Azure 虚拟机的 Azure Policy 内置定义
适用于:✔️ Linux VM ✔️ Windows VM ✔️ 灵活规模集 ✔️ 统一规模集
此页是 Azure 虚拟机的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Microsoft.Compute
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:审核 Log Analytics 代理部署 - VM 映像 (OS) 未列出 | 如果 VM 映像 (OS) 不在定义的列表中且未安装代理,则报告 VM 不合规。 OS 映像列表将随着支持的更新而不断更新。 | auditIfNotExists | 1.0.0-preview |
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应该限制通过面向 Internet 的终结点进行访问 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够轻松地将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | Azure 安全中心会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 | AuditIfNotExists、Disabled | 2.0.0 |
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 1.0.0-preview |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 1.0.0-preview |
| 允许的虚拟机大小 SKU | 此策略可便于指定组织可部署的一组虚拟机大小 SKU。 | 拒绝 | 1.0.1 |
| 应更新自适应应用程序控制策略中的允许列表规则 | 监视配置为供 Azure 安全中心的自适应应用程序控制进行审核的计算机组是否有行为变化。 安全中心使用机器学习来分析计算机上的运行过程,并建议已知安全应用程序的列表。 这些应用程序作为推荐的应用显示,在自适应应用程序控制策略中允许使用。 | AuditIfNotExists、Disabled | 2.0.0 |
| 审核 Dependency Agent 部署 - VM 映像 (OS) 未列出 | 如果 VM 映像 (OS) 不在定义的列表中且未安装代理,则报告 VM 不合规。 OS 映像列表将随着支持的更新而不断更新。 | auditIfNotExists | 1.0.1 |
| 审核虚拟机规模集中的 Dependency Agent 部署 - VM 映像 (OS) 未列出 | 如果 VM 映像 (OS) 不在定义的列表中且未安装代理,则将虚拟机规模集报告为“不合规”。 OS 映像列表将随着支持的更新而不断更新。 | auditIfNotExists | 1.0.1 |
| 审核允许在没有密码的情况下从帐户进行远程连接的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核未使用 SSH 密钥进行身份验证的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机允许使用密码通过 SSH 进行身份验证,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0-preview |
| 审核没有将 passwd 文件权限设为 0644 的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核未安装指定应用程序的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Chef InSpec 资源指示未安装参数提供的一个或多个包,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核具有不使用密码的帐户的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核安装了指定应用程序的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Chef InSpec 资源指示安装了参数提供的一个或多个包,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核未启用 Linux 来宾配置扩展的 Linux 虚拟机 | 此策略审核托管在 Azure 中的 Linux 虚拟机,这些虚拟机受来宾配置支持但未启用来宾配置扩展。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核虚拟机规模集中的 Log Analytics 代理部署 - VM 映像 (OS) 未列出 | 如果 VM 映像 (OS) 不在定义的列表中且未安装代理,则将虚拟机规模集报告为“不合规”。 OS 映像列表将随着支持的更新而不断更新。 | auditIfNotExists | 1.0.1 |
| 审核 VM 的 Log Analytics 工作区 — 报告不匹配 | 如果 VM 未记录到策略/计划分配中指定的 Log Analytics 工作区,则将 VM 报告为“不合规”。 | 审核 | 1.0.1 |
| 审核未配置灾难恢复的虚拟机 | 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 审核未使用托管磁盘的 VM | 此策略审核未使用托管磁盘的 VM | 审核 | 1.0.0 |
| 审核缺少管理员组中任何指定成员的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组不包含策略参数中列出的一个或多个成员,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核 Windows 计算机网络连接 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 IP 和 TCP 端口的网络连接状态与策略参数不匹配,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核 DSC 配置不合规的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 返回计算机的 DSC 配置不合规,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核其 Log Analytics 代理未按预期连接的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果未安装代理,或者安装了代理,但 COM 对象 AgentConfigManager.MgmtSvcCfg 返回它已注册到策略参数中指定的 ID 以外的工作区,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核未安装指定的服务且“正在运行”的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-Service 的结果不包括具有策略参数指定的匹配状态的服务名称,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核未启用 Windows Defender 攻击防护的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 PowerShell 命令 Get-MPPreference 返回的配置详细信息与预期的值不匹配,则计算机不符合要求。 Windows Defender 攻击防护可帮助防范利用漏洞感染设备和进行传播的恶意软件。 攻击防护保护包含多项可应用于操作系统或单个应用的缓解操作。 | AuditIfNotExists、Disabled | 1.1.0-preview |
| 审核未启用 Windows 串行控制台的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未安装串行控制台软件,或没有为 EMS 端口号或波特率配置与策略参数相同的值,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核允许重用之前的 24 个密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许重用之前的 24 个密码,则计算机不合规 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核未加入指定域的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 WMI 类 win32_computersystem 中 Domain 属性的值与策略参数中的值不匹配,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核未设置为指定时区的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 WMI 类 Win32_TimeZone 中 StandardName 属性的值与策略参数的选定时区不匹配,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核包含将在指定天数内过期的证书的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果指定存储中的证书的到期日期超出了参数给定的天数范围,则计算机不合规。 该策略还提供仅检查特定证书或排除特定证书的选项,以及是否报告过期证书的选项。 | auditIfNotExists | 1.0.0 |
| 审核在受信任的根中不包含指定证书的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机的受信任的根证书存储 (Cert:\LocalMachine\Root) 未包含由策略参数列出的一个或多个证书,则计算机不符合要求。 | auditIfNotExists | 1.0.0 |
| 审核未将最长密码期限设为 70 天的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设为 70 天,则计算机不合规 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核未将最短密码期限设为 1 天的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码期限设为 1 天,则计算机不合规 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核未启用密码复杂性设置的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未启用密码复杂性设置,则计算机不合规 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核没有指定的 Windows PowerShell 执行策略的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-ExecutionPolicy 返回的值不是策略参数中所选的值,则计算机不符合要求。 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核没有安装指定 Windows PowerShell 模块的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果模块在环境变量 PSModulePath 指定的位置中不可用,则计算机不符合要求。 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核未将最短密码长度限制为 14 个字符的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码长度限制为 14 个字符,则计算机不合规 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核未存储使用可逆加密的密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核未安装指定应用程序的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果在以下任何注册表路径中都找不到相关应用程序名称,则计算机不合规:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 1.0.0 |
| 审核管理员组中具有额外帐户的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中未列出的成员,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核未在指定天数内重启的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果类 Win32_Operatingsystem 中的 WMI 属性 LastBootUpTime 不在策略参数提供的天数范围内,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核安装了指定应用程序的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果在以下任何注册表路径中找到了相关应用程序名称,则计算机不合规:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 1.0.0 |
| 审核具有管理员组中指定成员的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中列出的一个或多个成员,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 审核未启用 Windows 来宾配置扩展的 Windows 虚拟机 | 此策略审核托管在 Azure 中的 Windows 虚拟机,这些虚拟机受来宾配置支持但未启用来宾配置扩展。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 2.0.0 |
| 审核正在等待重新启动的 Windows VM | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机由于以下任一原因正在等待重启,则计算机不合规:基于组件的服务、Windows 更新、挂起的文件重命名、挂起的计算机重命名、配置管理器等待重启。 每次检测都有唯一的注册表路径。 | auditIfNotExists | 1.0.0 |
| 审核未使用安全通信协议的 Windows Web 服务器 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果注册表项 HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols 包含的协议的安全性低于在策略参数中选择的安全性,则计算机不合规。 | auditIfNotExists | 1.0.0 |
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 1.0.1 |
| 将某个位置的 VM 的备份配置到同一位置中的现有中央保管库 | 此策略将给定位置的虚拟机上的 Azure 备份保护配置到同一位置中的现有中央保管库。 它仅适用于尚未配置备份的那些 VM。 建议将此策略分配给不超过 200 个 VM。 如果将此策略分配给超过 200 个 VM,它可能会导致备份在定义的计划过去几小时后才被触发。 此策略将进行增强以支持更多 VM 映像。 | deployIfNotExists、auditIfNotExists、disabled | 1.0.0 |
| 在 Windows 计算机上配置时区。 | 此策略创建一个 Guest Configuration 分配用于在 Windows 虚拟机上设置指定的时区。 | deployIfNotExists | 1.1.0-preview |
| 为 Windows Server 部署默认 Microsoft IaaSAntimalware 扩展 | 如果 VM 未配置反恶意软件扩展,则此策略部署使用默认配置的 Microsoft IaaSAntimalware 扩展。 | deployIfNotExists | 1.0.0 |
| 为 Linux 虚拟机规模集部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 | deployIfNotExists | 1.2.1 |
| 为 Linux 虚拟机部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,则为 Linux 虚拟机部署 Dependency Agent。 | deployIfNotExists | 1.2.1 |
| 为 Windows 虚拟机规模集部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Windows 虚拟机规模集部署 Dependency Agent。 OS 映像列表将随着支持的更新而不断更新。 注意:如果规模集 upgradePolicy 设置为“Manual”,你则需要通过对规模集调用升级将扩展应用到集中的所有虚拟机。 在 CLI 中,这将是 az vmss update-instances。 | deployIfNotExists | 1.2.1 |
| 为 Windows 虚拟机部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,则为 Windows 虚拟机部署 Dependency Agent。 OS 映像列表将随着支持的更新而不断更新。 | deployIfNotExists | 1.2.1 |
| 为 Linux 虚拟机规模集部署 Log Analytics 代理 | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Log Analytics 代理。 注意:如果规模集 upgradePolicy 设置为“Manual”,则需要通过对规模集调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 | deployIfNotExists | 1.0.1 |
| 为 Linux VM 部署 Log Analytics 代理 | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux VM 部署 Log Analytics 代理。 | deployIfNotExists | 1.0.1 |
| 为 Windows 虚拟机规模集部署 Log Analytics 代理 | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Windows 虚拟机规模集部署 Log Analytics 代理。 OS 映像列表将随着支持的更新而不断更新。 注意:如果规模集 upgradePolicy 设置为“手动”,则需要通过对 VM 调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 | deployIfNotExists | 1.0.1 |
| 为 Windows VM 部署 Log Analytics 代理 | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Windows VM 部署 Log Analytics 代理。 OS 映像列表将随着支持的更新而不断更新。 | deployIfNotExists | 1.0.1 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须被部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.0.0-preview |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须被部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.0.0-preview |
| 应当启用虚拟机规模集中的诊断日志 | 建议启用日志,以便在出现某个事件或遭到入侵后需要进行调查时可以重新创建活动线索。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应在虚拟机上应用磁盘加密 | Azure 安全中心建议对未启用磁盘加密的虚拟机进行监视。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应在虚拟机规模集上安装终结点保护解决方案 | 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 | AuditIfNotExists、Disabled | 2.0.0 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 2.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 2.0.0 |
| Linux 计算机应符合 Azure 安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机应符合 Azure 安全基线的要求,则计算机不符合要求 | AuditIfNotExists、Disabled | 1.0.0-preview |
| 应在计算机上解决 Log Analytics 代理运行状况问题 | 安全中心使用 Log Analytics 代理,它之前被称为 Microsoft Monitoring Agent (MMA)。 为了确保成功监视虚拟机,需要确保此代理安装在虚拟机上,并能正确地将安全事件收集到配置的工作区中。 | AuditIfNotExists、Disabled | 1.0.0 |
| Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 此策略审核是否有任何 Windows/Linux 虚拟机 (VM) 没有安装安全中心用于监视安全漏洞和威胁的 Log Analytics 代理 | AuditIfNotExists、Disabled | 1.0.0 |
| Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 安全中心从 Azure 虚拟机 (VM) 收集数据,以监视安全漏洞和威胁。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists、Disabled | 2.0.0 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 2.0.0 |
| Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 此策略会审核所有未配置自动更新 Microsoft Antimalware 保护签名的 Windows 虚拟机。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 此策略会审核所有未部署 Microsoft IaaSAntimalware 扩展的 Windows Server VM。 | AuditIfNotExists、Disabled | 1.0.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 2.0.0 |
| 应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| 应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 2.0.0 |
| 应当仅安装已批准的 VM 扩展 | 此策略约束未获批准的虚拟机扩展。 | Audit、Deny、Disabled | 1.0.0 |
| 要求自动在虚拟机规模集上执行 OS 映像修补 | 该策略可强制启用虚拟机规模集上的自动 OS 映像修补程序,以便通过应用每月的最新安全修补程序始终确保虚拟机安全。 | deny | 1.0.0 |
| 应在虚拟机规模集上安装系统更新 | 审核是否缺少系统安全更新和关键更新,为了确保 Windows 和 Linux 虚拟机规模集的安全,应安装这些更新。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应在计算机上安装系统更新 | 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 | AuditIfNotExists、Disabled | 2.0.0 |
| 应在虚拟机规模集上安装 Log Analytics 代理 | 此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 代理。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在虚拟机上安装 Log Analytics 代理 | 此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 代理。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应当加密未附加的磁盘 | 此策略会审核未启用加密的所有未附加磁盘。 | Audit、Disabled | 1.0.0 |
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 应修正容器安全配置中的漏洞 | 在安装了 Docker 的计算机上审核安全配置中的漏洞,并在 Azure 安全中心显示为建议。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 2.0.0 |
| 应修复虚拟机规模集上安全配置中的漏洞 | 审核虚拟机规模集上的 OS 漏洞,以保护其免受攻击。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应通过漏洞评估解决方案修复漏洞 | 建议在 Azure 安全中心监视漏洞评估解决方案检测到的漏洞和没有漏洞评估解决方案的 VM。 | AuditIfNotExists、Disabled | 2.0.0 |
| Windows 计算机应符合“管理模板 - 控制面板”的要求 | 对于输入个性化和阻止启用锁屏界面,Windows 计算机应在“管理模板 - 控制面板”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“管理模板 - MSS (旧版)”的要求 | 对于自动登录、屏幕保护程序、网络行为、安全 DLL 和事件日志,Windows 计算机应在“管理模板 - MSS (旧版)”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“管理模板 - 网络”的要求 | Windows 计算机应在“管理模板 - 网络”类别中使用指定的组策略设置,用于来宾登录、并发连接、网桥、ICS 和多播名称解析。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“管理模板 - 系统”的要求 | 对于控制管理体验和远程协助的设置,Windows 计算机应在“管理模板 - 系统”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - 帐户”的要求 | Windows 计算机应在“安全选项 - 帐户”类别中具有指定的组策略设置,以限制本地帐户使用空白密码和来宾帐户状态。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - 审核”的要求 | Windows 计算机应在“安全选项 - 审核”类别中具有指定的组策略设置,以便在无法记录安全审核的情况下,强制实施审核策略子类别并进行关闭。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - 设备”的要求 | Windows 计算机应在“安全选项 - 设备”类别中具有指定的组策略设置,以便在不登录的情况下进行移除、安装打印驱动程序以及设置格式/弹出媒体。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - 交互式登录”的要求 | Windows 计算机应在“安全选项 - 交互式登录”类别中具有指定的组策略设置,以便显示上一个用户名并要求按 Ctrl-Alt-Del。此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - Microsoft 网络客户端”的要求 | 对于 Microsoft 网络客户端/服务器和 SMB v1,Windows 计算机应在“安全选项 - Microsoft 网络客户端”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求 | Windows 计算机应在“安全选项 - Microsoft 网络服务器”类别中具有指定的组策略设置,以禁用 SMB v1 服务器。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - 网络访问”的要求 | Windows 计算机应在“安全选项 - 网络访问”类别中具有指定的组策略设置,以包含匿名用户、本地帐户的访问权限和对注册表的远程访问权限。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - 网络安全”的要求 | Windows 计算机应在“安全选项 - 网络安全”类别中使用指定的组策略设置,以包含本地系统行为、PKU2U、LAN Manager、LDAP 客户端和 NTLM SSP。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - 恢复控制台”的要求 | Windows 计算机应在“安全选项 - 恢复控制台”类别中具有指定的组策略设置,以便允许对所有驱动器和文件夹进行软盘复制和访问。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - 关闭”的要求 | Windows 计算机应在“安全选项 - 关闭”类别中具有指定的组策略设置,以便允许在未登录的情况下关闭并清除虚拟内存页面文件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - 系统对象”的要求 | 对于非 Windows 子系统不区分大小写和内部系统对象的权限,Windows 计算机应在“安全选项 - 系统对象”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - 系统设置”的要求 | 对于 SRP 和可选子系统的可执行文件的证书规则,Windows 计算机应在“安全选项 - 系统设置”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 对于管理员模式、提升提示行为以及虚拟化文件和注册表写入失败,Windows 计算机应在“安全选项 - 用户帐户控制”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“安全设置 - 帐户策略”的要求 | 对于密码历史记录、使用期限、长度、复杂性以及使用可还原加密存储密码,Windows 计算机应在“安全设置 - 帐户策略”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“系统审核策略 - 帐户登录”的要求 | Windows 计算机应在“系统审核策略 - 帐户登录”类别中具有指定的组策略设置,以便审核凭据验证和其他帐户登录事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“系统审核策略 - 帐户管理”的要求 | Windows 计算机应在“系统审核策略 - 帐户管理”类别中具有指定的组策略设置,以便审核应用程序、安全性和用户组管理以及其他管理事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置,以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“系统审核策略 - 登录与注销”的要求 | Windows 计算机应在“系统审核策略 - 登录与注销”类别中具有指定的组策略设置,以便审核 IPSec、网络策略、声明、帐户锁定、组成员身份和登录/注销事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“系统审核策略 - 对象访问”的要求 | Windows 计算机应在“系统审核策略 - 对象访问”类别中具有指定的组策略设置,以便审核文件、注册表、SAM、存储、筛选、内核和其他系统类型。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“系统审核策略 - 策略更改”的要求 | Windows 计算机应在“系统审核策略 - 策略更改”类别中具有指定的组策略设置,以便审核对系统审核策略所做的更改。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“系统审核策略 - 特权使用”的要求 | Windows 计算机应在“系统审核策略 - 特权使用”类别中具有指定的组策略设置,以便审核非敏感特权和其他权限使用。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“系统审核策略 - 系统”的要求 | Windows 计算机应在“系统审核策略 - 系统”类别中具有指定的组策略设置,以便审核 IPsec 驱动程序、系统完整性、系统扩展、状态更改和其他系统事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“用户权限分配”的要求 | Windows 计算机应在“用户权限分配”类别中具有指定的组策略设置,以允许本地登录、RDP、从网络进行访问以及其他很多用户活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“Windows 组件”的要求 | 对于基本身份验证、未加密的流量、Microsoft 帐户、遥测、Cortana 和其他 Windows 行为,Windows 计算机应在“Windows 组件”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| Windows 计算机应符合“Windows 防火墙属性”的要求 | 对于防火墙状态、连接、规则管理和通知,Windows 计算机应在“Windows 防火墙属性”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 2.0.0-preview |
Microsoft.ClassicCompute
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应更新自适应应用程序控制策略中的允许列表规则 | 监视配置为供 Azure 安全中心的自适应应用程序控制进行审核的计算机组是否有行为变化。 安全中心使用机器学习来分析计算机上的运行过程,并建议已知安全应用程序的列表。 这些应用程序作为推荐的应用显示,在自适应应用程序控制策略中允许使用。 | AuditIfNotExists、Disabled | 3.0.0 |
| 审核未配置灾难恢复的虚拟机 | 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此处介绍了 Azure 安全中心支持的终结点保护解决方案 - /security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此处介绍了 Endpoint Protection 评估 - /security-center/security-center-endpoint-protection。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在计算机上安装 Endpoint Protection | 若要保护计算机免受威胁和漏洞的侵害,请安装受支持的 Endpoint Protection 解决方案。 | AuditIfNotExists、Disabled | 1.0.0 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 3.0.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应在计算机上安装系统更新 | 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 | AuditIfNotExists、Disabled | 4.0.0 |
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 应修正容器安全配置中的漏洞 | 在安装了 Docker 的计算机上审核安全配置中的漏洞,并在 Azure 安全中心显示为建议。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。