расширение конфигурации Политика Azure компьютера

  • Статья

Вы можете использовать расширение конфигурации Политика Azure компьютера для аудита параметров конфигурации виртуальной машины. Конфигурация компьютера поддерживает виртуальные машины Azure в собственном коде. Физические серверы и виртуальные серверы, отличные от Azure Arc, поддерживаются с серверами с поддержкой Azure Arc, VMware vSphere или с поддержкой Azure Arc, диспетчер виртуальных машин System Center.

Чтобы найти список политик конфигурации компьютера, найдите конфигурацию компьютера на странице портала Политика Azure или выполните этот командлет в окне PowerShell, чтобы найти список:

Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Machine Configuration"}

Примечание.

Функции конфигурации компьютера регулярно обновляются для поддержки дополнительных наборов политик. Периодически проверяйте наличие новых поддерживаемых политик и оценивайте их полезность.

Развертывание

Используйте следующий пример скрипта PowerShell для развертывания этих политик и выполнения следующих задач:

  • проверка того, правильно ли настроены параметры защиты паролем на компьютерах Windows и Linux;
  • проверка срока действия сертификатов на виртуальных машинах Windows.

Перед выполнением этого скрипта используйте командлет Connect-AzAccount, чтобы войти в систему. При запуске скрипта необходимо указать имя подписки, к которой будут применяться политики.


    # Assign machine configuration policy.

    param (
        [Parameter(Mandatory=$true)]
        [string] $SubscriptionName
    )

    $Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
    $scope = "/subscriptions/" + $Subscription.Id

    $PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
    $CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"

    New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus

    New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus

Следующие шаги

Узнайте, как включить отслеживание и оповещение для критически важных изменений в файлах, службах, ПО и реестре.

Включение отслеживания и оповещения о критических изменениях