essa alteração definirá automaticamente o modo de patch para 'AutomaticByPlatform' e habilitará 'BypassPlatformSafetyChecksOnUserSchedule' para 'True' nas VMs do Azure. O pré-requisito não é aplicável para servidores habilitados para Arc. Saiba mais - https://video2.skills-academy.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, desabilitado | 1.1.0 – versão prévia |
[Versão prévia]: os Conjuntos de Dimensionamento de Máquinas Virtuais devem ter Resiliência de zona | Os Conjuntos de Dimensionamento de Máquinas Virtuais podem ser configurados para ser Alinhados à Zona, ter Redundância de Zona ou nenhum dos dois. Os Conjuntos de Dimensionamento de Máquinas Virtuais que têm exatamente uma entrada na matriz de zonas são considerados Alinhados à Zona. Por outro lado, Conjuntos de Dimensionamento de Máquinas Virtuais com 3 ou mais entradas em sua matriz de zonas e uma capacidade de pelo menos 3 são reconhecidos como tendo Redundância de zona. Essa política ajuda a identificar e impor essas configurações de resiliência. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: o status de atestado de convidado de máquinas virtuais deve ser íntegro | O atestado de convidado é executado enviando um TCGLog (log confiável) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Essa avaliação destina-se a detectar comprometimentos da cadeia de inicialização que podem ser o resultado de uma infecção do kit de inicialização ou do rootkit. Essa avaliação só se aplica a máquinas virtuais habilitadas para Início Confiável que têm a extensão de Atestado de Convidado instalada. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: as máquinas virtuais devem ser Alinhadas à zona | As máquinas virtuais podem ser configuradas para serem Alinhadas à zona ou não. Elas serão consideradas Alinhadas à Zona se tiverem apenas uma entrada na matriz de zonas. Essa política garante que elas estejam configuradas para operar em uma única zona de disponibilidade. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: o vTPM deve estar habilitado nas máquinas virtuais compatíveis | Habilite o dispositivo TPM virtual em máquinas virtuais compatíveis para facilitar Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para início confiável. | Audit, desabilitado | 2.0.0-preview |
[Versão prévia]: os computadores Windows devem atender aos requisitos de conformidade do STIG para computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações nos requisitos de conformidade do STIG para computação do Azure. A DISA (Agência de Sistemas de Informações de Defesa) fornece guias técnicos STIG (Guia de Implementação Técnica de Segurança) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para obter mais detalhes, acesse https://public.cyber.mil/stigs/. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
SKUs de tamanho de máquina virtual permitidos | Esta política permite especificar um conjunto de SKUs de tamanho de máquina virtual que sua organização pode implantar. | Negar | 1.0.1 |
Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desabilitado | 3.1.0 |
Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | AuditIfNotExists, desabilitado | 3.1.0 |
Auditar os computadores Linux que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro não estão instalados. | AuditIfNotExists, desabilitado | 4.2.0 |
Auditar os computadores Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem contas sem senhas | AuditIfNotExists, desabilitado | 3.1.0 |
Auditar os computadores Linux que têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro estão instalados. | AuditIfNotExists, desabilitado | 4.2.0 |
Auditar a postura de segurança SSH para Linux (powered by OSConfig) | Essa política audita a configuração de segurança do servidor SSH em computadores Linux (VMs do Azure e computadores habilitados para Arc). Para obter mais informações, incluindo pré-requisitos, configurações no escopo, padrões e personalização, consulte https://aka.ms/SshPostureControlOverview | AuditIfNotExists, desabilitado | 1.0.1 |
Auditar máquinas virtuais sem a recuperação de desastre configurada | Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Auditar VMs que não usam discos gerenciados | Essa política audita VMs que não usam discos gerenciados | auditoria | 1.0.0 |
Auditar computadores Windows que não têm membros especificados no Grupo de administradores | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local não contiver um ou mais membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
Auditar a conectividade de rede de computadores Windows | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se um status de conexão de rede para um IP e a porta TCP não corresponderem ao parâmetro de política. | auditIfNotExists | 2.0.0 |
Auditar computadores Windows nos quais a configuração DSC não está em conformidade | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o comando Get-DSCConfigurationStatus do Windows PowerShell retornar que a configuração DSC do computador não está em conformidade. | auditIfNotExists | 3.0.0 |
Auditar os computadores Windows nos quais o agente do Log Analytics não esteja conectado conforme o esperado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o agente não estiver instalado e nem se ele estiver instalado, mas o objeto COM AgentConfigManager.MgmtSvcCfg retornar que ele está registrado em um workspace diferente da ID especificada no parâmetro de política. | auditIfNotExists | 2.0.0 |
Auditar computadores Windows nos quais os serviços especificados não estão instalados e 'Em execução' | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o resultado do comando Get-Service do Windows PowerShell não incluir o nome do serviço com o status correspondente, conforme especificado pelo parâmetro de política. | auditIfNotExists | 3.0.0 |
Auditar computadores Windows nos quais o Console Serial do Windows não está habilitado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não tiver o software do Console Serial instalado ou se o número da porta do EMS ou a taxa de transmissão não estiverem configurados com os mesmos valores que os dos parâmetros da política. | auditIfNotExists | 3.0.0 |
Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desabilitado | 2.1.0 |
Auditar os computadores Windows que não ingressaram no domínio especificado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o valor da propriedade de Domínio na classe WMI win32_computersystem não corresponder ao valor no parâmetro de política. | auditIfNotExists | 2.0.0 |
Auditar os computadores Windows que não estão definidos para o fuso horário especificado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o valor da propriedade StandardName na classe WMI Win32_TimeZone não corresponder ao fuso horário selecionado para o parâmetro de política. | auditIfNotExists | 3.0.0 |
Auditar os computadores Windows que contêm certificados que expiram dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os certificados no repositório especificado tiverem uma data de validade fora do intervalo para o número de dias fornecido como parâmetro. A política também fornece a opção de verificar apenas certificados específicos ou excluir certificados específicos e se certificados expirados serão relatados. | auditIfNotExists | 2.0.0 |
Auditar os computadores Windows que não contêm os certificados especificados na Raiz Confiável | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o repositório de certificados Raiz Confiável do computador (Cert:\LocalMachine\Root) não contiver um ou mais certificados listados pelo parâmetro de política. | auditIfNotExists | 3.0.0 |
Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias | AuditIfNotExists, desabilitado | 2.1.0 |
Auditar computadores Windows que não têm a idade mínima da senha definida como o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se computadores Windows não têm a idade mínima da senha definida como o número especificado de dias. O valor padrão para a idade mínima da senha é 1 dia | AuditIfNotExists, desabilitado | 2.1.0 |
Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não têm a configuração de complexidade de senha habilitada | AuditIfNotExists, desabilitado | 2.0.0 |
Faça auditoria dos computadores Windows que não têm a política de execução do Windows PowerShell especificada | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o comando Get-ExecutionPolicy do Windows PowerShell retornar um valor diferente do que foi selecionado no parâmetro de política. | AuditIfNotExists, desabilitado | 3.0.0 |
Faça auditoria dos computadores Windows que não têm os módulos do Windows PowerShell especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se um módulo não estiver disponível em um local especificado pela variável de ambiente PSModulePath. | AuditIfNotExists, desabilitado | 3.0.0 |
Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desabilitado | 2.1.0 |
Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível | AuditIfNotExists, desabilitado | 2.0.0 |
Auditar os computadores Windows que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o nome do aplicativo não for encontrado em nenhum dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
Auditar os computadores Windows que têm contas extras no Grupo de administradores | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local contiver membros que não estejam listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
Auditar os computadores Windows que não foram reiniciados dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se a propriedade WMI LastBootUpTime na classe Win32_Operatingsystem estiver fora do intervalo de dias fornecido pelo parâmetro de política. | auditIfNotExists | 2.0.0 |
Auditar os computadores Windows que têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o nome do aplicativo for encontrado em algum dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
Auditar computadores Windows que têm os membros especificados no Grupo de administradores | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local contiver um ou mais membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
Auditar as VMs do Windows com uma reinicialização pendente | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador tiver uma reinicialização pendente por qualquer um dos seguintes motivos: serviço baseado em componentes, Windows Update, renomeação de arquivo pendente, renomeação de computador pendente, reinicialização pendente do Configuration Manager. Cada detecção tem um caminho do Registro exclusivo. | auditIfNotExists | 2.0.0 |
A autenticação para computadores Linux deve exigir chaves SSH | Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desabilitado | 3.2.0 |
O Backup do Azure deve ser habilitado para máquinas virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ser configuradas com segurança | Proteja suas instâncias de função dos Serviços de Nuvem (suporte estendido) contra ataques, garantindo que elas não sejam expostas a vulnerabilidades do sistema operacional. | AuditIfNotExists, desabilitado | 1.0.0 |
As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ter uma solução de proteção de ponto de extremidade instalada | Proteja suas instâncias de função dos Serviços de Nuvem (suporte estendido) contra ameaças e vulnerabilidades, garantindo que uma solução de proteção de ponto de extremidade seja instalada nelas. | AuditIfNotExists, desabilitado | 1.0.0 |
As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ter atualizações do sistema instaladas | Proteja suas instâncias de função dos Serviços de Nuvem (suporte estendido), garantindo que as mais recentes atualizações críticas e de segurança sejam instaladas nelas. | AuditIfNotExists, desabilitado | 1.0.0 |
Configurar o Azure Defender para servidores a ser desabilitado para todos os recursos (nível de recurso) | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política desabilitará o plano do Defender para servidores para todos os recursos (VMs, VMSSs e Máquinas de ARC), no escopo selecionado (assinatura ou grupo de recursos). | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar o Azure Defender para servidores a ser desabilitado para recursos (nível de recurso) com a marca selecionada | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política desabilitará o plano do Defender para servidores para todos os recursos (VMs, VMSSs e Máquinas de ARC), que têm o nome e os valores da marca selecionados. | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar o Azure Defender para servidores a ser habilitado (subplano 'P1'), para todos os recursos (nível de recurso) com a marca selecionada | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política habilitará o plano do Defender para servidores (com subplano 'P1'), para todos os recursos (VMs e Máquinas de ARC) que têm o nome da marca e os valores de marca selecionados. | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar o Azure Defender para servidores a ser habilitado (com o subplano 'P1'), para todos os recursos (nível de recurso) | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política habilitará o plano do Defender para servidores (com subplano 'P1'), para todos os recursos (VMs e Máquinas de ARC), no escopo selecionado (assinatura ou grupo de recursos). | DeployIfNotExists, desabilitado | 1.0.0 |
Configure o backup em máquinas virtuais com uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão | Impor o backup a todas as máquinas virtuais implantando um cofre dos Serviços de Recuperação na mesma localização e no mesmo grupo de recursos da máquina virtual. É útil fazer isso quando diferentes equipes de aplicativo na sua organização recebem grupos de recursos separados e precisam gerenciar restaurações e backups próprios. Opcionalmente, você pode incluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.3.0 |
Configure o backup em máquinas virtuais com uma determinada tag para um cofre de serviços de recuperação existente no mesmo local | Imponha o backup a todas as máquinas virtuais fazendo backup delas em um cofre central dos Serviços de Recuperação existente na mesma localização e assinatura da máquina virtual. É útil fazer isso quando há uma equipe central na sua organização que gerencia os backups de todos os recursos em uma assinatura. Opcionalmente, você pode incluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.3.0 |
Configure o backup em máquinas virtuais sem uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão | Impor o backup a todas as máquinas virtuais implantando um cofre dos Serviços de Recuperação na mesma localização e no mesmo grupo de recursos da máquina virtual. É útil fazer isso quando diferentes equipes de aplicativo na sua organização recebem grupos de recursos separados e precisam gerenciar restaurações e backups próprios. Opcionalmente, você pode excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.3.0 |
Configurar o backup em máquinas virtuais sem uma marca especificada para um cofre dos Serviços de Recuperação existente na mesma localização | Imponha o backup a todas as máquinas virtuais fazendo backup delas em um cofre central dos Serviços de Recuperação existente na mesma localização e assinatura da máquina virtual. É útil fazer isso quando há uma equipe central na sua organização que gerencia os backups de todos os recursos em uma assinatura. Opcionalmente, você pode excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.3.0 |
Configurar a recuperação de desastres em máquinas virtuais habilitando a replicação por meio do Azure Site Recovery | As máquinas virtuais sem configurações de recuperação de desastre são vulneráveis a interrupções. Se a máquina virtual ainda não tivesse a recuperação de desastre configurada, isso iniciaria a mesma coisa habilitando a replicação usando configurações predefinidas para facilitar a continuidade dos negócios. Opcionalmente, você pode incluir/excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. | DeployIfNotExists, desabilitado | 2.1.0 |
Configurar recursos de acesso ao disco com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento dos pontos de extremidade privados para os recursos de acesso ao disco, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar Computadores Linux para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a associação para vincular máquinas virtuais do Linux, conjuntos de dimensionamento de máquinas virtuais e computadores Arc à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 6.5.1 |
Configure o Linux Server para desabilitar usuários locais. | Cria uma atribuição de Configuração de Convidado para configurar a desabilitação de usuários locais no Linux Server. Isso garante que os Linux Servers só possam ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, aprimorando a postura geral de segurança. | DeployIfNotExists, desabilitado | 1.3.0-preview |
Configurar Conjuntos de Dimensionamento de Máquinas Virtuais do Linux para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a associação para vincular conjuntos de dimensionamento de máquinas virtuais do Linux à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 4.4.1 |
Configurar conjuntos de dimensionamento de máquinas Virtuais do Linux para executar o Agente do Azure Monitor com autenticação baseada em identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão do Agente do Azure Monitor em seus conjuntos de dimensionamento de máquinas virtuais Linux para coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 3.6.0 |
Configurar conjuntos de dimensionamento de máquinas virtuais do Linux para executar o Agente do Azure Monitor com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Agente do Azure Monitor em seus conjuntos de dimensionamento de máquinas virtuais Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 3.8.0 |
Configurar Máquinas Virtuais do Linux para serem associadas a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a associação para vincular computadores virtuais do Linux à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 4.4.1 |
Configurar máquinas virtuais do Linux para executar o Agente do Azure Monitor com autenticação baseada em identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais Linux para coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 3.6.0 |
Configurar máquinas virtuais do Linux para executar o Agente do Azure Monitor com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 3.8.0 |
Configurar os computadores para receber um provedor de avaliação de vulnerabilidade | O Azure Defender inclui uma verificação de vulnerabilidades para seus computadores sem custo adicional. Você não precisa de uma licença do Qualys nem de uma conta do Qualys: tudo é tratado diretamente na Central de Segurança. Quando você habilita essa política, o Azure Defender implanta automaticamente o agente de avaliação de vulnerabilidade do Qualys em todos os computadores compatíveis que ainda não o instalaram. | DeployIfNotExists, desabilitado | 4.0.0 |
Configurar discos gerenciados para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu recurso de disco gerenciado para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Modificar, Desabilitado | 2.0.0 |
Configurar a verificação periódica de atualizações do sistema ausentes nas máquinas virtuais do Azure | Configure a avaliação automática (a cada 24 horas) para atualizações do sistema operacional em máquinas virtuais nativas do Azure. Você pode controlar o escopo da atribuição de acordo com a assinatura do computador, o grupo de recursos, o local ou a marca. Saiba mais sobre isso para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
Configurar protocolos de comunicação segura (TLS 1.1 ou TLS 1.2) em computadores Windows | Cria uma atribuição de Configuração de Convidado para configurar a versão especificada do protocolo seguro (TLS 1.1 ou TLS 1.2) no computador Windows. | DeployIfNotExists, desabilitado | 1.0.1 |
Configurar as Máquinas Virtuais do SQL para instalar automaticamente o Agente do Azure Monitor | Automatize a implantação da extensão do Agente do Azure Monitor nas suas Máquinas Virtuais do SQL do Windows. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.5.0 |
Configurar as Máquinas Virtuais do SQL para instalar automaticamente o Microsoft Defender para SQL | Configure as Máquinas Virtuais do SQL do Windows para instalar automaticamente a extensão Microsoft Defender para SQL. O Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas personalizadas de reforço de proteção (recomendações). | DeployIfNotExists, desabilitado | 1.5.0 |
Configurar a postura de segurança SSH para Linux (desenvolvido pela OSConfig) | Essa política audita e configura a configuração de segurança do servidor SSH em computadores Linux (VMs do Azure e computadores habilitados para Arc). Para obter mais informações, incluindo pré-requisitos, configurações no escopo, padrões e personalização, consulte https://aka.ms/SshPostureControlOverview | DeployIfNotExists, desabilitado | 1.0.1 |
Configurar o fuso horário nos computadores Windows. | Esta política cria uma atribuição de Configuração de Convidado para definir o fuso horário especificado nas máquinas virtuais do Windows. | deployIfNotExists | 2.1.0 |
Configurar máquinas virtuais a serem ingressadas no Gerenciamento Automatizado do Azure | O Gerenciamento Automatizado do Azure registra, configura e monitora as máquinas virtuais com as melhores práticas, conforme definido no Microsoft Cloud Adoption Framework para o Azure. Use esta política para aplicar o Autogerenciamento ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desabilitado | 2.4.0 |
Configurar máquinas virtuais para serem integradas ao Gerenciamento Automatizado do Azure com perfil de configuração personalizado | O Gerenciamento Automatizado do Azure registra, configura e monitora as máquinas virtuais com as melhores práticas, conforme definido no Microsoft Cloud Adoption Framework para o Azure. Use esta política para aplicar o Gerenciamento Automatizado com seu próprio Perfil de Configuração personalizado ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.4.0 |
Configurar as Computadores Windows para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a associação para vincular máquinas virtuais do Windows, conjuntos de dimensionamento de máquinas virtuais e computadores Arc à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 4.5.1 |
Configurar Conjuntos de Dimensionamento de Máquinas Virtuais do Windows para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a associação para vincular conjuntos de dimensionamento de máquinas virtuais do Windows à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 3.3.1 |
Configurar os conjuntos de dimensionamento de máquinas virtuais do Windows para executar o Agente do Azure Monitor usando a identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão do Agente do Azure Monitor em seus conjuntos de dimensionamento de máquinas virtuais Windows para coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 3.4.0 |
Configurar os conjuntos de dimensionamento de máquinas virtuais do Windows para executar o Agente do Azure Monitor com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Agente do Azure Monitor em seus conjuntos de dimensionamento de máquinas virtuais Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.6.0 |
Configurar Máquinas Virtuais do Windows para serem associadas a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a associação para vincular computadores virtuais do Windows à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 3.3.1 |
Configurar as máquinas virtuais do Windows para executar o Agente do Azure Monitor usando a identidade gerenciada atribuída pelo sistema | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais Windows para coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 4.4.0 |
Configurar as máquinas virtuais do Windows para executar o Agente do Azure Monitor com autenticação baseada em identidade gerenciada atribuída pelo usuário | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.6.0 |
Criar e atribuir uma identidade gerenciada interna atribuída pelo usuário | Crie e atribua identidades gerenciadas integradas atribuídas pelo usuário às máquinas virtuais do SQL em larga escala. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.7.0 |
O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas | Relata máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. | AuditIfNotExists, desabilitado | 2.0.0 |
O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas | Relata os conjuntos de dimensionamento de máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. | AuditIfNotExists, desabilitado | 2.0.0 |
Implantar – Configurar o Dependency Agent para ser habilitado em conjuntos de dimensionamento de máquinas virtuais do Windows | Implante o Dependency Agent em conjuntos de dimensionamento de máquinas virtuais do Windows, caso a imagem da máquina virtual esteja na lista definida e o agente não esteja instalado. Caso o conjunto de dimensionamento upgradePolicy seja definido como Manual, será preciso aplicar uma extensão a todas as máquinas virtuais do conjunto, executando uma atualização delas. | DeployIfNotExists, desabilitado | 3.2.0 |
Implantar – Configurar o Dependency Agent para ser habilitado em máquinas virtuais do Windows | Implante o Dependency Agent em máquinas virtuais do Windows, caso a imagem da máquina virtual esteja na lista definida e o agente não esteja instalado. | DeployIfNotExists, desabilitado | 3.2.0 |
Implantar – configure a extensão do Log Analytics a ser habilitada em conjuntos de dimensionamento de máquinas virtuais do Windows | Implante a extensão do Log Analytics nos conjuntos de dimensionamento de máquinas virtuais Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Caso o conjunto de dimensionamento upgradePolicy seja definido como Manual, será preciso aplicar uma extensão a todas as máquinas virtuais do conjunto, executando uma atualização delas. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desabilitado | 3.1.0 |
Implantar - Configurar a extensão do Log Analytics para ser habilitada em máquinas virtuais Windows | Implante a extensão do Log Analytics nas máquinas virtuais do Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desabilitado | 3.1.0 |
Implantar a extensão padrão antimalware de IaaS da Microsoft para Windows Server | Essa política implanta uma extensão IaaSAntimalware da Microsoft com uma configuração padrão quando uma VM não está configurada com a extensão antimalware. | deployIfNotExists | 1.1.0 |
Implantar o Dependency Agent em conjuntos de dimensionamento de máquinas virtuais do Linux | Implantar o Dependency Agent nos conjuntos de dimensionamento de máquinas virtuais do Linux se a imagem da VM (sistema operacional) estiver na lista definida e o agente não estiver instalado. Observação: se o conjunto de dimensionamento upgradePolicy for definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais no conjunto chamando a atualização nelas. Na CLI, isso seria az vmss update-instances. | deployIfNotExists | 5.1.0 |
Implante o Dependency Agent no conjuntos de dimensionamento de máquinas virtuais do Linux com as configurações do Agente de Monitoramento do Azure | Implante o Dependency Agent no conjunto de dimensionamento de máquinas virtuais Linux com as configurações do Agente de Monitoramento do Azure se a Imagem da VM (OS) estiver na lista definida e o agente não estiver instalado. Observação: se o conjunto de dimensionamento upgradePolicy for definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais no conjunto chamando a atualização nelas. Na CLI, isso seria az vmss update-instances. | DeployIfNotExists, desabilitado | 3.2.0 |
Implantar o Dependency Agent nas máquinas virtuais do Linux | Implante o Dependency Agent nas máquinas virtuais do Linux se a Imagem de VM (SO) estiver na lista definida e o agente não estiver instalado. | deployIfNotExists | 5.1.0 |
Implante o Dependency Agent em máquinas virtuais Linux com configurações do Agente de Monitoramento do Azure | Implante o Dependency Agent em máquinas virtuais Linux com as configurações do Agente de Monitoramento do Azure se a Imagem da VM (OS) estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desabilitado | 3.2.0 |
Implante o Dependency Agent a ser habilitado nos conjuntos de dimensionamento de máquinas virtuais do Windows com as configurações do Agente de Monitoramento do Azure | Implante o Dependency Agent no conjunto de dimensionamento de máquinas virtuais do Windows com as configurações do Agente de Monitoramento do Azure se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. Caso o conjunto de dimensionamento upgradePolicy seja definido como Manual, será preciso aplicar uma extensão a todas as máquinas virtuais do conjunto, executando uma atualização delas. | DeployIfNotExists, desabilitado | 1.3.0 |
Implante o Dependency Agent para ser habilitado em máquinas virtuais do Windows com as configurações do Agente de Monitoramento do Azure | Implante o Dependency Agent em máquinas virtuais do Windows com as configurações do Agente de Monitoramento do Azure se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. | DeployIfNotExists, desabilitado | 1.3.0 |
Implante a extensão do Log Analytics nos conjuntos de dimensionamento de máquinas virtuais do Linux. Confira o aviso de preterição abaixo | Implantar a extensão do Log Analytics em conjuntos de dimensionamento de máquinas virtuais Linux se a imagem da VM (sistema operacional) estiver na lista definida e a extensão não estiver instalado. Observação: se o conjunto de dimensionamento upgradePolicy for definido como Manual, você precisará aplicar a extensão para todas as VMs no conjunto ao chamar o upgrade nelas. Na CLI, isso seria az vmss update-instances. Aviso de preterição: o agente do Log Analytics não terá suporte após 31 de agosto de 2024. Você precisa migrar para o 'agente do Azure Monitor' de substituição antes dessa data | deployIfNotExists | 3.0.0 |
Implante a extensão do Log Analytics para VMs do Linux. Confira o aviso de preterição abaixo | Implante a extensão do Log Analytics nas VMs do Linux se a Imagem de VM (SO) estiver na lista definida e a extensão não estiver instalada. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você precisa migrar para o 'agente do Azure Monitor' de substituição antes dessa data | deployIfNotExists | 3.0.0 |
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Os recursos de acesso ao disco devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desabilitado | 1.0.0 |
Discos e imagem do sistema operacional devem dar suporte a TrustedLaunch | O TrustedLaunch aprimora a segurança de uma máquina virtual que exige que o disco do sistema operacional e a imagem do sistema operacional deem suporte a ela (Gen 2). Para saber mais sobre TrustedLaunch, visite https://aka.ms/trustedlaunch | Audit, desabilitado | 1.0.0 |
Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | Resolva problemas de integridade da proteção de ponto de extremidade em suas máquinas virtuais para protegê-las contra ameaças e vulnerabilidades mais recentes. As soluções de proteção de ponto de extremidade compatíveis com a Central de Segurança do Azure estão documentadas aqui: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação da proteção de ponto de extremidade está documentada aqui: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, desabilitado | 1.0.0 |
O Endpoint Protection deve ser instalado nos computadores | Para proteger seus computadores contra ameaças e vulnerabilidades, instale uma solução de proteção de ponto de extremidade com suporte. | AuditIfNotExists, desabilitado | 1.0.0 |
A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | Faça a auditoria da existência de uma solução de proteção de ponto de extremidade e da sua integridade nos seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades. | AuditIfNotExists, desabilitado | 3.0.0 |
A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.3 |
O Hotpatch deve estar habilitado para as VMs do Windows Server Azure Edition | Minimize as reinicializações e instale atualizações rapidamente com o hotpatch. Saiba mais em https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Deny, desabilitado | 1.0.0 |
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desabilitado | 2.2.0 |
Os computadores Linux devem ter apenas contas locais que sejam permitidas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Gerenciar contas de usuário usando o Azure Active Directory é uma melhor prática de gerenciamento de identidades. Reduzir contas de computador local ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. Os computadores não serão compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro da política. | AuditIfNotExists, desabilitado | 2.2.0 |
Os conjunto de dimensionamento de máquinas virtuais Linux devem ter o Agente do Azure Monitor instalado | Os conjuntos de dimensionamento de máquinas virtuais Linux devem ser monitorados e protegidos por meio do Agente do Azure Monitor implantado. O Agente do Azure Monitor coleta dados de telemetria do sistema operacional convidado. Essa política fará a auditoria dos conjuntos de dimensionamento de máquinas virtuais com imagens do sistema operacional com suporte em regiões com suporte. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desabilitado | 3.3.0 |
As máquinas virtuais do Linux devem habilitar o Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma, discos de recurso (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use o Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite https://aka.ms/diskencryptioncomparison para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.2.1 |
As máquinas virtuais Linux devem ter o Agente do Azure Monitor instalado | As máquinas virtuais Linux devem ser monitoradas e protegidas por meio do agente do Azure Monitor implantado. O Agente do Azure Monitor coleta dados de telemetria do sistema operacional convidado. Essa política fará a auditoria das máquinas virtuais com imagens do sistema operacional com suporte em regiões com suporte. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desabilitado | 3.3.0 |
Os métodos de autenticação local devem ser desativados em máquinas Linux | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os servidores Linux não tiverem métodos de autenticação local desabilitados. Isso garante que os Linux Servers só possam ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, aprimorando a postura geral de segurança. | AuditIfNotExists, desabilitado | 1.2.0 – versão prévia |
Os métodos de autenticação local devem ser desativados nos servidores Windows | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os servidores Windows não tiverem métodos de autenticação local desabilitados. Isso serve para validar que os Windows Servers só podem ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, aprimorando a postura geral de segurança. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
O agente do Log Analytics deve ser instalado nas suas instâncias de função dos Serviços de Nuvem (suporte estendido) | A Central de Segurança coleta dados das instâncias de função dos Serviços de Nuvem (suporte estendido) para monitorar vulnerabilidades e ameaças à segurança. | AuditIfNotExists, desabilitado | 2.0.0 |
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas | Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. | AuditIfNotExists, desabilitado | 2.0.1 |
Os computadores devem ser configurados para verificar periodicamente se há atualizações do sistema ausentes | Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam disparadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, desabilitado | 3.7.0 |
Os computadores devem ter as descobertas secretas resolvidas | Audita máquinas virtuais para detectar se elas contêm descobertas secretas das soluções de verificação do segredo em suas máquinas virtuais. | AuditIfNotExists, desabilitado | 1.0.2 |
Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma | Os clientes confidenciais de alta segurança que estão preocupados com o risco associado a qualquer determinado algoritmo de criptografia, implementação ou chave sendo comprometido podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar a criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. | Audit, Deny, desabilitado | 1.0.0 |
Os discos gerenciados devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que um disco gerenciado não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos discos gerenciados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Audit, desabilitado | 2.0.0 |
Os discos gerenciados devem usar um conjunto específico de conjuntos de criptografia de disco para a criptografia de chave gerenciada pelo cliente | A exigência de um conjunto específico de conjuntos de criptografia de disco a ser usado com discos gerenciados oferece controle sobre as chaves usadas para criptografia em repouso. Você pode selecionar os conjuntos criptografados permitidos, e todos os outros são rejeitados quando anexados a um disco. Saiba mais em https://aka.ms/disks-cmk. | Audit, Deny, desabilitado | 2.0.0 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
O Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | Essa política audita qualquer máquina virtual do Windows não configurada com a atualização automática das assinaturas de proteção Microsoft Antimalware. | AuditIfNotExists, desabilitado | 1.0.0 |
A extensão IaaSAntimalware da Microsoft deve ser implantada em servidores do Windows | Essa política audita qualquer VM de servidor do Windows sem a extensão IaaSAntimalware da Microsoft implantada. | AuditIfNotExists, desabilitado | 1.1.0 |
Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
Somente as extensões aprovadas da VM devem ser instaladas | Essa política rege as extensões da máquina virtual que não foram aprovadas. | Audit, Deny, desabilitado | 1.0.0 |
O sistema operacional e os discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. | Audit, Deny, desabilitado | 3.0.0 |
Os pontos de extremidade privados para atribuições de configuração de convidado devem ser habilitados | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada à configuração de convidado para máquinas virtuais. As máquinas virtuais não estarão em conformidade, a menos que tenham a marca 'EnablePrivateNetworkGC'. Essa marca impõe a comunicação segura por meio da conectividade privada com a configuração de convidado para máquinas virtuais. A conectividade privada limita o acesso ao tráfego proveniente somente de redes conhecidas e impede o acesso de todos os outros endereços IP, incluindo no Azure. | Audit, Deny, desabilitado | 1.1.0 |
Proteja seus dados com requisitos de autenticação ao exportar ou fazer upload em um disco ou instantâneo. | Quando a URL de exportação/upload é usada, o sistema verifica se o usuário tem uma identidade no Azure Active Directory e tem as permissões necessárias para exportar/fazer upload dos dados. Consulte aka.ms/DisksAzureADAuth. | Modificar, Desabilitado | 1.0.0 |
Exigir a aplicação automática de patch da imagem do sistema operacional em Conjuntos de Dimensionamento de Máquinas Virtuais | Essa política impõe a habilitação do patch automático da imagem do sistema operacional nos Conjuntos de Dimensionamento de Máquinas Virtuais para que as máquinas virtuais estejam sempre protegidas por meio da aplicação segura dos patches de segurança mais recentes mensalmente. | deny | 1.0.0 |
Agendar atualizações recorrentes usando o Gerenciador de Atualizações do Azure | Você pode usar o Gerenciador de Atualizações do Azure no Azure para salvar as programações de implantação recorrentes para instalar atualizações do sistema operacional nos computadores Windows Server e Linux no Azure, em ambientes locais e em outros ambientes na nuvem conectados usando servidores habilitados para o Azure Arc. Essa política também alterará o modo de patch da Máquina Virtual do Azure para 'AutomaticByPlatform'. Confira mais: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, desabilitado | 3.12.0 |
Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
As atualizações do sistema devem ser instaladas em seus computadores (da plataforma de atualização) | As atualizações de sistema, segurança e críticas estão ausentes em seus computadores. As atualizações de software geralmente incluem patches críticos para brechas de segurança. Essas brechas costumam ser exploradas em ataques de malware, portanto, é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger seus computadores, siga as etapas de correção. | AuditIfNotExists, desabilitado | 1.0.1 |
A extensão do Log Analytics herdada não deverá ser instalada nos conjuntos de dimensionamento de máquinas virtuais Linux | Impedir automaticamente a instalação do Agente do Log Analytics herdado como a etapa final da migração dos agentes herdados para o Agente do Azure Monitor. Após você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão do agente herdado nos conjuntos de dimensionamento de máquinas virtuais Linux. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desabilitado | 1.0.0 |
A extensão herdada do Log Analytics não deverá ser instalada em máquinas virtuais Linux | Impedir automaticamente a instalação do Agente do Log Analytics herdado como a etapa final da migração dos agentes herdados para o Agente do Azure Monitor. Após você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão do agente herdado em máquinas virtuais Linux. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desabilitado | 1.0.0 |
A extensão do Log Analytics herdada não deverá ser instalada nos conjuntos de dimensionamento de máquinas virtuais | Impedir automaticamente a instalação do Agente do Log Analytics herdado como a etapa final da migração dos agentes herdados para o Agente do Azure Monitor. Após você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão do agente herdado nos conjuntos de dimensionamento de máquinas virtuais do Windows. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desabilitado | 1.0.0 |
A extensão do Log Analytics herdada não deverá ser instalada em máquinas virtuais | Impedir automaticamente a instalação do Agente do Log Analytics herdado como a etapa final da migração dos agentes herdados para o Agente do Azure Monitor. Depois que você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão de agente herdada nas máquinas virtuais do Windows. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desabilitado | 1.0.0 |
A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquinas Virtuais | Esta política audita os Conjuntos de Dimensionamento de Máquinas Virtuais do Windows ou do Linux nos quais a extensão do Log Analytics não está instalada. | AuditIfNotExists, desabilitado | 1.0.1 |
A Máquina Virtual deve ter TrustedLaunch habilitado | Habilite TrustedLaunch na Máquina Virtual para maior segurança, use a SKU da VM (Gen 2) que dá suporte ao TrustedLaunch. Para saber mais sobre TrustedLaunch, visite https://video2.skills-academy.com/en-us/azure/virtual-machines/trusted-launch | Audit, desabilitado | 1.0.0 |
As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Audit, Deny, desabilitado | 1.0.0 |
As máquinas virtuais devem estar conectadas a um workspace especificado | Informa as máquinas virtuais como sem conformidade quando elas não estão sendo registradas no log do workspace do Log Analytics especificado na atribuição de política ou de iniciativa. | AuditIfNotExists, desabilitado | 1.1.0 |
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança | Audit, Deny, desabilitado | 1.0.0 |
As máquinas virtuais devem ter a extensão do Log Analytics instalada | Esta política audita as máquinas virtuais do Windows ou do Linux nas quais a extensão do Log Analytics não está instalada. | AuditIfNotExists, desabilitado | 1.0.1 |
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). | AuditIfNotExists, desabilitado | 2.0.0 |
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists, desabilitado | 4.1.1 |
Os computadores Windows devem configurar o Windows Defender para atualizar assinaturas de proteção em até um dia | Para fornecer proteção adequada contra malwares recém-lançados, as assinaturas de proteção do Windows Defender precisam ser atualizadas regularmente para considerá-los. Essa política não foi aplicada nos servidores conectados ao Arc e requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.1 |
Os computadores Windows devem habilitar a proteção em tempo real do Windows Defender | Os computadores Windows devem habilitar a proteção em tempo real no Windows Defender para fornecer proteção adequada contra malware recém-lançado. Essa política não é aplicável aos servidores conectados ao Arc e requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.1 |
Os computadores Windows devem atender aos requisitos de 'Modelos Administrativos – Painel de Controle' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – Painel de Controle' para personalização de entrada e prevenção de habilitação de telas de bloqueio. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Modelos Administrativos – MSS (Herdado)' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – MSS (Herdado)' para logon automático, proteção de tela, comportamento de rede, DLL segura e log de eventos. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Modelos Administrativos – Rede' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – Rede' para logons de convidado, conexões simultâneas, ponte de rede, ICS e resolução de nomes multicast. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Modelos Administrativos – Sistema' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – Sistema' para as configurações que controlam a experiência administrativa e a Assistência Remota. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Contas' | Os computadores Windows devem ter as configurações da Política de Grupo especificadas na categoria 'Opções de Segurança – Contas' para limitar o uso da conta local de senhas em branco e o status da conta convidado. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Auditoria' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Auditoria' para impor a subcategoria da política de auditoria e o desligamento se não for possível registrar em log as auditorias de segurança. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Dispositivos' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Dispositivos' para desencaixar sem fazer logon, instalar drivers de impressão e formatar/ejetar mídia. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Logon Interativo' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Logon Interativo' para exibir o nome do último usuário e exigir Ctrl-Alt-Del. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Cliente de Rede da Microsoft' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Cliente de Rede da Microsoft' para o cliente/servidor de rede da Microsoft e o SMB v1. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Servidor de Rede da Microsoft' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Servidor de Rede da Microsoft' para desabilitar o servidor SMB v1. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Acesso à Rede' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Acesso à Rede' para incluir o acesso a usuários anônimos, contas locais e acesso remoto ao Registro. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Segurança de Rede' para incluir o comportamento do Sistema Local, PKU2U, LAN Manager, cliente LDAP e NTLM SSP. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Console de recuperação' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Console de recuperação' para permitir a cópia de disquete e o acesso a todas as unidades e pastas. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Desligamento' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Desligamento' para permitir o desligamento sem fazer logon e limpar o arquivo de paginação de memória virtual. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Objetos do sistema' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Objetos do sistema' para não diferenciação de maiúsculas e minúsculas para subsistemas que não são Windows e permissões de objetos internos do sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Configurações do sistema' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Configurações do sistema' para regras de certificado em executáveis para a política SRP e subsistemas opcionais. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Controle de Conta de Usuário' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Controle de Conta de Usuário' para o modo de administradores, o comportamento da solicitação de elevação e a virtualização de falhas de gravação de arquivo e no Registro. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Configurações de Segurança – Políticas de Conta' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Configurações de Segurança – Políticas de Conta' para histórico de senha, idade, comprimento, complexidade e armazenamento de senhas usando criptografia reversível. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Logon da Conta' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Logon da Conta' para auditoria da validação de credenciais e outros eventos de logon de conta. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Gerenciamento de Contas' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Gerenciamento de Contas' para auditoria de aplicativo, segurança e gerenciamento do grupo de usuários e outros eventos de gerenciamento. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' para auditoria de DPAPI, criação/encerramento de processos, eventos RPC e atividade PNP. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Logon/Logoff' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Logon-logoff' para auditoria de IPSec, política de rede, declarações, bloqueio de conta, associação de grupo e eventos de logon/logoff. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acesso de Objeto' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Acesso a Objeto' para auditoria de arquivo, Registro, SAM, armazenamento, filtragem, kernel e outros tipos de sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Alteração de Política' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Alteração de Política' para auditoria de alterações em políticas de auditoria do sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Uso de Privilégios' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Uso de Privilégios' para auditoria do uso não confidencial e outro uso de privilégio. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Sistema' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Sistema' para auditoria de driver IPsec, integridade do sistema, extensão do sistema, alteração de estado e outros eventos do sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Atribuição de Direitos do Usuário' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Atribuição de Direitos do Usuário' para permitir o logon local, o RDP, o acesso na rede e muitas outras atividades do usuário. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Componentes do Windows' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Componentes do Windows' para autenticação básica, tráfego não criptografado, contas Microsoft, telemetria, Cortana e outros comportamentos do Windows. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos de 'Propriedades do Firewall do Windows' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Propriedades do Firewall do Windows' para estado do firewall, conexões, gerenciamento de regras e notificações. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desabilitado | 2.0.0 |
Os computadores Windows devem ter apenas contas locais que sejam permitidas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Não há suporte a essa definição no Windows Server 2012 ou 2012 R2. Gerenciar contas de usuário usando o Azure Active Directory é uma melhor prática de gerenciamento de identidades. Reduzir contas de computador local ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. Os computadores não serão compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro da política. | AuditIfNotExists, desabilitado | 2.0.0 |
Os conjuntos de dimensionamento de máquinas virtuais Windows devem ter o Agente do Azure Monitor instalado | Os conjuntos de dimensionamento de máquinas virtuais Windows devem ser monitorados e protegidos por meio do Agente do Azure Monitor implantado. O Agente do Azure Monitor coleta dados de telemetria do sistema operacional convidado. Os conjuntos de dimensionamento de máquinas virtuais com sistema operacional com suporte e em regiões com suporte são monitorados para a implantação do Agente do Azure Monitor. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desabilitado | 3.2.0 |
As máquinas virtuais do Windows devem habilitar o Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma, discos de recurso (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use o Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite https://aka.ms/diskencryptioncomparison para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.1.1 |
As máquinas virtuais Windows devem ter o Agente do Azure Monitor instalado | As máquinas virtuais Windows devem ser monitoradas e protegidas por meio do Agente do Azure Monitor implantado. O Agente do Azure Monitor coleta dados de telemetria do sistema operacional convidado. As máquinas virtuais Windows com o sistema operacional com suporte e em regiões com suporte são monitoradas para a implantação do Agente do Azure Monitor. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desabilitado | 3.2.0 |
Microsoft.VirtualMachineImages
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os modelos do Construtor de Imagens de VM devem usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditoria, desabilitado, negação | 1.1.0 |
Microsoft.ClassicCompute
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
Auditar máquinas virtuais sem a recuperação de desastre configurada | Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | Resolva problemas de integridade da proteção de ponto de extremidade em suas máquinas virtuais para protegê-las contra ameaças e vulnerabilidades mais recentes. As soluções de proteção de ponto de extremidade compatíveis com a Central de Segurança do Azure estão documentadas aqui: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação da proteção de ponto de extremidade está documentada aqui: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, desabilitado | 1.0.0 |
O Endpoint Protection deve ser instalado nos computadores | Para proteger seus computadores contra ameaças e vulnerabilidades, instale uma solução de proteção de ponto de extremidade com suporte. | AuditIfNotExists, desabilitado | 1.0.0 |
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores devem ter as descobertas secretas resolvidas | Audita máquinas virtuais para detectar se elas contêm descobertas secretas das soluções de verificação do segredo em suas máquinas virtuais. | AuditIfNotExists, desabilitado | 1.0.2 |
Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança | Audit, Deny, desabilitado | 1.0.0 |
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.