Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Linux-VMs ✔️ ✔️ Windows ✔️ flexible Skalierungssätze einheitliche Skalierungssätze ✔️
Diese Seite ist ein Index von Azure Policy integrierten Richtliniendefinitionen für Azure Virtual Machines. Weitere Azure Policy integrierten Komponenten für andere Dienste finden Sie unter Azure Policy integrierten Definitionen.
Der Name der einzelnen integrierten Richtliniendefinitionen ist mit der Richtliniendefinition im Azure-Portal verknüpft. Verwenden Sie den Link in der Spalte Version, um die Quelle im Repository Azure Policy GitHub-Repository anzuzeigen.
Microsoft. Berechnen
| Name (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Eine verwaltete Identität muss auf Ihren Computern aktiviert sein | Ressourcen, die von Automanage verwaltet werden, sollten über eine verwaltete Identität verfügen. | Audit, deaktiviert | 1.0.0-preview |
| [Vorschau]: Hinzufügen einer benutzerseitig zugewiesenen verwalteten Identität zum Aktivieren von Gastkonfigurationszuweisungen auf virtuellen Computern | Diese Richtlinie fügt eine vom Benutzer zugewiesene verwaltete Identität zu virtuellen Computern hinzu, die in Azure gehostet werden, die von der Gastkonfiguration unterstützt werden. Eine benutzerseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | ÜberprüfenWennNichtVorhanden, BereitstellenWennNichtVorhanden, Deaktiviert | 2.1.0-preview |
| Erstellen Sie eine integrierte, benutzerseitig zugewiesene, verwaltete Identität, und weisen Sie sie zu, oder weisen Sie eine vorab erstellte, benutzerseitig zugewiesene, verwaltete Identität im großen Stil VM-Skalierungsgruppen zu. Ausführlichere Dokumentation finden Sie unter aka.ms/managedidentitypolicy. | ÜberprüfenWennNichtVorhanden, BereitstellenWennNichtVorhanden, Deaktiviert | 1.1.0-preview | |
| Erstellen Sie eine integrierte, benutzerseitig zugewiesene, verwaltete Identität, und weisen Sie sie zu, oder weisen Sie eine vorab erstellte, benutzerseitig zugewiesene, verwaltete Identität im großen Stil VMs zu. Ausführlichere Dokumentation finden Sie unter aka.ms/managedidentitypolicy. | ÜberprüfenWennNichtVorhanden, BereitstellenWennNichtVorhanden, Deaktiviert | 1.1.0-preview | |
| [Vorschau]: Überwachen des SSH-Sicherheitsstatus für Windows | Diese Richtlinie überprüft die SSH-Serversicherheitskonfiguration auf Windows Server 2019-, 2022- und 2025-Computern (Azure VMs und Arc-fähigen Computern). Weitere Informationen wie Voraussetzungen, Einstellungen im Bereich, Standardwerte und Anpassungen finden Sie unter https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | AuditIfNotExists, Deaktiviert | 1.1.0-preview |
| [Vorschau]: Automanage-Konfigurationsprofilzuweisung muss konform sein | Ressourcen, die von Automanage verwaltet werden, sollten einen Status besitzen, der entweder „Conformant“ oder „ConformantCorrected“ lautet. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| Stellen Sie den Schutz Ihrer Managed Disks sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Datenschutzlösung für Azure. | AuditIfNotExists, Deaktiviert | 1.0.0-preview | |
| [Vorschau]: Startdiagnose muss auf VMs aktiviert sein | Azure virtuellen Computer sollten Start diagniostics aktiviert sein. | Audit, deaktiviert | 1.0.0-preview |
| [Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrer Linux-VM installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf virtuellen Linux-Computern, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. | AuditIfNotExists, Deaktiviert | 2.0.0-preview |
| [Vorschau]: ChangeTracking-Erweiterung sollte auf Ihrem Windows virtuellen Computer installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Windows virtuellen Computern, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. | AuditIfNotExists, Deaktiviert | 2.0.0-preview |
| [Vorschau]: Konfigurieren von Azure Defender für SQL-Agent auf virtuellem Computer | Konfigurieren Sie Windows Computer so, dass die Azure Defender für DEN SQL-Agent, auf dem der Azure Monitor Agent installiert ist, automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Erstellt eine Ressourcengruppe und Log Analytics Arbeitsbereich in derselben Region wie der Computer. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, deaktiviert | 1.0.0-preview |
| [Vorschau]: Konfigurieren der Sicherung für Azure Datenträger (Managed Disks) mit einem bestimmten Tag für einen vorhandenen Sicherungstresor in derselben Region | Erzwingen der Sicherung für alle Azure Datenträger (Managed Disks), die ein bestimmtes Tag für einen zentralen Sicherungstresor enthalten. Weitere Informationen finden Sie unter https://aka.ms/AB-DiskBackupAzPolicies. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Konfigurieren der Sicherung für Azure Datenträger (Managed Disks) ohne ein bestimmtes Tag für einen vorhandenen Sicherungstresor in derselben Region | Erzwingen der Sicherung für alle Azure Datenträger (Managed Disks), die kein bestimmtes Tag für einen zentralen Sicherungstresor enthalten. Weitere Informationen finden Sie unter https://aka.ms/AB-DiskBackupAzPolicies. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Konfigurieren des SSH-Sicherheitsstatus für Windows | Diese Richtlinie konfiguriert die SSH-Serversicherheitskonfiguration auf Windows Server 2019-, 2022- und 2025-Computern (Azure VMs und Arc-fähigen Computern). Weitere Informationen wie Voraussetzungen, Einstellungen im Bereich, Standardwerte und Anpassungen finden Sie unter https://learn.microsoft.com/azure/osconfig/overviewsshposture-control-windows. | DeployIfNotExists, deaktiviert | 1.1.0-preview |
| [Vorschau]: Unterstützte Linux-VM-Skalierungsgruppen zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie unterstützte virtuelle Linux-Computer skalierungssätze, um die Erweiterung für den Gastnachweis automatisch zu installieren, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, deaktiviert | 6.1.0-preview |
| [Vorschau]: Unterstützte Linux-VMs konfigurieren, um den sicheren Start automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Linux-Computer so, dass „Sicherer Start“ automatisch aktiviert wird, um schädliche und nicht autorisierte Änderungen an der Startkette zu verhindern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. | DeployIfNotExists, deaktiviert | 5.0.0-preview |
| [Vorschau]: Unterstützte Linux-VMs zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie unterstützte virtuelle Linux-Computer so, dass die Erweiterung für den Gastnachweis automatisch installiert wird, damit Azure Security Center proaktiv die Startintegrität bestätigen und überwachen können. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, deaktiviert | 7.1.0-preview |
| [Vorschau]: Unterstützte VMs konfigurieren, um vTPM automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Computer so, dass vTPM automatisch aktiviert wird, um „Kontrollierter Start“ und andere Sicherheitsfeatures des Betriebssystems zu erleichtern, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. | DeployIfNotExists, deaktiviert | 2.0.0-preview |
| [Vorschau]: Konfigurieren unterstützter Windows Skalierungsgruppen für virtuelle Computer, um die Erweiterung für den Gastnachweis automatisch zu installieren | Konfigurieren Sie unterstützte Windows VM-Skalierungsgruppen, um die Erweiterung für den Gastnachweis automatisch zu installieren, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, deaktiviert | 4.1.0-preview |
| [Vorschau]: Konfigurieren von unterstützten Windows virtuellen Computern, um den sicheren Start automatisch zu aktivieren | Konfigurieren Sie unterstützte Windows virtuellen Computer, um den sicheren Start automatisch zu aktivieren, um böswillige und nicht autorisierte Änderungen an der Startkette zu vermeiden. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. | DeployIfNotExists, deaktiviert | 3.0.0-preview |
| [Vorschau]: Konfigurieren von unterstützten Windows virtuellen Computern, um die Erweiterung für den Gastnachweis automatisch zu installieren | Konfigurieren Sie unterstützte Windows virtuellen Computern so, dass die Erweiterung "Gastnachweis" automatisch installiert wird, damit Azure Security Center proaktiv die Startintegrität bestätigen und überwachen können. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, deaktiviert | 5.1.0-preview |
| [Vorschau]: Konfigurieren der vom System zugewiesenen verwalteten Identität zum Aktivieren von Azure Monitor Zuweisungen auf VMs | Konfigurieren Sie vom System zugewiesene verwaltete Identität für virtuelle Computer, die in Azure gehostet werden, die von Azure Monitor unterstützt werden und keine vom System zugewiesene verwaltete Identität besitzen. Eine vom System zugewiesene verwaltete Identität ist eine Voraussetzung für alle Azure Monitor Zuordnungen und muss Computern hinzugefügt werden, bevor sie eine Azure Monitor Erweiterung verwenden. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | Modifizieren, Deaktivieren | 6.2.0-preview |
| [Vorschau]: Konfigurieren von virtuellen Computern, die mit Shared Image Gallery Images erstellt wurden, um die Erweiterung "Gastnachweis" zu installieren | Konfigurieren Sie virtuelle Computer, die mit Shared Image Gallery-Images erstellt wurden, um die Erweiterung "Gastnachweis" automatisch zu installieren, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, deaktiviert | 2.0.0-preview |
| [Vorschau]: Konfigurieren von VMSS, die mit Shared Image Gallery Images erstellt wurden, um die Erweiterung "Gastnachweis" zu installieren | Konfigurieren Sie VMSS, die mit Shared Image Gallery-Images erstellt wurde, um die Gastnachweiserweiterung automatisch zu installieren, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, deaktiviert | 2.1.0-preview |
| [Vorschau]: Konfigurieren von Windows Server zum Deaktivieren lokaler Benutzer. | Erstellt eine Gastkonfigurationszuweisung, um das Deaktivieren lokaler Benutzer auf Windows Server zu konfigurieren. Dadurch wird sichergestellt, dass Windows Server nur von AAD -Konto (Azure Active Directory) oder einer Liste der explizit zugelassenen Benutzer durch diese Richtlinie aufgerufen werden können, um den Gesamtsicherheitsstatus zu verbessern. | DeployIfNotExists, deaktiviert | 1.3.0-preview |
| [Vorschau]: Bereitstellen Microsoft Defender for Endpoint Agents auf virtuellen Linux-Computern | Stellt Microsoft Defender for Endpoint Agent auf anwendbaren Linux-VM-Images bereit. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 3.0.0-preview |
| [Vorschau]: Bereitstellen Microsoft Defender for Endpoint Agent auf Windows virtuellen Computern | Stellt Microsoft Defender for Endpoint für anwendbare Windows VM-Images bereit. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 2.0.1-preview |
| [Vorschau]: Aktivieren der vom System zugewiesenen Identität für SQL-VM- | Aktivieren Sie die systemseitig zugewiesene Identität im großen Stil auf SQL-VMs. Sie müssen diese Richtlinie auf Abonnementebene zuweisen. Die Zuweisung auf Ressourcengruppenebene funktioniert nicht wie erwartet. | DeployIfNotExists, deaktiviert | 1.0.0-preview |
| [Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Linux-Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Deaktiviert | 6.0.0-preview |
| [Vorschau]: Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Linux-Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Deaktiviert | 5.1.0-preview |
| [Vorschau]: Die Erweiterung "Gastnachweis" sollte auf unterstützten Windows virtuellen Computern installiert werden | Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für vertrauenswürdige Start- und vertrauliche Windows virtuellen Computern. | AuditIfNotExists, Deaktiviert | 4.0.0-preview |
| [Vorschau]: Die Erweiterung "Gastnachweis" sollte auf unterstützten Windows vm scale sets installiert werden | Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten virtuellen Computern skalierungssätze, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Skalierungssätze für vertrauenswürdige Starts und vertraulichen Windows virtuellen Computer. | AuditIfNotExists, Deaktiviert | 3.1.0-preview |
| [Preview]: Linux-Computer sollten die Anforderungen für die Azure Sicherheitsbasis für Docker-Hosts erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Der Computer ist für eine der Empfehlungen im Azure Sicherheitsgrundplan für Docker-Hosts nicht ordnungsgemäß konfiguriert. | AuditIfNotExists, Deaktiviert | 1.2.0-preview |
| [Vorschau]: Linux-Computer sollten die STIG-Complianceanforderung für Azure Compute erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in STIG-Complianceanforderung für Azure Compute nicht ordnungsgemäß konfiguriert ist. DISA (Defense Information Systems Agency) bietet technische Leitfäden, STIG (Security Technical Implementation Guide), zur Sicherung des Compute-Betriebssystems gemäß den Anforderungen des US-Verteidigungsministeriums (Department of Defense, DoD). Weitere Details finden Sie unter https://public.cyber.mil/stigs/. | AuditIfNotExists, Deaktiviert | 1.2.0-preview |
| [Vorschau]: Auf Linux-Computern mit installierter OMI muss mindestens Version 1.6.8-1 installiert sein | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Aufgrund eines Sicherheitsfixes, der in Version 1.6.8-1 des OMI-Pakets für Linux enthalten ist, sollten alle Computer auf das neueste Release aktualisiert werden. Upgraden Sie Apps/Pakete, die OMI verwenden, um das Problem zu beheben. Weitere Informationen finden Sie unter https://aka.ms/omiguidance. | AuditIfNotExists, Deaktiviert | 1.2.0-preview |
| [Vorschau]: Linux-VMs sollten nur signierte und vertrauenswürdige Startkomponenten verwenden | Alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) müssen von vertrauenswürdigen Herausgebern signiert werden. Defender for Cloud hat nicht vertrauenswürdige Betriebssystemstartkomponenten auf einem oder mehreren Ihrer Linux-Computer identifiziert. Um Ihre Computer vor potenziell schädlichen Komponenten zu schützen, fügen Sie sie Ihrer Positivliste hinzu, oder entfernen Sie die identifizierten Komponenten. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Linux-VMs sollten Secure Boot verwenden | Zum Schutz vor der Installation von auf Schadsoftware basierten Rootkits und Startkits aktivieren Sie „Sicherer Start“ auf unterstützten virtuellen Linux-Computern. „Sicherer Start“ stellt sicher, dass nur signierte Betriebssysteme und Treiber ausgeführt werden können. Diese Bewertung gilt nur für virtuelle Linux-Computer, auf denen der Azure Monitor Agent installiert ist. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Linux-Workloads sollten dem offiziellen CIS Security Benchmark entsprechen | Diese Richtlinie bietet Ihnen die Möglichkeit, CIS-Sicherheits-Benchmarks für Überwachungszwecke für Ihre Linux-Workloads in Azure, lokalen und Hybridumgebungen anzupassen und bereitzustellen. Die Inhalte der CIS Security Benchmarks sind in Parität mit den unter https://cisecurity.org. Die Richtlinie wird von azure-osconfig unterstützt. Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 2.0.0-preview |
| [Vorschau]: Auf Computern sollten Ports geschlossen sein, die Angriffsvektoren verfügbar machen könnten | Azure Nutzungsbedingungen verbieten die Verwendung von Azure Diensten auf Die Weise, dass Microsoft Server oder das Netzwerk beschädigt, deaktiviert, überlastet oder beeinträchtigt werden kann. Die durch diese Empfehlung identifizierten verfügbar gemachten Ports müssen geschlossen werden, um die Sicherheit weiter zu erhöhen. Für jeden identifizierten Port enthält die Empfehlung auch eine Erläuterung der potenziellen Bedrohung. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Managed Disks sollte zone resilient sein | Managed Disks können so konfiguriert werden, dass sie entweder "Zone Aligned", "Zone Redundant" oder "Beides" sind. Managed Disks mit genau einer Zonenzuweisung sind Zone Aligned. Managed Disks mit einem SKU-Namen, der in ZRS endet, sind zonenredundant. Diese Richtlinie unterstützt die Identifizierung und Erzwingung dieser Resilienzkonfigurationen für Managed Disks. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Abhängigkeits-Agent zum Sammeln von Netzwerkdatenverkehrsdaten von Ihren Azure virtuellen Computern, um erweiterte Netzwerkschutzfeatures wie die Datenverkehrsvisualisierung auf der Netzwerkkarte, Netzwerkhärtungsempfehlungen und bestimmte Netzwerkbedrohungen zu ermöglichen. | AuditIfNotExists, Deaktiviert | 1.0.2-preview |
| [Vorschau]: Netzwerkdatensammlungs-Agent sollte auf Windows virtuellen Computern installiert werden | Security Center verwendet den Microsoft Abhängigkeits-Agent zum Sammeln von Netzwerkdatenverkehrsdaten von Ihren Azure virtuellen Computern, um erweiterte Netzwerkschutzfeatures wie die Datenverkehrsvisualisierung auf der Netzwerkkarte, Netzwerkhärtungsempfehlungen und bestimmte Netzwerkbedrohungen zu ermöglichen. | AuditIfNotExists, Deaktiviert | 1.0.2-preview |
| [Vorschau]: Offizielle CIS-Sicherheits-Benchmarks für Windows Server | Diese Richtlinie bietet Ihnen die Möglichkeit, CIS-Sicherheits-Benchmarks für Überwachungszwecke für Ihre Windows Server in Azure, lokalen und Hybridumgebungen anzupassen und bereitzustellen. Die Inhalte der CIS Security Benchmarks sind in Parität mit den unter https://cisecurity.org. Erfordert, dass voraussetzungen für den Richtlinienzuweisungsbereich bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Sicherer Start sollte auf unterstützten virtuellen Computern Windows aktiviert werden | Aktivieren Sie den sicheren Start auf unterstützten Windows virtuellen Computern, um böswillige und nicht autorisierte Änderungen an der Startkette abzumildern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. Diese Bewertung gilt für vertrauenswürdige Start- und vertrauliche Windows virtuellen Computern. | Audit, deaktiviert | 4.0.0-preview |
| [Vorschau]: Virtual Machine Scale Sets sollte zone resilient sein | Virtual Machine Scale Sets kann so konfiguriert werden, dass sie entweder "Zone Aligned", "Zone Redundant" oder "Keiner" ist. Virtual Machine Scale Sets, die genau einen Eintrag in ihrem Zonenarray aufweisen, werden als Zone Aligned betrachtet. Im Gegensatz dazu werden Virtual Machine Scale Sets mit 3 oder mehr Einträgen in ihrem Zonenarray und eine Kapazität von mindestens 3 als Zonenredundanz erkannt. Diese Richtlinie hilft dabei, diese Resilienzkonfigurationen zu identifizieren und zu erzwingen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Virtual Machine Scale Sets mit mehr als 2 Verfügbarkeitszonen sollte die automatische AZ-Neubalanierung aktiviert haben | Diese Richtlinie ermöglicht die automatische AZ-Neubalancing für Virtual Machine Scale Sets, die andernfalls zonensicher sind. Die automatische Zonenumbalanierung trägt dazu bei, sicherzustellen, dass Ihre Virtual Machine Scale Sets gleichmäßig über die Zonen in der Region verteilt werden. | Modifizieren, Deaktivieren | 1.0.0-preview |
| [Vorschau]: Der Gastnachweisstatus der virtuellen Computer sollte fehlerfrei sein | Der Gastnachweis wird durchgeführt, indem ein vertrauenswürdiges Protokoll (TCGLog) an einen Nachweisserver gesendet wird. Der Server verwendet diese Protokolle zur Ermittlung, ob Startkomponenten vertrauenswürdig sind. Diese Bewertung dient dazu, Gefährdungen der Startkette zu erkennen, die das Ergebnis einer Startkit- oder Rootkit-Infektion sein könnten. Diese Bewertung gilt nur für virtuelle Computer mit aktiviertem vertrauenswürdigen Start, auf denen die Erweiterung für den Gastnachweis installiert ist. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Virtual Machines sollte zonenbündig ausgerichtet sein | Virtual Machines kann so konfiguriert werden, dass sie zone aligned ist oder nicht. Sie werden als zonenausgerichtet betrachtet, wenn sie nur einen Eintrag in ihrem Zonenarray haben. Diese Richtlinie stellt sicher, dass sie für den Betrieb innerhalb einer einzelnen Verfügbarkeitszone konfiguriert sind. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden | Aktivieren Sie ein virtuelles TPM-Gerät auf unterstützten virtuellen Computern, um die Nutzung von „Kontrollierter Start“ und anderen Sicherheitsfeatures des Betriebssystems zu ermöglichen, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs. | Audit, deaktiviert | 2.0.0-preview |
| [Vorschau]: Windows Computer sollten STIG-Complianceanforderungen für Azure Compute erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn der Computer für eine der Empfehlungen in den STIG-Complianceanforderungen für Azure Compute nicht ordnungsgemäß konfiguriert ist. DISA (Defense Information Systems Agency) bietet technische Leitfäden, STIG (Security Technical Implementation Guide), zur Sicherung des Compute-Betriebssystems gemäß den Anforderungen des US-Verteidigungsministeriums (Department of Defense, DoD). Weitere Details finden Sie unter https://public.cyber.mil/stigs/. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Azure Security Center Standardpreisstufe enthält Sicherheitsrisikoüberprüfungen für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Diese Richtlinie fügt eine vom System zugewiesene verwaltete Identität zu virtuellen Computern hinzu, die in Azure gehostet werden, die von der Gastkonfiguration unterstützt werden, aber keine verwalteten Identitäten haben. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Diese Richtlinie fügt eine vom System zugewiesene verwaltete Identität zu virtuellen Computern hinzu, die in Azure gehostet werden, die von der Gastkonfiguration unterstützt werden und mindestens eine vom Benutzer zugewiesene Identität besitzen, aber keine vom System zugewiesene verwaltete Identität haben. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 4.1.0 |
| Fügt ein Tag zu VMs und VMSS (Network Virtual Appliances, NVAs) für MANA-Unterstützung hinzu | Wendet ein Tag für Marketplace-NVA-Bereitstellungen an, wenn der NVA vorhandene VM-Größen verwendet. Weitere Informationen finden Sie unter https://aka.ms/manasupportforexistingvmfamilynva. | Modifizieren, Deaktivieren | 1.0.0 |
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat einige der eingehenden Regeln Ihrer Netzwerksicherheitsgruppen als zu eingeschränkt identifiziert. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Zulässige SKUs für VM-Größen | Über diese Richtlinie können Sie einen Satz von SKUs für VM-Größen angeben, die Ihre Organisation bereitstellen kann. | Deny | 1.0.1 |
| Assign System Assigned Identity to SQL Virtual Machines | Weisen Sie die vom System zugewiesene Identität im Maßstab Windows virtuellen SQL-Computern zu. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. | AuditIfNotExists, Deaktiviert | 3.1.0 |
| Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. | AuditIfNotExists, Deaktiviert | 3.1.0 |
| Linux-Computer überwachen, auf denen die angegebenen Anwendungen nicht installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die Chef InSpec-Ressource angibt, dass mindestens eins der durch den Parameter angegebenen Pakete nicht installiert ist. | AuditIfNotExists, Deaktiviert | 4.2.0 |
| Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. | AuditIfNotExists, Deaktiviert | 3.1.0 |
| Linux-Computer überwachen, auf denen die angegebenen Anwendungen installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die Chef InSpec-Ressource angibt, dass mindestens eins der durch den Parameter angegebenen Pakete installiert ist. | AuditIfNotExists, Deaktiviert | 4.2.0 |
| Überwachen des SSH-Sicherheitsstatus für Linux (mit OSConfig) | Diese Richtlinie überwacht die SSH-Serversicherheitskonfiguration auf Linux-Computern (Azure VMs und Arc-fähigen Computern). Weitere Informationen, einschließlich Voraussetzungen, Einstellungen im Geltungsbereich, Standardwerten und Anpassungen, finden Sie unter https://aka.ms/SshPostureControlOverview | AuditIfNotExists, Deaktiviert | 1.0.1 |
| VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Virtuelle Computer überwachen, die keine verwalteten Datenträger verwenden | Diese Richtlinie überwacht virtuelle Computer, die keine verwalteten Datenträger verwenden. | audit | 1.0.0 |
| Audit Windows Computer fehlen alle angegebenen Mitglieder in der Gruppe "Administratoren" | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eins der im Richtlinienparameter angegebenen Mitglieder nicht in der lokalen Administratorgruppe enthalten ist. | auditIfNotExists | 2.0.0 |
| Audit Windows Computernetzwerkkonnektivität | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn ein Netzwerkverbindungsstatus für eine IP-Adresse oder einen TCP-Port nicht dem Richtlinienparameter entspricht. | auditIfNotExists | 2.0.0 |
| Audit Windows Computer, auf denen die DSC-Konfiguration nicht kompatibel ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn der Windows PowerShell-Befehl Get-DSCConfigurationStatus zurückgibt, dass die DSC-Konfiguration für den Computer nicht kompatibel ist. | auditIfNotExists | 3.0.0 |
| Audit Windows Computer, auf denen der Log Analytics Agent nicht wie erwartet verbunden ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Agent nicht installiert ist, oder wenn er installiert ist, das COM-Objekt „AgentConfigManager.MgmtSvcCfg“ jedoch zurückgibt, dass er nicht bei dem Arbeitsbereich registriert ist, der der im Richtlinienparameter angegebenen ID entspricht. | auditIfNotExists | 2.0.0 |
| Audit Windows Computer, auf denen die angegebenen Dienste nicht installiert sind, und "Running" | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn das Ergebnis des Windows PowerShell-Befehls Get-Service den Dienstnamen nicht mit dem übereinstimmenden Status enthalten, wie durch den Richtlinienparameter angegeben. | auditIfNotExists | 3.0.0 |
| Audit Windows Computer, auf denen Windows serielle Konsole nicht aktiviert ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn auf dem Computer die Software der seriellen Konsole nicht installiert ist oder wenn die EMS-Portnummer oder die Baudrate nicht mit den Werten aus den Richtlinienparametern konfiguriert ist. | auditIfNotExists | 3.0.0 |
| Audit Windows Computer, die die erneute Verwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn Windows Computer, die die erneute Verwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen. Der Standardwert für eindeutige Kennwörter ist 24. | AuditIfNotExists, Deaktiviert | 2.1.0 |
| Audit Windows Computer, die nicht mit der angegebenen Domäne verbunden sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Wert der Eigenschaft „Domain“ in der WMI-Klasse „win32_computersystem“ nicht dem Wert im Richtlinienparameter entspricht. | auditIfNotExists | 2.0.0 |
| Audit Windows Computer, die nicht auf die angegebene Zeitzone festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn der Wert der Eigenschaft „StandardName“ in der WMI-Klasse „Win32_TimeZone“ nicht der für den Richtlinienparameter ausgewählten Zeitzone entspricht. | auditIfNotExists | 4.0.0 |
| Audit Windows Computer, die zertifikate enthalten, die innerhalb der angegebenen Anzahl von Tagen ablaufen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn das Ablaufdatum von Zertifikaten im angegebenen Speicher außerhalb der als Parameter angegeben Anzahl von Tagen liegt. Die Richtlinie bietet auch die Möglichkeit, nur bestimmte Zertifikate zu überprüfen oder bestimmte Zertifikate auszuschließen, und Sie können angeben, ob abgelaufene Zertifikate gemeldet werden sollen. | auditIfNotExists | 2.0.0 |
| Audit Windows Computer, die die angegebenen Zertifikate nicht im vertrauenswürdigen Stamm enthalten | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn mindestens eines der durch den Richtlinienparameter angegebenen Zertifikate nicht im vertrauenswürdigen Stammzertifikatspeicher des Computers (Cert:\LocalMachine\Root) enthalten ist. | auditIfNotExists | 3.0.0 |
| Audit Windows Computer, auf denen das maximale Kennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn Windows Computer, auf denen das maximale Kennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das maximale Kennwortalter beträgt 70 Tage. | AuditIfNotExists, Deaktiviert | 2.1.0 |
| Audit Windows Computer, auf denen das Mindestkennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn Windows Computer, auf denen das Mindestkennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das Mindestalter des Kennworts beträgt 1 Tag. | AuditIfNotExists, Deaktiviert | 2.1.0 |
| Audit Windows Computer, auf denen die Kennwortkomplexitätseinstellung nicht aktiviert ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn Windows Computer, auf denen die Kennwortkomplexitätseinstellung nicht aktiviert ist | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Audit Windows Computer, die nicht über die angegebene Windows PowerShell-Ausführungsrichtlinie verfügen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn der Windows PowerShell-Befehl Get-ExecutionPolicy einen anderen Wert als den im Richtlinienparameter ausgewählten Wert zurückgibt. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Audit Windows Computer, auf denen die angegebenen Windows PowerShell-Module nicht installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn ein Modul an einem durch die Umgebungsvariable „PSModulePath“ angegebenen Speicherort nicht verfügbar ist. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Audit Windows Computer, die die mindeste Kennwortlänge nicht auf die angegebene Anzahl von Zeichen beschränken | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn Windows Computer, die die Mindestkennwortlänge nicht auf die angegebene Anzahl von Zeichen beschränken. Der Standardwert für die Mindestkennwortlänge beträgt 14 Zeichen | AuditIfNotExists, Deaktiviert | 2.1.0 |
| Audit Windows Computer, die keine Kennwörter mit umkehrbarer Verschlüsselung speichern | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn Windows Computer, die keine Kennwörter mit umkehrbarer Verschlüsselung speichern | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Audit Windows Computer, auf denen die angegebenen Anwendungen nicht installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn der Anwendungsname in keinem der folgenden Registrierungspfade gefunden wird: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows Computer mit zusätzlichen Konten in der Gruppe "Administratoren" | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe Mitglieder enthält, die im Richtlinienparameter nicht angegeben sind. | auditIfNotExists | 2.0.0 |
| Audit Windows Computer, die nicht innerhalb der angegebenen Anzahl von Tagen neu gestartet wurden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die WMI-Eigenschaft „LastBootUpTime“ in der Klasse „Win32_Operatingsystem“ außerhalb des durch den Richtlinienparameter angegebenen Bereichs von Tagen liegt. | auditIfNotExists | 2.0.0 |
| Audit Windows Computer, auf denen die angegebenen Anwendungen installiert sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn sich der Anwendungsname in einem der folgenden Registrierungspfade befindet: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\ CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Audit Windows Computer mit den angegebenen Mitgliedern in der Gruppe "Administratoren" | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn die lokale Administratorgruppe mindestens eins der Mitglieder enthält, die im Richtlinienparameter angegeben sind. | auditIfNotExists | 2.0.0 |
| Audit Windows VMs mit einem ausstehenden Neustart | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn der Computer aus einem der folgenden Gründe einen Neustart aussteht: komponentenbasierte Wartung, Windows Update, ausstehende Dateibenennung, ausstehender Computerbenennung, Konfigurations-Manager, ausstehender Neustart. Jede Erkennung verfügt über einen eigenen Registrierungspfad. | auditIfNotExists | 2.0.0 |
| Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem Azure virtuellen Linux-Computer über SSH ist ein öffentliches schlüsselpaar, auch als SSH-Schlüssel bezeichnet. Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Deaktiviert | 3.2.0 |
| Stellen Sie den Schutz Ihrer Azure Virtual Machines sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Datenschutzlösung für Azure. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| ChangeTracking-Erweiterung sollte auf Ihren virtuellen Linux-Computer-Skalierungssätzen installiert werden | Installieren Sie changeTracking Extension auf virtuellen Linux-Computer-Skalierungssätzen, um die Dateiintegritätsüberwachung (FILE Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. | AuditIfNotExists, Deaktiviert | 2.0.1 |
| ChangeTracking-Erweiterung sollte auf Ihren Windows VM-Skalierungssätzen installiert werden | Installieren Sie die ChangeTracking-Erweiterung auf Windows Skalierungsgruppen für virtuelle Computer, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. | AuditIfNotExists, Deaktiviert | 2.0.1 |
| Cloud Services-Rolleninstanzen (erweiterter Support) müssen sicher konfiguriert werden. | Cloud Services-Rolleninstanzen (erweiterter Support) werden vor Angriffen geschützt, indem sichergestellt wird, dass sie keinen Schwachstellen im Betriebssystem ausgesetzt sind. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Für Cloud Services-Rolleninstanzen (erweiterter Support) müssen Systemupdates installiert sein | Schützen Sie Ihre Cloud Services-Rolleninstanzen (erweiterter Support), indem Sie sicherstellen, dass die neuesten Sicherheitsupdates und alle kritischen Updates installiert wurden. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Azure Defender für Server bietet Echtzeit-Bedrohungsschutz für Serverworkloads und generiert Härtungsempfehlungen sowie Warnungen zu verdächtigen Aktivitäten. Diese Richtlinie deaktiviert den Defender für serverplan für alle Ressourcen (VMs, VMSSs und ARC-Computer) im ausgewählten Bereich (Abonnement oder Ressourcengruppe). | DeployIfNotExists, deaktiviert | 1.0.0 | |
| Configure Azure Defender für Server, die für Ressourcen (Ressourcenebene) mit dem ausgewählten Tag deaktiviert werden sollen | Azure Defender für Server bietet Echtzeit-Bedrohungsschutz für Serverworkloads und generiert Härtungsempfehlungen sowie Warnungen zu verdächtigen Aktivitäten. Mit dieser Richtlinie wird der Defender für serverplan für alle Ressourcen (VMs, VMSSs und ARC-Computer) deaktiviert, die den ausgewählten Tagnamen und tagwert(n) aufweisen. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Configure Azure Defender für Server, die für alle Ressourcen (Ressourcenebene) mit dem ausgewählten Tag aktiviert werden sollen | Azure Defender für Server bietet Echtzeit-Bedrohungsschutz für Serverworkloads und generiert Härtungsempfehlungen sowie Warnungen zu verdächtigen Aktivitäten. Diese Richtlinie aktiviert den Defender für den Serverplan (mit "P1"-Unterplan) für alle Ressourcen (VMs und ARC-Computer), die den ausgewählten Tagnamen und tagwert(n) aufweisen. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Azure Defender für Server bietet Echtzeit-Bedrohungsschutz für Serverworkloads und generiert Härtungsempfehlungen sowie Warnungen zu verdächtigen Aktivitäten. Diese Richtlinie aktiviert den Defender für den Serverplan (mit "P1"-Unterplan) für alle Ressourcen (VMs und ARC-Computer) im ausgewählten Bereich (Abonnement oder Ressourcengruppe). | DeployIfNotExists, deaktiviert | 1.1.0 | |
| Sicherung für VMs mit angegebenem Tag in einem neuen Recovery Services-Tresor mit einer Standardrichtlinie konfigurieren | Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie einen Recovery Services-Tresor am gleichen Ort und in der gleichen Ressourcengruppe wie der virtuelle Computer bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Sie können optional virtuelle Computer einschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 9.5.0 |
| Sicherung für VMs mit angegebenem Tag in einem vorhandenen Recovery Services-Tresor am selben Standort konfigurieren | Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie sie in einem vorhandenen zentralen Recovery Services-Tresor am gleichen Ort und im gleichen Abonnement wie der virtuelle Computer sichern. Dies ist nützlich, wenn die Sicherungen für alle Ressourcen in einem Abonnement in Ihrer Organisation von einem zentralen Team verwaltet werden. Sie können optional virtuelle Computer einschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 9.5.0 |
| Sicherung für VMs ohne angegebenes Tag in einem neuen Recovery Services-Tresor mit einer Standardrichtlinie konfigurieren | Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie einen Recovery Services-Tresor am gleichen Ort und in der gleichen Ressourcengruppe wie der virtuelle Computer bereitstellen. Dies ist nützlich, wenn verschiedenen Anwendungsteams in Ihrer Organisation separate Ressourcengruppen zugewiesen werden und sie ihre eigenen Sicherungen und Wiederherstellungen verwalten müssen. Sie können optional virtuelle Computer ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 9.5.0 |
| Sicherung für VMs ohne angegebenes Tag in einem vorhandenen Recovery Services-Tresor am selben Standort konfigurieren | Erzwingen Sie die Sicherung für alle virtuellen Computer, indem Sie sie in einem vorhandenen zentralen Recovery Services-Tresor am gleichen Ort und im gleichen Abonnement wie der virtuelle Computer sichern. Dies ist nützlich, wenn die Sicherungen für alle Ressourcen in einem Abonnement in Ihrer Organisation von einem zentralen Team verwaltet werden. Sie können optional virtuelle Computer ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Siehe https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 9.5.0 |
| Konfigurieren der ChangeTracking-Erweiterung für Linux-VM-Skalierungssätze | Konfigurieren Sie skalierungssätze für virtuelle Linux-Computer, um die ChangeTracking-Erweiterung automatisch zu installieren, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. | DeployIfNotExists, deaktiviert | 2.1.0 |
| Konfigurieren der ChangeTracking-Erweiterung für virtuelle Linux-Computer | Konfigurieren Sie virtuelle Linux-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. | DeployIfNotExists, deaktiviert | 2.2.0 |
| Configure ChangeTracking Extension für Windows vm scale sets | Konfigurieren Sie Windows Skalierungsgruppen für virtuelle Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. | DeployIfNotExists, deaktiviert | 2.1.0 |
| Configure ChangeTracking Extension für Windows virtuelle Computer | Konfigurieren Sie Windows virtuellen Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. | DeployIfNotExists, deaktiviert | 2.2.0 |
| Configure disaster recovery on virtual machines by enabling replication via Azure Site Recovery | Virtuelle Computer ohne Notfallwiederherstellungskonfigurationen sind anfällig für Ausfälle und andere Unterbrechungen. Wenn für den virtuellen Computer noch keine Notfallwiederherstellung konfiguriert ist, wird dies durch Aktivieren der Replikation unter Verwendung vordefinierter Konfigurationen initiiert, um die Geschäftskontinuität zu gewährleisten. Sie können optional virtuelle Computer einschließen/ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | DeployIfNotExists, deaktiviert | 2.1.1 |
| Datenträgerzugriffsressourcen mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihre virtuellen Netzwerke mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Konfigurieren von Linux-Computern für die Zuordnung zu einer Datensammlungsregel oder einem Datensammlungsendpunkt | Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer, VM-Skalierunggruppen und Arc-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, deaktiviert | 6.8.0 |
| Konfigurieren eines Linux-Servers zum Deaktivieren lokaler Benutzer | Erstellt eine Gastkonfigurationszuweisung, um die Deaktivierung lokaler Benutzer auf einem Linux-Server zu konfigurieren. Dadurch wird sichergestellt, dass auf Linux-Server nur über ein AAD-Konto (Azure Active Directory) oder eine Liste der explizit zugelassenen Benutzer durch diese Richtlinie zugegriffen werden kann, um den allgemeinen Sicherheitsstatus zu verbessern. | DeployIfNotExists, deaktiviert | 1.4.0-preview |
| Configure Linux Virtual Machine Scale Sets, die einer Datensammlungsregel oder einem Datensammlungsendpunkt zugeordnet werden sollen | Stellen Sie eine Zuordnung bereit, um Linux-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, deaktiviert | 4.7.0 |
| Configure Linux virtual machine scale sets to run Azure Monitor Agent with system-assigned managed identity-based authentication | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihrem virtuellen Linux-Computer-Skalierungssatz zum Sammeln von Telemetriedaten aus dem Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 3.10.0 |
| Configure Linux virtual machine scale sets to run Azure Monitor Agent with user-assigned managed identity-based authentication | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihrem virtuellen Linux-Computer-Skalierungssatz zum Sammeln von Telemetriedaten aus dem Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 3.11.0 |
| Configure Linux Virtual Machines einer Datensammlungsregel für ChangeTracking und Inventory zugeordnet werden | Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, deaktiviert | 1.2.0 |
| Configure Linux-Virtual Machines, die einer Datensammlungsregel oder einem Datensammlungsendpunkt zugeordnet werden sollen | Stellen Sie eine Zuordnung bereit, um virtuelle Linux-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, deaktiviert | 4.7.0 |
| Configure Linux virtual machines to run Azure Monitor Agent with system-assigned managed identity-based authentication | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihren virtuellen Linux-Computern zum Sammeln von Telemetriedaten aus dem Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 3.10.0 |
| Configure Linux virtual machines to run Azure Monitor Agent with user-assigned managed identity-based authentication | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihren virtuellen Linux-Computern zum Sammeln von Telemetriedaten aus dem Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 3.14.0 |
| Konfigurieren von Linux-VMs zum Installieren von AMA für ChangeTracking und Inventory mit vom Benutzer zugewiesener verwalteter Identität | Automatisieren Sie die Bereitstellung von Azure Monitor Agent-Erweiterung auf Ihren virtuellen Linux-Computern, um ChangeTracking und Inventory zu aktivieren. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 1.7.0 |
| Konfigurieren von Linux-VMSS für die Zuordnung einer Datensammlungsregel für ChangeTracking und Inventory | Stellen Sie eine Zuordnung bereit, um Linux-VM-Skalierungsgruppen mit der angegebenen Datensammlungsregel zu verknüpfen und so Änderungsnachverfolgung und Bestand zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Linux-VMSS zum Installieren von AMA für ChangeTracking und Inventory mit vom Benutzer zugewiesener verwalteter Identität | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihren virtuellen Linux-Computer-Skalierungssätzen zum Aktivieren von ChangeTracking und Inventory. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 1.5.0 |
| Konfigurieren von Computern für den Empfang eines Anbieters für Sicherheitsrisikobewertung | Azure Defender enthält Sicherheitsrisikoüberprüfungen für Ihre Computer ohne zusätzliche Kosten. Sie benötigen keine Qualys-Lizenz und auch kein Qualys-Konto – alles erfolgt nahtlos innerhalb von Security Center. Wenn Sie diese Richtlinie aktivieren, stellt Azure Defender automatisch den Qualys-Sicherheitsrisikobewertungsanbieter auf allen unterstützten Computern bereit, auf denen sie noch nicht installiert ist. | DeployIfNotExists, deaktiviert | 4.0.0 |
| Verwaltete Datenträger zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie den Zugriff über öffentliche Netzwerke für Ihre verwaltete Datenträgerressource, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/disksprivatelinksdoc. | Modifizieren, Deaktivieren | 2.0.0 |
| Konfigurieren der regelmäßigen Überprüfung auf fehlende Systemupdates auf Azure-VMs | Konfigurieren Sie die automatische Bewertung (alle 24 Stunden) für Betriebssystemupdates auf systemeigenen Azure virtuellen Computern. Sie können den Zuweisungsbereich gemäß Computerabonnement, Ressourcengruppe, Standort oder Tag steuern. Weitere Informationen hierzu finden Sie für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.10.0 |
| Configure secure communication protocols(TLS 1.1 or TLS 1.2) on Windows machines | Erstellt eine Gastkonfigurationszuweisung zum Konfigurieren der angegebenen sicheren Protokollversion (TLS 1.1 oder TLS 1.2) auf Windows Computer. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Configure SQL Virtual Machines, um Azure Monitor Agent automatisch zu installieren | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung in Ihrem Windows SQL-Virtual Machines. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 1.6.0 |
| Configure SQL Virtual Machines, um Microsoft Defender für SQL automatisch zu installieren | Konfigurieren Sie Windows SQL-Virtual Machines so, dass die Microsoft Defender für die SQL-Erweiterung automatisch installiert wird. Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. | DeployIfNotExists, deaktiviert | 1.6.0 |
| Configure SQL Virtual Machines, um Microsoft Defender für SQL und DCR automatisch mit einem Log Analytics Arbeitsbereich zu installieren | Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe, eine Datensammlungsregel und Log Analytics Arbeitsbereich in derselben Region wie der Computer. | DeployIfNotExists, deaktiviert | 1.9.0 |
| Configure SQL Virtual Machines, um Microsoft Defender für SQL und DCR automatisch mit einem benutzerdefinierten LA-Arbeitsbereich zu installieren | Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und eine Datensammlungsregel in derselben Region wie der benutzerdefinierte Log Analytics Arbeitsbereich. | DeployIfNotExists, deaktiviert | 1.10.0 |
| Configure SQL Virtual Machines, um Microsoft Defender für DIE SQL-Erweiterung automatisch zu installieren | Konfigurieren Sie Windows SQL-Virtual Machines so, dass die Microsoft Defender für die SQL-Erweiterung automatisch installiert wird. Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Konfigurieren des SSH-Sicherheitsstatus für Linux (mit OSConfig) | Diese Richtlinie überprüft und konfiguriert die SSH-Serversicherheitskonfiguration auf Linux-Computern (Azure VMs und Arc-fähigen Computern). Weitere Informationen, einschließlich Voraussetzungen, Einstellungen im Geltungsbereich, Standardwerten und Anpassungen, finden Sie unter https://aka.ms/SshPostureControlOverview | DeployIfNotExists, deaktiviert | 1.1.0 |
| zeitzone Configure auf Windows machines. | Diese Richtlinie erstellt eine Gastkonfigurationszuweisung, um die angegebene Zeitzone auf Windows virtuellen Computern festzulegen. | deployIfNotExists | 3.1.0 |
| Configure virtual machines to be onboarded to Azure Automanage | Azure Automanage registriert, konfiguriert und überwacht virtuelle Computer mit bewährten Methoden, wie im Microsoft Cloud Adoption Framework für Azure definiert. Verwenden Sie diese Richtlinie, um die automatische Verwaltung auf den ausgewählten Bereich anzuwenden. | ÜberprüfenWennNichtVorhanden, BereitstellenWennNichtVorhanden, Deaktiviert | 2.4.0 |
| Configure virtual machines to be onboarded to Azure Automanage with Custom Configuration Profile | Azure Automanage registriert, konfiguriert und überwacht virtuelle Computer mit bewährten Methoden, wie im Microsoft Cloud Adoption Framework für Azure definiert. Verwenden Sie diese Richtlinie, um Automanage mit Ihrem eigenen angepassten Konfigurationsprofil auf Ihren ausgewählten Bereich anzuwenden. | ÜberprüfenWennNichtVorhanden, BereitstellenWennNichtVorhanden, Deaktiviert | 1.4.0 |
| Configure Windows Computer, die einer Datensammlungsregel oder einem Datensammlungsendpunkt zugeordnet werden sollen | Stellen Sie "Association" bereit, um Windows virtuellen Computer, Vm-Skalierungssätze und Arc-Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, deaktiviert | 4.8.0 |
| Configure Windows Virtual Machine Scale Sets einer Datensammlungsregel oder einem Datensammlungsendpunkt zugeordnet werden | Stellen Sie die Zuordnung bereit, um Windows skalierungssätze für virtuelle Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, deaktiviert | 3.7.0 |
| Configure Windows Skalierungsgruppen für virtuelle Computer, um Azure Monitor Agent mithilfe der vom System zugewiesenen verwalteten Identität auszuführen | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihren Windows VM-Skalierungssätzen zum Sammeln von Telemetriedaten aus dem Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 3.7.0 |
| Configure Windows vm scale sets to run Azure Monitor Agent with user-assigned managed identity-based authentication | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihren Windows VM-Skalierungssätzen zum Sammeln von Telemetriedaten aus dem Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 1.9.0 |
| Configure Virtuelle Windows-Computer einer Datensammlungsregel für ChangeTracking und Inventory zugeordnet werden | Stellen Sie die Zuordnung bereit, um Windows virtuellen Computer mit der angegebenen Datensammlungsregel zu verknüpfen, um ChangeTracking und Inventory zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, deaktiviert | 1.3.0 |
| Configure Virtuelle Windows-Computer einer Datensammlungsregel oder einem Datensammlungsendpunkt zugeordnet werden | Stellen Sie die Zuordnung bereit, um Windows virtuellen Computer mit der angegebenen Datensammlungsregel oder dem angegebenen Datensammlungsendpunkt zu verknüpfen. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, deaktiviert | 3.6.0 |
| Configure Windows virtuellen Computer, um Azure Monitor Agent mithilfe der vom System zugewiesenen verwalteten Identität auszuführen | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihren Windows virtuellen Computern zum Sammeln von Telemetriedaten aus dem Gastbetriebssystem. Mit dieser Richtlinie wird die Erweiterung installiert, wenn das Betriebssystem und die Region unterstützt werden und die systemseitig zugewiesene verwaltete Identität aktiviert ist. Andernfalls wird die Installation übersprungen. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 4.7.0 |
| Configure Windows virtuellen Computern, um Azure Monitor Agent mit der vom Benutzer zugewiesenen verwalteten identitätsbasierten Authentifizierung auszuführen | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihren Windows virtuellen Computern zum Sammeln von Telemetriedaten aus dem Gastbetriebssystem. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 1.9.0 |
| Configure Windows VMs zum Installieren von AMA für ChangeTracking und Inventory mit der vom Benutzer zugewiesenen verwalteten Identität | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihren Windows virtuellen Computern zum Aktivieren von ChangeTracking und Inventory. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 1.4.0 |
| Configure Windows VMSS, die einer Datensammlungsregel für ChangeTracking und Inventory zugeordnet werden sollen | Stellen Sie die Zuordnung bereit, um Windows Skalierungssätze für virtuelle Computer mit angegebenen Datensammlungsregel zu verknüpfen, um ChangeTracking und Inventory zu aktivieren. Die Liste der Standorte und Betriebssystemimages wird im Laufe der Zeit bei erweiterter Unterstützung aktualisiert. | DeployIfNotExists, deaktiviert | 1.2.0 |
| Configure Windows VMSS zum Installieren von AMA für ChangeTracking und Inventory mit der vom Benutzer zugewiesenen verwalteten Identität | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihren Windows Skalierungssätzen für virtuelle Computer, um ChangeTracking und Inventory zu aktivieren. Diese Richtlinie installiert die Erweiterung und konfiguriert sie so, dass sie die angegebene, benutzerseitig zugewiesene verwaltete Identität verwendet, wenn das Betriebssystem und die Region unterstützt werden, und überspringt andernfalls die Installation. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 1.3.0 |
| Erstellen und Zuweisen einer integrierten benutzerzugewiesenen verwalteten Identität | Weisen Sie eine integrierte benutzerseitig zugewiesene verwaltete Identität im großen Stil zu SQL-VMs zu. | ÜberprüfenWennNichtVorhanden, BereitstellenWennNichtVorhanden, Deaktiviert | 1.8.0 |
| Für die aufgelisteten VM-Images muss der Dependency-Agent aktiviert werden | Meldet virtuelle Computer als nicht konform, wenn sich das Image des virtuellen Computers in der definierten Liste befindet und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, während Unterstützung hinzugefügt wird. | AuditIfNotExists, Deaktiviert | 2.1.0 |
| Für die aufgelisteten VM-Images muss der Dependency-Agent in VM-Skalierungsgruppen aktiviert werden | Meldet Skalierungssätze für virtuelle Computer als nicht konform, wenn sich das Image des virtuellen Computers in der definierten Liste befindet und der Agent nicht installiert ist. Die Liste der Betriebssystemimages wird mit der Zeit aktualisiert, während Unterstützung hinzugefügt wird. | AuditIfNotExists, Deaktiviert | 2.1.0 |
| Deploy – Konfigurieren des Abhängigkeits-Agents für Windows vm scale sets | Stellen Sie den Abhängigkeits-Agent für Windows Skalierungsgruppen für virtuelle Computer bereit, wenn sich das Image des virtuellen Computers in der definierten Liste befindet und der Agent nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. | DeployIfNotExists, deaktiviert | 3.3.0 |
| Deploy – Konfigurieren des Abhängigkeits-Agents für die Aktivierung auf Windows virtuellen Computern | Stellen Sie den Abhängigkeits-Agent für Windows virtuellen Computer bereit, wenn sich das Image des virtuellen Computers in der definierten Liste befindet und der Agent nicht installiert ist. | DeployIfNotExists, deaktiviert | 3.3.0 |
| Deploy default Microsoft IaaSAntimalware extension for Windows Server | Diese Richtlinie stellt eine Microsoft IaaSAntimalware-Erweiterung mit einer Standardkonfiguration bereit, wenn eine VM nicht mit der Antischadsoftwareerweiterung konfiguriert ist. | deployIfNotExists | 1.1.0 |
| Dependency-Agent für Linux-VM-Skalierungsgruppen bereitstellen | Hiermit wird der Dependency-Agent für Linux-VM-Skalierungsgruppen bereitgestellt, wenn das VM-Image (Betriebssystem) in der definierten Liste enthalten und der Agent nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle virtuellen Computer in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. | deployIfNotExists | 5.1.0 |
| Deploy Dependency Agent für vm-Skalierungssätze für Linux mit Azure Überwachungs-Agent-Einstellungen | Stellen Sie den Abhängigkeits-Agent für vm-Skalierungssätze für Linux mit Azure Überwachungs-Agent-Einstellungen bereit, wenn sich das VM-Image (BETRIEBSSYSTEM) in der definierten Liste befindet und der Agent nicht installiert ist. Hinweis: Wenn „upgradePolicy“ für Ihre Skalierungsgruppe auf „Manuell“ festgelegt ist, müssen Sie die Erweiterung auf alle virtuellen Computer in der Gruppe anwenden, indem Sie dafür ein Upgrade aufrufen. Führen Sie dazu in der CLI „az vmss update-instances“ aus. | DeployIfNotExists, deaktiviert | 3.2.0 |
| Dependency-Agent für Linux-VMs bereitstellen | Geben Sie den Dependency-Agent für Linux-VMs an, wenn das VM-Image (Betriebssystem) in der definierten Liste enthalten und der Agent nicht installiert ist. | deployIfNotExists | 5.1.0 |
| Deploy Dependency agent for Linux virtual machines with Azure Monitoring Agent settings | Stellen Sie den Abhängigkeits-Agent für virtuelle Linux-Computer mit Azure Überwachungs-Agent-Einstellungen bereit, wenn sich das VM-Image (BETRIEBSSYSTEM) in der definierten Liste befindet und der Agent nicht installiert ist. | DeployIfNotExists, deaktiviert | 3.2.0 |
| Deploy Dependency agent to be enabled on Windows virtual machine scale sets with Azure Monitoring Agent settings | Stellen Sie den Abhängigkeits-Agent für Windows Skalierungssätze virtueller Computer mit Azure Überwachungs-Agent-Einstellungen bereit, wenn sich das Image des virtuellen Computers in der definierten Liste befindet und der Agent nicht installiert ist. Wenn für Ihre Skalierungsgruppe „upgradePolicy“ auf „Manual“ festgelegt ist, müssen Sie die Erweiterung auf alle VMs in der Gruppe anwenden, indem Sie diese aktualisieren. | DeployIfNotExists, deaktiviert | 1.4.0 |
| Deploy Dependency Agent, der auf Windows virtuellen Computern mit Azure Einstellungen des Überwachungs-Agents aktiviert werden soll | Stellen Sie den Abhängigkeits-Agent für Windows virtuellen Computer mit Azure Überwachungs-Agent-Einstellungen bereit, wenn sich das Image des virtuellen Computers in der definierten Liste befindet und der Agent nicht installiert ist. | DeployIfNotExists, deaktiviert | 1.4.0 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Diese Richtlinie stellt die Linux-Gastkonfigurationserweiterung auf virtuellen Linux-Computern bereit, die in Azure gehostet werden, die von der Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 3.2.0 |
| Deploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs | Diese Richtlinie stellt die Windows Gastkonfigurationserweiterung für Windows virtuellen Computer bereit, die in Azure gehostet werden, die von der Gastkonfiguration unterstützt werden. Die Windows Gastkonfigurationserweiterung ist eine Voraussetzung für alle Windows Gastkonfigurationszuweisungen und muss auf Computern bereitgestellt werden, bevor sie eine Windows Definition der Gastkonfigurationsrichtlinie verwenden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.3.0 |
| Datenträgerzugriffsressourcen müssen Private Link verwenden | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Datenträger und Betriebssystemimage sollten TrustedLaunch unterstützen | TrustedLaunch verbessert die Sicherheit eines virtuellen Computers, der das Betriebssystemdatenträger- und Betriebssystemimage erfordert, um ihn zu unterstützen (Gen 2). Weitere Informationen zu TrustedLaunch finden Sie unter https://aka.ms/trustedlaunch | Audit, deaktiviert | 1.0.0 |
| Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation stehen Gastrichtlinien zur Verfügung, z. B. "Windows Exploit Guard sollte aktiviert werden". Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Hotpatch sollte für Windows Server Azure Edition-VMs aktiviert sein | Minimieren Sie Neustarts, und installieren Sie Updates schnell mit Hotpatch. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/automanage/automanage-hotpatch. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Linux-Computer sollten die Anforderungen für die Azure Computesicherheitsbaseline erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Berechnungssicherheitsgrundlinie nicht ordnungsgemäß konfiguriert ist. | AuditIfNotExists, Deaktiviert | 2.3.1 |
| Linux-Computer sollten nur lokale Konten enthalten, die zulässig sind. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Das Verwalten von Benutzerkonten mit Azure Active Directory ist eine bewährte Methode für die Verwaltung von Identitäten. Das Reduzieren lokaler Computerkonten trägt dazu bei, die Verbreitung von Identitäten zu verhindern, die außerhalb eines zentralen Systems verwaltet werden. Computer sind nicht konform, wenn lokale Benutzerkonten vorhanden sind, die aktiviert und nicht im Richtlinienparameter aufgeführt sind. | AuditIfNotExists, Deaktiviert | 2.2.0 |
| Linux virtual machine scale sets should have Azure Monitor Agent installed | Skalierungssätze für virtuelle Linux-Computer sollten durch den bereitgestellten Azure Monitor Agent überwacht und gesichert werden. Der Azure Monitor Agent sammelt Telemetriedaten aus dem Gastbetriebssystem. Mit dieser Richtlinie werden VM-Skalierunggruppen mit unterstützten Betriebssystemimages in unterstützten Regionen überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Deaktiviert | 3.6.0 |
| Obwohl die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers standardmäßig im Ruhezustand mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt werden; Ressourcendatenträger (temporäre Datenträger), Datencaches und Daten, die zwischen Compute- und Speicherressourcen übertragen werden, werden nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost zum Beheben. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.2.1 | |
| Linux virtual machines should have Azure Monitor Agent installed | Virtuelle Linux-Computer sollten über den bereitgestellten Azure Monitor Agent überwacht und gesichert werden. Der Azure Monitor Agent sammelt Telemetriedaten aus dem Gastbetriebssystem. Mit diese Richtlinie werden virtuelle Computer mit unterstützten Betriebssystemimages in unterstützten Regionen überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Deaktiviert | 3.6.0 |
| Lokale Authentifizierungsmethoden sollten auf Linux-Servern deaktiviert werden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn lokale Authentifizierungsmethoden auf Linux-Servern nicht deaktiviert sind. Dies ist die Überprüfung, dass Linux-Server nur von AAD -Konto (Azure Active Directory) oder einer Liste der explizit zugelassenen Benutzer durch diese Richtlinie aufgerufen werden können, um den allgemeinen Sicherheitsstatus zu verbessern. | AuditIfNotExists, Deaktiviert | 1.2.0-preview |
| Local authentication methods should be disabled on Windows Servers | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht kompatibel, wenn Windows Server keine lokalen Authentifizierungsmethoden deaktiviert haben. Dies besteht darin, zu überprüfen, ob Windows Server nur von AAD -Konto (Azure Active Directory) oder einer Liste der explizit zugelassenen Benutzer durch diese Richtlinie aufgerufen werden können, um den gesamtsicherheitsstatus zu verbessern. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| Log Analytics Agent sollte auf Ihren Cloud Services-Rolleninstanzen (erweiterter Support) installiert werden | Security Center erfasst Daten aus Cloud Services-Rolleninstanzen (erweiterter Support), um eine Überwachung auf Sicherheitsrisiken und Bedrohungen durchzuführen. | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird | Um sicherzustellen, dass regelmäßige Bewertungen fehlender Systemupdates automatisch alle 24 Stunden ausgelöst werden, sollte die AssessmentMode-Eigenschaft auf „AutomaticByPlatform“ festgelegt werden. Weitere Informationen zur AssessmentMode-Eigenschaft für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Überprüfen, Verweigern, Deaktiviert | 3.9.0 |
| Geheime Ergebnisse auf Computern müssen aufgelöst werden | Überprüft VMs, um festzustellen, ob sie geheime Erkenntnisse aus den geheimen Scan-Lösungen auf Ihren VMs enthalten. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert werden könnte, haben nun die Möglichkeit, eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus/-modus auf der Infrastrukturebene zu nutzen (unter Verwendung von plattformseitig verwalteten Schlüsseln). Für die Verwendung der Mehrfachverschlüsselung sind Datenträgerverschlüsselungssätze erforderlich. Weitere Informationen finden Sie unter https://aka.ms/disks-doubleEncryption. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Verwaltete Datenträger müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass ein verwalteter Datenträger nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung verwalteter Datenträger einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/disksprivatelinksdoc. | Überprüfen, Verweigern, Deaktiviert | 2.1.0 |
| Verwaltete Datenträger müssen für die Verschlüsselung mit kundenseitig verwalteten Schlüsseln bestimmte Datenträgerverschlüsselungssätze verwenden | Durch die Anforderung zur Verwendung bestimmter Datenträgerverschlüsselungssätze mit verwalteten Datenträgern erhalten Sie die Kontrolle über die Schlüssel, mit denen ruhende Daten verschlüsselt werden. Sie können beim Anfügen an einen Datenträger die zulässigen Verschlüsselungssätze auswählen und alle anderen Verschlüsselungssätze ablehnen. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Der Mögliche Netzwerkzugriff just In Time (JIT) wird von Azure Security Center als Empfehlungen überwacht. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Microsoft Antischadsoftware für Azure sollte so konfiguriert werden, dass automatisch Schutzsignaturen aktualisiert werden | Diese Richtlinie überwacht alle Windows virtuellen Computer, die nicht mit der automatischen Aktualisierung von Microsoft Antischadsoftwareschutzsignaturen konfiguriert sind. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Microsoft IaaSAntimalware-Erweiterung sollte auf Windows Servern bereitgestellt werden | Diese Richtlinie überprüft alle Windows Server-VM, ohne dass Microsoft IaaSAntimalware-Erweiterung bereitgestellt wurde. | AuditIfNotExists, Deaktiviert | 1.1.0 |
| Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Es dürfen nur genehmigte VM-Erweiterungen installiert werden | Diese Richtlinie regelt die nicht genehmigten VM-Erweiterungen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für die Inhalte Ihrer verwalteten Datenträger zu verwalten. Standardmäßig werden ruhende Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel benötigt. Mit vom Kunden verwalteten Schlüsseln können die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel verschlüsselt werden. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. | Überprüfen, Verweigern, Deaktiviert | 3.0.0 |
| Private Endpunkte für Gastkonfigurationszuweisungen sollten aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem eine private Verbindung mit der Gastkonfiguration für VMs aktiviert wird. VMs sind nur dann konform, wenn sie über das Tag „EnablePrivateNetworkGC“ verfügen. Dieses Tag erzwingt die sichere Kommunikation über private Konnektivität mit der Gastkonfiguration für Virtual Machines. Private Konnektivität schränkt den Zugriff auf Datenverkehr nur aus bekannten Netzwerken ein und verhindert den Zugriff von allen anderen IP-Adressen, einschließlich innerhalb Azure. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Schützen Sie Ihre Daten mit Authentifizierungsanforderungen beim Exportieren oder Hochladen auf einen Datenträger oder in eine Momentaufnahme. | Wenn die Export-/Upload-URL verwendet wird, überprüft das System, ob der Benutzer eine Identität in Azure Active Directory hat und über die erforderlichen Berechtigungen zum Exportieren/Hochladen der Daten verfügt. Weitere Informationen finden Sie unter „aka.ms/DisksAzureADAuth“. | Modifizieren, Deaktivieren | 1.0.0 |
| Require automatische Betriebssystemimagepatching auf Virtual Machine Scale Sets | Diese Richtlinie erzwingt die Aktivierung des automatischen Betriebssystemimagepatchings auf Virtual Machine Scale Sets, um Virtual Machines immer sicher zu halten, indem die neuesten Sicherheitspatches jeden Monat sicher angewendet werden. | deny | 1.0.0 |
| Schedule recurring updates using Azure Update Manager | Sie können Azure Update Manager in Azure verwenden, um wiederkehrende Bereitstellungszeitpläne zu speichern, um Betriebssystemupdates für Ihre Windows Server und Linux-Computer in Azure, in lokalen Umgebungen und in anderen Cloudumgebungen zu installieren, die mit Azure Arc-fähigen Servern verbunden sind. Diese Richtlinie ändert auch den Patchmodus für den Azure virtuellen Computer in "AutomaticByPlatform". Weitere Informationen: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, deaktiviert | 3.14.0 |
| Set-Voraussetzung für die Planung von wiederkehrenden Updates auf Azure virtuellen Computern. | Diese Richtlinie legt die erforderliche Voraussetzung fest, um wiederkehrende Updates für Azure Update Manager durch Konfigurieren der Patch-Orchestrierung in "Vom Kunden verwaltete Zeitpläne" zu planen. Diese Änderung legt den Patchmodus automatisch auf "AutomaticByPlatform" fest und aktiviert "BypassPlatformSafetyChecksOnUserSchedule" auf "True" auf Azure VMs. Die Voraussetzung gilt nicht für Arc-fähige Server. Weitere Informationen - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, deaktiviert | 1.3.0 |
| Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) | Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Die legacy Log Analytics Erweiterung sollte nicht auf Linux-VM-Skalierungssätzen installiert werden | Automatisches Verhindern der Installation des älteren Log Analytics Agents als letzten Schritt der Migration von älteren Agents zu Azure Monitor Agent. Nachdem Sie vorhandene Legacy-Erweiterungen deinstalliert haben, verweigert diese Richtlinie alle zukünftigen Installationen der Legacy-Agent-Erweiterung in Linux-VM-Skalierungsgruppen. Weitere Informationen: https://aka.ms/migratetoAMA | Ablehnen, Überwachen, Deaktiviert | 1.0.0 |
| Die ältere Log Analytics Erweiterung sollte nicht auf virtuellen Linux-Computern installiert werden | Automatisches Verhindern der Installation des älteren Log Analytics Agents als letzten Schritt der Migration von älteren Agents zu Azure Monitor Agent. Nachdem Sie vorhandene Legacy-Erweiterungen deinstalliert haben, verweigert diese Richtlinie alle zukünftigen Installationen der Legacy-Agent-Erweiterung in virtuellen Linux-Computern. Weitere Informationen: https://aka.ms/migratetoAMA | Ablehnen, Überwachen, Deaktiviert | 1.0.0 |
| Die ältere Log Analytics Erweiterung sollte nicht auf Vm-Skalierungssätzen installiert werden | Automatisches Verhindern der Installation des älteren Log Analytics Agents als letzten Schritt der Migration von älteren Agents zu Azure Monitor Agent. Nachdem Sie vorhandene Legacyerweiterungen deinstalliert haben, wird diese Richtlinie alle zukünftigen Installationen der Legacy-Agent-Erweiterung auf Windows Skalierungsgruppen virtueller Computer verweigern. Weitere Informationen: https://aka.ms/migratetoAMA | Ablehnen, Überwachen, Deaktiviert | 1.0.0 |
| Die ältere Log Analytics Erweiterung sollte nicht auf virtuellen Computern installiert werden | Automatisches Verhindern der Installation des älteren Log Analytics Agents als letzten Schritt der Migration von älteren Agents zu Azure Monitor Agent. Nachdem Sie vorhandene Legacyerweiterungen deinstalliert haben, verweigert diese Richtlinie alle zukünftigen Installationen der Legacy-Agent-Erweiterung auf Windows virtuellen Computern. Weitere Informationen: https://aka.ms/migratetoAMA | Ablehnen, Überwachen, Deaktiviert | 1.0.0 |
| Für den virtuellen Computer sollte TrustedLaunch aktiviert sein | Aktivieren Sie TrustedLaunch auf dem virtuellen Computer für erhöhte Sicherheit, verwenden Sie VM-SKU (Gen 2), was TrustedLaunch unterstützt. Weitere Informationen zu TrustedLaunch finden Sie unter https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, deaktiviert | 1.0.0 |
| Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Virtual-Computer sollten zu neuen Azure Resource Manager Ressourcen migriert werden | Verwenden Sie neue Azure Resource Manager für Ihre virtuellen Computer, um Sicherheitsverbesserungen wie: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, Azure Resource Manager basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf schlüsseltresor für Geheime Schlüsseltresor, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen zur einfacheren Sicherheitsverwaltung | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Die VM-Erweiterung „Gastkonfiguration“ muss mit systemseitig zugewiesener verwalteter Identität bereitgestellt werden. | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Azure virtuellen Computer im Bereich dieser Richtlinie sind nicht kompatibel, wenn die Gastkonfigurationserweiterung installiert ist, aber keine verwaltete Identität des Systems zugewiesen ist. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Windows Defender Exploit Guard sollte auf Ihren Computern aktiviert sein | Windows Defender Exploit Guard verwendet den Azure Policy Gastkonfigurations-Agent. Exploit Guard verfügt über vier Komponenten, die für das Sperren von Geräten gegen eine Vielzahl von Angriffsvektoren ausgelegt sind und verhaltensweisen blockieren, die häufig bei Schadsoftwareangriffen verwendet werden, während Unternehmen ihre Sicherheitsrisiken und Produktivitätsanforderungen ausgleichen können (nur Windows). | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Windows Computer sollten so konfiguriert werden, dass sichere Kommunikationsprotokolle verwendet werden | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Deaktiviert | 4.1.1 |
| Windows Computer sollten Windows Defender so konfigurieren, dass Schutzsignaturen innerhalb eines Tages aktualisiert werden | Um einen angemessenen Schutz vor neu veröffentlichter Schadsoftware zu gewährleisten, müssen Windows Defender Schutzsignaturen regelmäßig aktualisiert werden, um neu veröffentlichte Schadsoftware zu berücksichtigen. Diese Richtlinie wird nicht auf Server mit Arc-Verbindung angewendet und erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Windows Computer sollten Windows Defender Echtzeitschutz aktivieren | Windows Computer sollten den Echtzeitschutz in der Windows Defender aktivieren, um einen angemessenen Schutz vor neu veröffentlichter Schadsoftware zu bieten. Diese Richtlinie gilt nicht für Server mit Arc-Verbindung und erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Administrative Vorlagen – Systemsteuerung" für die Eingabepersonalisierung und die Verhinderung der Aktivierung von Sperrbildschirmen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Administrative Vorlagen - MSS (Legacy)" für automatische Anmeldung, Bildschirmschoner, Netzwerkverhalten, sichere DLL und Ereignisprotokoll aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Administrative Vorlagen – Netzwerk" für Gastanmeldungen, gleichzeitige Verbindungen, Netzwerkbrücke, ICS und Multicastnamenauflösung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Administrative Vorlagen – System" für Einstellungen haben, die die Verwaltungsoberfläche und die Remoteunterstützung steuern. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten über die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen – Konten" verfügen, um die Verwendung leerer Kennwörter und des Gastkontostatus zu beschränken. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen – Überwachung" enthalten, um Überwachungsrichtlinienunterkategorie zu erzwingen und herunterzufahren, wenn Sicherheitsprüfungen nicht protokolliert werden können. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen – Geräte" zum Abdocken ohne Anmeldung, Installieren von Drucktreibern und Formatierung/Auswerfen von Medien aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen – interaktive Anmeldung" zum Anzeigen des Nachnamens und zum Anfordern von STRG-ALT-ENTF enthalten. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Richtlinienzuweisungsbereich bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen - Microsoft Netzwerkclient" für Microsoft Netzwerkclient/-server und SMB v1 enthalten. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen – Microsoft Netzwerkserver" zum Deaktivieren des SMB v1-Servers aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten über die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen – Netzwerkzugriff" verfügen, um den Zugriff für anonyme Benutzer, lokale Konten und Remotezugriff auf die Registrierung einzuschl. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen – Netzwerksicherheit" enthalten, um lokales Systemverhalten, PKU2U, LAN-Manager, LDAP-Client und NTLM-SSP einzusehen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten über die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen – Wiederherstellungskonsole" verfügen, um Diskettenkopien und Zugriff auf alle Laufwerke und Ordner zuzulassen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten über die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen – Herunterfahren" verfügen, um das Herunterfahren ohne Anmeldung zuzulassen und die virtuelle Speicherseitendatei zu löschen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen - Systemobjekte" für die Groß-/Kleinschreibung bei Nicht-Windows Subsystemen und Berechtigungen interner Systemobjekte aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen – Systemeinstellungen" für Zertifikatregeln für ausführbare Dateien für SRP und optionale Subsysteme enthalten. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitsoptionen – Benutzerkontensteuerung" für Den Modus für Administratoren, Verhalten der Eingabeaufforderung zur Erhöhung und Virtualisierung von Datei- und Registrierungsschreibfehlern aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Sicherheitseinstellungen – Kontorichtlinien" für den Kennwortverlauf, das Alter, die Länge, die Komplexität und das Speichern von Kennwörtern mit umkehrbarer Verschlüsselung aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Systemüberwachungsrichtlinien – Kontoanmeldung" für die Überprüfung von Anmeldeinformationen und andere Kontoanmeldeereignisse aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Systemüberwachungsrichtlinien – Kontoverwaltung" für die Überwachung von Anwendungen, Sicherheit und Benutzergruppenverwaltung und anderen Verwaltungsereignissen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Systemüberwachungsrichtlinien – Detaillierte Überwachung" für die Überwachung von DPAPI, Prozesserstellung/Beendigung, RPC-Ereignisse und PNP-Aktivitäten aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Systemüberwachungsrichtlinien – Anmeldeanmeldung" für die Überwachung von IPSec, Netzwerkrichtlinien, Ansprüchen, Kontosperrung, Gruppenmitgliedschaft und Anmelde-/Abmeldeereignissen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Systemüberwachungsrichtlinien – Objektzugriff" für Überwachungsdatei, Registrierung, SAM, Speicher, Filterung, Kernel und andere Systemtypen aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Systemüberwachungsrichtlinien – Richtlinienänderung" für die Überwachung von Änderungen an Systemüberwachungsrichtlinien aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Systemüberwachungsrichtlinien – Berechtigungsverwendung" für die Überwachung von nicht sensiblen und anderen Berechtigungen verwenden. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Systemüberwachungsrichtlinien – System" für die Überwachung von IPsec-Treibern, Systemintegrität, Systemerweiterung, Zustandsänderung und anderen Systemereignissen enthalten. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten über die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Benutzerrechtezuweisung" verfügen, um die Anmeldung lokal, RDP, Zugriff über das Netzwerk und viele andere Benutzeraktivitäten zuzulassen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Windows Komponenten" für die Standardauthentifizierung, unverschlüsselten Datenverkehr, Microsoft Konten, Telemetrie, Cortana und andere Windows Verhalten aufweisen. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die angegebenen Gruppenrichtlinieneinstellungen in der Kategorie "Windows Firewalleigenschaften" für Firewallstatus, Verbindungen, Regelverwaltung und Benachrichtigungen enthalten. Diese Richtlinie erfordert, dass die Voraussetzungen für die Gastkonfiguration im Bereich der Richtlinienzuweisung bereitgestellt wurden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Windows Computer sollten die Anforderungen der Azure Computesicherheitsbaseline erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Berechnungssicherheitsgrundlinie nicht ordnungsgemäß konfiguriert ist. | AuditIfNotExists, Deaktiviert | 2.1.1 |
| Windows Computer sollten nur lokale Konten haben, die zulässig sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Diese Definition wird für Windows Server 2012 oder 2012 R2 nicht unterstützt. Das Verwalten von Benutzerkonten mit Azure Active Directory ist eine bewährte Methode für die Verwaltung von Identitäten. Das Reduzieren lokaler Computerkonten trägt dazu bei, die Verbreitung von Identitäten zu verhindern, die außerhalb eines zentralen Systems verwaltet werden. Computer sind nicht konform, wenn lokale Benutzerkonten vorhanden sind, die aktiviert und nicht im Richtlinienparameter aufgeführt sind. | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Windows Skalierungsgruppen für virtuelle Computer sollten Azure Monitor Agent installiert sein | Windows Skalierungssätze für virtuelle Computer sollten über den bereitgestellten Azure Monitor Agent überwacht und gesichert werden. Der Azure Monitor Agent sammelt Telemetriedaten aus dem Gastbetriebssystem. Skalierungssätze für virtuelle Computer mit unterstützten Betriebssystemen und in unterstützten Regionen werden für Azure Monitor Agent-Bereitstellung überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Deaktiviert | 3.5.0 |
| Obwohl die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers standardmäßig im Ruhezustand mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt werden; Ressourcendatenträger (temporäre Datenträger), Datencaches und Daten, die zwischen Compute- und Speicherressourcen übertragen werden, werden nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost zum Beheben. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.1.1 | |
| Windows virtuelle Computer sollten Azure Monitor Agent installiert sein | Windows virtuellen Computer sollten über den bereitgestellten Azure Monitor Agent überwacht und gesichert werden. Der Azure Monitor Agent sammelt Telemetriedaten aus dem Gastbetriebssystem. Windows virtuellen Computer mit unterstütztem Betriebssystem und in unterstützten Regionen werden auf Azure Monitor Agent-Bereitstellung überwacht. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | AuditIfNotExists, Deaktiviert | 3.5.0 |
Microsoft. VirtualMachineImages
| Name (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| VM Image Builder-Vorlagen müssen eine private Verbindung verwenden | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Verweigern | 1.1.0 |
Microsoft. ClassicCompute
| Name (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Azure Security Center Standardpreisstufe enthält Sicherheitsrisikoüberprüfungen für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat einige der eingehenden Regeln Ihrer Netzwerksicherheitsgruppen als zu eingeschränkt identifiziert. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Geheime Ergebnisse auf Computern müssen aufgelöst werden | Überprüft VMs, um festzustellen, ob sie geheime Erkenntnisse aus den geheimen Scan-Lösungen auf Ihren VMs enthalten. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Virtual-Computer sollten zu neuen Azure Resource Manager Ressourcen migriert werden | Verwenden Sie neue Azure Resource Manager für Ihre virtuellen Computer, um Sicherheitsverbesserungen wie: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, Azure Resource Manager basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf schlüsseltresor für Geheime Schlüsseltresor, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen zur einfacheren Sicherheitsverwaltung | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
Nächste Schritte
- Weitere Informationen finden Sie in den integrierten Azure Policy GitHub-Repository.
- Überprüfen Sie die Azure Policy-Definitionsstruktur.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.