已啟用 Azure Arc 的伺服器之 Azure 原則內建定義
此頁面是已啟用 Azure Arc 的伺服器 Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
已啟用 Azure Arc 的伺服器 (英文)
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:應在您的電腦上啟用受控識別 | 由 Automanage 管理的資源應該具有受控識別。 | Audit, Disabled | 1.0.0-preview |
| [預覽]:Automanage 組態設定檔指派應為 Conformant | 由 Automanage 管理的資源狀態應為 Conformant 或 ConformantCorrected。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:Azure 安全性代理程式應安裝在 Linux Arc 機器上 | 在 Linux Arc 機器上安裝 Azure 安全性代理程式,以監視機器的安全性設定以及是否有弱點。 評量的結果可以在 Azure 資訊安全中心查看和管理。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:Azure 安全性代理程式應安裝在 Windows Arc 機器上 | 在 Windows Arc 機器上安裝 Azure 安全性代理程式,以監視機器的安全性設定以及是否有弱點。 評量的結果可以在 Azure 資訊安全中心查看和管理。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:ChangeTracking 延伸模組應安裝在 Linux Arc 機器上 | 在 Linux Arc 機器上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 此延伸模組可以安裝在 Azure 監視代理程式支援的虛擬機器和位置中。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:ChangeTracking 延伸模組應安裝在 Windows Arc 機器上 | 在 Windows Arc 機器上安裝 ChangeTracking 延伸模組,以在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 此延伸模組可以安裝在 Azure 監視代理程式支援的虛擬機器和位置中。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:使用連線至預設 Log Analytics 工作區的 Log Analytics 代理程式來設定已啟用 Azure Arc 的 Linux 電腦 | 透過安裝 Log Analytics 代理程式,將資料傳送至由適用於雲端的 Microsoft Defender 所建立的預設 Log Analytics 工作區,以使用適用於雲端的 Microsoft Defender 功能來保護啟用 Azure Arc 的 Linux 電腦。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:使用連線至預設 Log Analytics 工作區的 Log Analytics 代理程式來設定已啟用 Azure Arc 的 Windows 電腦 | 透過安裝 Log Analytics 代理程式,將資料傳送至由適用於雲端的 Microsoft Defender 所建立的預設 Log Analytics 工作區,以使用適用於雲端的 Microsoft Defender 功能來保護啟用 Azure Arc 的 Windows 電腦。 | DeployIfNotExists, Disabled | 1.1.0-preview |
| [預覽]:針對 Linux Arc 機器設定 ChangeTracking 延伸模組 | 設定 Linux Arc 機器以自動安裝 ChangeTracking 延伸模組,在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 此延伸模組可以安裝在 Azure 監視器代理程式支援的虛擬機器和位置中。 | DeployIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:針對 Windows Arc 機器設定 ChangeTracking 延伸模組 | 設定 Windows Arc 機器以自動安裝 ChangeTracking 延伸模組,在 Azure 資訊安全中心啟用檔案完整性監視 (FIM)。 FIM 會檢查作業系統檔案、Windows 登錄、應用程式軟體、Linux 系統檔案等等,以取得可能表示攻擊的變更。 此延伸模組可以安裝在 Azure 監視器代理程式支援的虛擬機器和位置中。 | DeployIfNotExists, Disabled | 2.0.0-preview |
| [預覽]:將已啟用 Linux Arc 的機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將已啟用 Linux Arc 的機器連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:設定已啟用 Linux Arc 的機器,以安裝 ChangeTracking 和 Inventory 的 AMA | 自動在已啟用 Linux Arc 的機器上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果區域有支援,此原則便會安裝延伸模組。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.3.0-preview |
| [預覽]:設定支援的 Linux Arc 機器以自動安裝 Azure 安全性代理程式 | 設定支援的 Linux Arc 機器以自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並且用來提供安全性警示和量身打造的強化工作 (建議)。 目標 Linux Arc 機器必須位於支援的位置。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:設定受支援的 Windows Arc 機器以自動安裝 Azure 安全性代理程式 | 設定支援的 Windows Arc 機器以自動安裝 Azure 安全性代理程式。 資訊安全中心會從代理程式收集事件,並且用來提供安全性警示和量身打造的強化工作 (建議)。 目標 Windows Arc 機器必須位於支援的位置。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:將已啟用 Windows Arc 的機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將已啟用 Windows Arc 的機器連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:設定已啟用 Windows Arc 的機器,以安裝 ChangeTracking 和 Inventory 的 AMA | 自動在已啟用 Windows Arc 的機器上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:設定 Windows Server 以停用本機使用者。 | 建立客體設定指派,以設定在 Windows Server 上停用本機使用者。 這可確保 Windows Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取,以改善整體安全性態勢。 | DeployIfNotExists, Disabled | 1.2.0-preview |
| [預覽]:拒絕延伸安全性更新 (ESU) 授權建立或修改。 | 此原則可讓您限制建立或修改 Windows Server 2012 Arc 電腦的 ESU 授權。 如需價格的詳細資訊,請造訪 https://aka.ms/ArcWS2012ESUPricing | 稽核, 拒絕, 停用 | 1.0.0-preview |
| [預覽]:在 Linux 混合機器上部署適用於端點的 Microsoft Defender 代理程式 | 在 Linux 混合式機器上部署適用於端點的 Microsoft Defender 代理程式 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [預覽]:在 Windows Azure Arc 機器上部署適用於端點的 Microsoft Defender 代理程式 | 在 Windows Azure Arc 機器上部署適用於端點的 Microsoft Defender。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [預覽]:啟用延伸安全性更新 (ESU) 授權,讓 Windows 2012 機器在支援生命週期結束後繼續獲得保護。 | 啟用延伸安全性更新 (ESU) 授權,讓 Windows 2012 機器即使在支援生命週期結束後仍可繼續獲得保護。 了解如何準備透過 Azure Arc 傳遞 Windows Server 2012 的延伸安全性更新,請造訪 https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates。 如需價格的詳細資訊,請造訪 https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:延伸安全性更新應該安裝在 Windows Server 2012 Arc 電腦上。 | Windows Server 2012 Arc 電腦應該已安裝 Microsoft 發行的所有延伸安全性更新。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資訊,請造訪 https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:Linux 機器應符合 Docker 主機的 Azure 安全性基準需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 此機器未針對 Azure 安全性基準中關於 Docker 主機的其中一個建議正確設定。 | AuditIfNotExists, Disabled | 1.2.0-preview |
| [預覽]:Linux 電腦應符合 Azure 計算的 STIG 合規性需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果未針對 Azure 計算 STIG 合規性需求中的其中一項建議正確設定機器,則機器不符合規範。 DISA (美國國防資訊系統局) 提供 STIG (安全性技術實作指南) 技術指南以保護美國國防部 (DoD) 所需的計算 OS。 如需詳細資料,https://public.cyber.mil/stigs/。 | AuditIfNotExists, Disabled | 1.2.0-preview |
| [預覽]:已安裝 OMI 的 Linux 電腦應有 1.6.8-1 版或更新版本 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 由於 Linux OMI 套件 1.6.8-1 版中包含的安全性修正程式,所有機器都應該更新為最新版本。 升級使用 OMI 來解決此問題的應用程式/套件。 如需詳細資訊,請參閱https://aka.ms/omiguidance。 | AuditIfNotExists, Disabled | 1.2.0-preview |
| [預覽]:Linux Azure Arc 機器上應安裝 Log Analytics 延伸模組 | 若未安裝 Log Analytics 延伸模組,則此原則會稽核 Linux Azure Arc 機器。 | AuditIfNotExists, Disabled | 1.0.1-preview |
| [預覽]:Windows Azure Arc 機器上應安裝 Log Analytics 延伸模組 | 若未安裝 Log Analytics 延伸模組,則此原則會稽核 Windows Azure Arc 機器。 | AuditIfNotExists, Disabled | 1.0.1-preview |
| [預覽]:Nexus 計算機器應符合安全性基準 | 利用 Azure 原則客體組態代理程式進行稽核。 此原則可確保機器遵守 Nexus 計算安全性基準,其中包含各種建議,旨在針對各種弱點和不安全的組態強化機器 (僅限 Linux)。 | AuditIfNotExists, Disabled | 1.1.0-preview |
| [預覽]:Windows 電腦應符合 Azure 計算的 STIG 合規性需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算的 STIG 合規性需求的其中一項建議正確設定,則電腦不符合規範。 DISA (美國國防資訊系統局) 提供 STIG (安全性技術實作指南) 技術指南以保護美國國防部 (DoD) 所需的計算 OS。 如需詳細資料,https://public.cyber.mil/stigs/。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核密碼檔權限未設為 0644 的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核未安裝指定應用程式的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Chef InSpec 資源指出未安裝參數所提供的一或多個套件,則電腦不相容。 | AuditIfNotExists, Disabled | 4.2.0 |
| 稽核有不需要密碼之帳戶的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核已安裝指定應用程式的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Chef InSpec 資源指出已安裝參數所提供的一或多個套件,則電腦不相容。 | AuditIfNotExists, Disabled | 4.2.0 |
| 稽核 Linux 的 SSH 安全性狀態(由 OSConfig 提供電源) | 此原則會稽核 Linux 機器上的 SSH 伺服器安全性設定(Azure VM 和已啟用 Arc 的電腦)。 如需詳細資訊,包括必要條件、範圍中的設定、預設值和自定義,請參閱 https://aka.ms/SshPostureControlOverview | AuditIfNotExists, Disabled | 1.0.1 |
| 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核 Windows 電腦網路連線 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 IP 與 TCP 通訊埠的網路連線狀態與原則參數不相符,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核 DSC 設定不合規的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-DSCConfigurationStatus 傳回電腦的 DSC 設定不符合規範,則電腦不相容。 | auditIfNotExists | 3.0.0 |
| 稽核 Log Analytics 代理程式未如預期般連線的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 若未安裝代理程式,或已安裝但 COM 物件 AgentConfigManager.MgmtSvcCfg 傳回其所註冊的工作區,並非原則參數中所指定的識別碼,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核未安裝及「執行」指定服務的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-Service 的結果未包含具有原則參數所指定相符狀態的服務名稱,則電腦不相容。 | auditIfNotExists | 3.0.0 |
| 稽核未啟用 Windows 序列主控台的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 若電腦未安裝序列主控台軟體,或是未使用與原則參數相同的值來設定 EMS 連接埠號碼或傳輸速率,則電腦不相容。 | auditIfNotExists | 3.0.0 |
| 稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器允許在指定的唯一密碼數目之後重複使用密碼,則機器不符合規範。 唯一密碼的預設值為 24 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未加入指定網域的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 WMI 類別中的網域屬性值 win32_computersystem 與原則參數中的值不相符,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核未設定為指定時區的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 WMI 類別 Win32_TimeZone 中 StandardName 的屬性值不符合原則參數所選的時區,則電腦不相容。 | auditIfNotExists | 3.0.0 |
| 稽核其憑證即將在指定天數內到期的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果指定存放區中的憑證到期日超出指定天數的範圍,則電腦不相容。 此原則也提供僅檢查特定憑證或排除特定憑證,以及是否要報告已過期憑證的選項。 | auditIfNotExists | 2.0.0 |
| 稽核其受信任的根中未包含指定憑證的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦受信任的根憑證存放區 (Cert:\LocalMachine\Root) 未包含原則參數所列出的一或多個憑證,則電腦不相容。 | auditIfNotExists | 3.0.0 |
| 稽核未將密碼最長有效期設定為指定天數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼最長有效期設定為指定天數,則機器不符合規範。 密碼最長有效期的預設值為 70 天 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未將密碼最短有效期設定為指定天數的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼最短有效期設定為指定天數,則機器不符合規範。 密碼最短有效期的預設值為 1 天 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未啟用密碼複雜度設定的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未啟用密碼複雜度設定,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
| 稽核沒有指定 Windows PowerShell 執行原則的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows PowerShell 命令 Get-ExecutionPolicy 傳回的值不是原則參數中所選取的值,則機器不符合規範。 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核未安裝指定 Windows PowerShell 模組的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果環境變數 PSModulePath 所指定的位置中無法使用模組,則機器不符合規範。 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核未將密碼長度下限限制為指定字元數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼長度下限限制為指定的字元數,機器就不符合規範。 密碼長度下限的預設值為 14 個字元 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
| 稽核未安裝指定應用程式的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 若在下列任一登錄路徑中找不到該應用程式名稱,該電腦即不合規:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
| 在 Administrators 群組中審查具有額外帳戶的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組包含的成員未在原則參數中列出,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核未在指定天數內重新啟動的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果類別 Win32_Operatingsystem 中的 WMI 屬性 LastBootUpTime 超出原則參數所提供的天數範圍,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核已安裝指定應用程式的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 若在下列任一登錄路徑中找不到該應用程式名稱,該電腦即不合規:HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall、HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall、HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall。 | auditIfNotExists | 2.0.0 |
| 稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果本機系統管理員群組未包含原則參數中列出的一或多個成員,則電腦不相容。 | auditIfNotExists | 2.0.0 |
| 稽核正在等候重新開機的 Windows VM | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦因下列任何原因而擱置重新開機,則電腦不相容:以元件為基礎的服務、Windows Update、擱置的檔案重新命名、擱置的電腦重新命名、擱置的設定管理員重新開機。 每個偵測都有唯一的登錄路徑。 | auditIfNotExists | 2.0.0 |
| 對 Linux 電腦進行驗證需要 SSH 金鑰 | 雖然 SSH 本身提供加密連線,但搭配使用密碼與 SSH 仍會讓 VM 容易受到暴力密碼破解攻擊。 透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組,也稱為 SSH 金鑰。 深入了解:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists, Disabled | 3.2.0 |
| 應使用私人端點設定 Azure Arc 私人連結範圍 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至 Azure Arc 私人連結範圍,資料外洩風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | Audit, Disabled | 1.0.0 |
| Azure Arc 私人連結範圍應停用公用網路存取 | 停用公用網路存取可確保 Azure Arc 資源無法透過公用網際網路進行連線,進而改善安全性。 建立私人端點可限制 Azure Arc 資源的曝光程度。 深入了解:https://aka.ms/arc/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
| 應使用 Azure Arc 私人連結範圍設定啟用 Azure Arc 的伺服器 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc 私人連結範圍,資料外洩風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
| 使用已安裝的 SQL Server 延伸模組來設定已啟用 Arc 的伺服器,以啟用或停用 SQL 最佳做法評量。 | 在已啟用 Arc 的伺服器的 SQL 伺服器執行個體上,啟用或停用 SQL 最佳做法評量,以評估最佳做法。 請至https://aka.ms/azureArcBestPracticesAssessment,即可深入瞭解。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定已啟用 Arc 的 SQL Server 以自動安裝 Azure 監視器代理程式 | 自動在已啟用 Windows Arc 的 SQL Server 上部署 Azure 監視器代理程式延伸模組。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.3.0 |
| 設定已啟用 Arc 的 SQL Server 以自動安裝適用於 SQL 的 Microsoft Defender | 設定已啟用 Windows Arc 的 SQL Server 以自動安裝適用於 SQL 的 Microsoft Defender 代理程式。 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 | DeployIfNotExists, Disabled | 1.2.0 |
| 設定已啟用 Arc 的 SQL Server 以使用 Log Analytics 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與機器相同的區域中,建立資源群組、資料收集規則和 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.5.0 |
| 設定已啟用 Arc 的 SQL Server 以使用使用者定義的 LA 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與使用者定義的 Log Analytics 工作區相同的區域中建立資源群組和資料收集規則。 | DeployIfNotExists, Disabled | 1.7.0 |
| 使用與適用於 SQL DCR 的 Microsoft Defender 的資料收集規則關聯來設定已啟用 Arc 的 SQL Server | 設定已啟用 Arc 的 SQL Server 與適用於 SQL DCR 的 Microsoft Defender 之間的關聯。 刪除此關聯將會中斷此已啟用 Arc 的 SQL Server 的安全性弱點偵測。 | DeployIfNotExists, Disabled | 1.1.0 |
| 使用與適用於 SQL 使用者定義 DCR 的 Microsoft Defender 的資料收集規則關聯來設定已啟用 Arc 的 SQL Server | 設定已啟用 Arc 的 SQL Server 與適用於 SQL 使用者定義 DCR 的 Microsoft Defender 之間的關聯。 刪除此關聯將會中斷此已啟用 Arc 的 SQL Server 的安全性弱點偵測。 | DeployIfNotExists, Disabled | 1.3.0 |
| 將 Azure Arc 私人連結範圍設定為停用公用網路存取 | 停用 Azure Arc 私人連結範圍的公用網路存取,讓相關聯的 Azure Arc 資源無法透過公用網際網路連線到 Azure Arc 服務。 這可降低資料洩漏風險。 深入了解:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
| 使用私人端點設定 Azure Arc 私人連結範圍 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Arc 私人連結範圍,您可以降低資料外洩的風險。 深入了解私人連結:https://aka.ms/arc/privatelink。 | DeployIfNotExists, Disabled | 2.0.0 |
| 將啟用 Azure Arc 的伺服器設定為使用 Azure Arc 私人連結範圍 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將已啟用 Azure Arc 的伺服器對應至使用私人端點設定的 Azure Arc 私人連結範圍,資料外洩風險就會降低。 深入了解私人連結:https://aka.ms/arc/privatelink。 | 修改、停用 | 1.0.0 |
| 設定適用於伺服器的 Azure Defender 針對所有資源 (資源層級) 停用 | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 此原則會在已選取範圍 (訂用帳戶或資源群組) 針對所有資源 (VM、VMSS 和 ARC 機器) 停用適用於伺服器的 Defender 方案。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定適用於伺服器的 Azure Defender 針對具有已選取標籤的所有資源 (資源層級) 停用 | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 此原則會針對具有已選取標籤名稱和標籤值的所有資源 (VM、VMSS 和 ARC 機器) 停用適用於伺服器的 Defender 方案。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定適用於伺服器的 Azure Defender 針對具有已選取標籤的所有資源 (資源層級) 啟用 ('P1' 子方案) | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 此原則會針對具有已選取標籤名稱和標籤值的所有資源 (VM 和 ARC 機器) 啟用適用於伺服器的 Defender 方案 (具有 'P1' 子方案)。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定適用於伺服器的 Azure Defender 針對所有資源 (資源層級) 啟用 (具有 'P1' 子方案) | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 此原則會在已選取範圍 (訂用帳戶或資源群組) 針對所有資源 (VM 和 ARC 機器) 啟用適用於伺服器的 Defender 方案 (具有 'P1' 子方案)。 | DeployIfNotExists, Disabled | 1.0.0 |
| 在已啟用 Azure Arc 的 Linux 伺服器上設定 Dependency Agent | 藉由安裝 Dependency Agent 虛擬機器擴充功能,透過已啟用 Arc 的伺服器,在連線至 Azure 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Dependency Agent 來收集網路計量,以及探索到的資料 (關於在機器上執行的處理序和外部處理序相依性)。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 2.1.0 |
| 使用 Azure 監視代理程式設定,在已啟用 Azure Arc 的 Linux 伺服器上設定 Dependency Agent | 使用 Azure 監視代理程式設定安裝 Dependency Agent 虛擬機器擴充功能,可透過已啟用 Arc 的伺服器,在連線至 Azure 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Dependency Agent 來收集網路計量,以及探索到的資料 (關於在機器上執行的處理序和外部處理序相依性)。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 1.2.0 |
| 在已啟用 Azure Arc 的 Windows 伺服器上設定 Dependency Agent | 藉由安裝 Dependency Agent 虛擬機器擴充功能,透過已啟用 Arc 的伺服器,在連線至 Azure 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Dependency Agent 來收集網路計量,以及探索到的資料 (關於在機器上執行的處理序和外部處理序相依性)。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 2.1.0 |
| 使用 Azure 監視代理程式設定,在已啟用 Azure Arc 的 Windows 伺服器上設定 Dependency Agent | 使用 Azure 監視代理程式設定安裝 Dependency Agent 虛擬機器擴充功能,可透過已啟用 Arc 的伺服器,在連線至 Azure 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Dependency Agent 來收集網路計量,以及探索到的資料 (關於在機器上執行的處理序和外部處理序相依性)。 查看更多 - https://aka.ms/vminsightsdocs。 | DeployIfNotExists, Disabled | 1.2.0 |
| 設定 Linux Arc 機器以與資料收集規則或資料收集端點相關聯 | 部署關聯,以將 Linux Arc 機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置清單會隨之更新。 | DeployIfNotExists, Disabled | 2.2.1 |
| 設定 Linux 啟用 Arc 的機器以執行 Azure 監視器代理程式 | 自動在已啟用 Linux Arc 的機器上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果區域有支援,此原則便會安裝延伸模組。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 2.4.0 |
| 設定 Linux 機器以與資料收集規則或資料收集端點相關聯 | 請部署關聯,以將 Linux 虛擬機器、虛擬機器擴展集和 Arc 機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 6.5.1 |
| 設定 Linux Server 以停用本機使用者。 | 建立客體組態指派,以設定在 Linux Server 上停用本機使用者。 這可確保 Linux Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取,以改善整體安全性態勢。 | DeployIfNotExists, Disabled | 1.3.0-preview |
| 在已啟用 Azure Arc 的 Linux 伺服器上設定 Log Analytics 延伸模組。 請參閱下方的淘汰通知 | 藉由安裝 Log Analytics 虛擬機器擴充功能,透過已啟用 Arc 的伺服器,在連線至 Azure 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Log Analytics 代理程式來收集客體 OS 效能資料,並提供其效能的深入解析。 查看更多 - https://aka.ms/vminsightsdocs。 淘汰通知:Log Analytics 代理程式即將淘汰,且在 2024 年 8 月 31 日之後將不再受到支援。 您必須在該日期之前移轉至替換的「Azure 監視器代理程式」 | DeployIfNotExists, Disabled | 2.1.1 |
| 在已啟用 Azure Arc 的 Windows 伺服器上設定 Log Analytics 延伸模組 | 藉由安裝 Log Analytics 虛擬機器擴充功能,透過已啟用 Arc 的伺服器,在連線至 Azure 的伺服器和機器上啟用 VM 深入解析。 VM 深入解析會使用 Log Analytics 代理程式來收集客體 OS 效能資料,並提供其效能的深入解析。 查看更多 - https://aka.ms/vminsightsdocs。 淘汰通知:Log Analytics 代理程式即將淘汰,且在 2024 年 8 月 31 日之後將不再受到支援。 您必須在該日期之前移轉至替換的「Azure 監視器代理程式」。 | DeployIfNotExists, Disabled | 2.1.1 |
| 設定機器以接收弱點評定提供者 | Azure Defender 包含機器的弱點掃描,不需額外費用。 您不需要 Qualys 授權或 Qualys 帳戶,一切都可以在資訊安全中心內流暢進行。 當您啟用此原則時,Azure Defender 會自動將 Qualys 弱點評估提供者部署到尚未安裝的所有支援機器。 | DeployIfNotExists, Disabled | 4.0.0 |
| [預覽]:在已啟用 Azure Arc 的伺服器上設定遺漏系統更新的定期檢查 | 在已啟用 Azure Arc 的伺服器上設定作業系統更新的自動評估 (每 24 小時一次)。 您可以根據機器訂用帳戶、資源群組、位置或標記來控制指派的範圍。 在以下位置深入了解,針對 Windows:https://aka.ms/computevm-windowspatchassessmentmode,針對 Linux:https://aka.ms/computevm-linuxpatchassessmentmode。 | 修改 | 2.3.0 |
| 在 Windows 電腦上設定安全通訊協定 (TLS 1.1 或 TLS 1.2) | 建立來賓設定指派,以在 Windows 電腦上設定指定的安全通訊協定版本 (TLS 1.1 或 TLS 1.2)。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定 Linux 的 SSH 安全性狀態(由 OSConfig 提供電源) | 此原則會在Linux機器上稽核及設定SSH伺服器安全性設定(Azure VM和已啟用Arc的機器)。 如需詳細資訊,包括必要條件、範圍中的設定、預設值和自定義,請參閱 https://aka.ms/SshPostureControlOverview | DeployIfNotExists, Disabled | 1.0.1 |
| 設定適用於 SQL 的 Microsoft Defender 的 Log Analytics 工作區 | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與機器相同的區域中建立資源群組和 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.4.0 |
| 在 Windows 機器上設定時區。 | 此原則會建立客體設定指派,以在 Windows 虛擬機器上設定指定的時區。 | deployIfNotExists | 2.1.0 |
| 設定虛擬機器以在 Azure Automanage 上線 | Azure Automanage 會註冊、設定及監視虛擬機器,最佳做法如同適用於 Azure 的 Microsoft 雲端採用架構中所定義。 請使用此原則將 Automanage 套用到您選取的範圍。 | AuditIfNotExists、DeployIfNotExists、Disabled | 2.4.0 |
| 設定虛擬機器,以便在 Azure Automanage 上線,並具有自訂組態設定檔 | Azure Automanage 會註冊、設定及監視虛擬機器,最佳做法如同適用於 Azure 的 Microsoft 雲端採用架構中所定義。 使用此原則,將 Automanage 與您自己的自訂組態設定檔套用至選取的範圍。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.4.0 |
| 設定 Windows Arc 機器以與資料收集規則或資料收集端點相關聯 | 部署關聯,以將 Windows Arc 機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置清單會隨之更新。 | DeployIfNotExists, Disabled | 2.2.1 |
| 設定 Windows 啟用 Arc 的機器以執行 Azure 監視器代理程式 | 自動在 Windows 啟用 Arc 的機器上部署 Azure 監視器代理程式延伸模組,以從客體 OS 收集遙測資料。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 2.4.0 |
| 設定 Windows 機器以與資料收集規則或資料收集端點相關聯 | 請部署關聯,以將 Windows 虛擬機器、虛擬機器擴展集和 Arc 機器連結至指定的資料收集規則或指定的資料收集端點。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 4.5.1 |
| 應解決您機器上端點保護健康情況的問題 | 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists, Disabled | 1.0.0 |
| 您的機器上應安裝端點保護 | 若要保護您的機器免於威脅和弱點的侵害,請安裝支援的端點保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0 |
| Linux 啟用 Arc 的機器應安裝 Azure 監視器代理程式 | Linux 啟用 Arc 的機器應透過部署的 Azure 監視器代理程式進行監視和保護。 Azure 監視器代理程式會從客體 OS 收集遙測資料。 此原則會在支援的區域中稽核已啟用 Arc 的機器。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 1.2.0 |
| Linux 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
| Linux 電腦應該只有允許的本機帳戶 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 使用 Azure Active Directory 管理使用者帳戶是管理身分識別的最佳做法。 減少本機電腦帳戶有助於防止在中央系統外部管理的身分識別激增。 如果有本機使用者帳戶已啟用但是未列在原則參數中,則機器不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
| Linux 電腦上應停用本機驗證方法 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 伺服器未停用本機驗證方法,則電腦不符合規範。 這可驗證 Linux Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取,以改善整體安全性態勢。 | AuditIfNotExists, Disabled | 1.2.0-preview |
| Windows 伺服器上應停用本機驗證方法 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 伺服器未停用本機驗證方法,則電腦不符合規範。 這可驗證 Windows Server 只能由 AAD (Azure Active Directory) 帳戶或此原則明確允許使用者清單進行存取,以改善整體安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| 機器應該設定定期檢查,以檢查是否有遺漏的系統更新 | 為了確保每隔 24 小時自動觸發遺漏系統更新的定期評量,AssessmentMode 屬性應該設定為 'AutomaticByPlatform'。 在以下位置深入了解 AssessmentMode 屬性,針對 Windows:https://aka.ms/computevm-windowspatchassessmentmode,針對 Linux:https://aka.ms/computevm-linuxpatchassessmentmode。 | Audit, Deny, Disabled | 3.7.0 |
| 使用 Azure 更新管理員排程週期性更新 | 您可以使用 Azure 中的 Azure 更新管理員,以儲存週期性部署排程,在 Azure、內部部署環境、以及使用已啟用 Azure Arc 的伺服器連線的其他雲端環境中,為您的 Windows Server 和 Linux 機器安裝作業系統更新。 此原則也會將 Azure 虛擬機器的修補模式變更為「AutomaticByPlatform」。 更多資訊:https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.12.0 |
| 機器上的 SQL Server 應已解決發現的弱點 | SQL 弱點評估會掃描您的資料庫以尋找安全性弱點,並顯示與最佳做法不符的偏差動作,例如設定錯誤、過度授權或未保護敏感性資料。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0 |
| 訂閱合格已啟用 Arc 的 SQL Server 執行個體的延伸安全性更新。 | 訂閱合格已啟用 Arc 的 SQL Server 執行個體的延伸安全性更新,將「授權類型」設定為「付費」或「隨用隨付」。 若要深入了解延伸安全性更新,請參閱 https://go.microsoft.com/fwlink/?linkid=2239401。 | DeployIfNotExists, Disabled | 1.0.0 |
| 應在您的機器上安裝系統更新 (由更新中心提供) | 您的機器缺少系統、安全性和重大更新。 軟體更新通常包含安全性漏洞的重大修補檔。 這類漏洞經常遭到惡意程式碼攻擊,因此請務必讓軟體保持更新。 若要安裝所有未安裝的修補檔並保護您的機器,請遵循補救步驟。 | AuditIfNotExists, Disabled | 1.0.1 |
| 舊版 Log Analytics 延伸模組不應該安裝在已啟用 Azure Arc 的 Linux 伺服器上 | 自動防止將舊版 Log Analytics 代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 在您已解除安裝現有舊版延伸模組之後,此原則將會拒絕已啟用 Azure Arc 的 Linux 伺服器上舊版代理程式延伸模組的所有未來安裝。 深入了解:https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| 舊版 Log Analytics 延伸模組不應該安裝在已啟用 Azure Arc 的 Windows Server 上 | 自動防止將舊版 Log Analytics 代理程式安裝為從舊版代理程式移轉至 Azure 監視器代理程式的最後一個步驟。 在您已解除安裝現有舊版延伸模組之後,此原則將會拒絕已啟用 Azure Arc 的 Windows Server 上舊版代理程式延伸模組的所有未來安裝。 深入了解:https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| Windows 啟用 Arc 的機器應安裝 Azure 監視器代理程式 | Windows 啟用 Arc 的機器應透過部署的 Azure 監視器代理程式進行監視和保護。 Azure 監視器代理程式會從客體 OS 收集遙測資料。 支援區域中的 Windows 啟用 Arc 的機器會針對 Azure 監視器代理程式部署進行監視。 深入了解:https://aka.ms/AMAOverview。 | AuditIfNotExists, Disabled | 1.2.0 |
| 應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
| Windows 機器應設定為使用安全通訊協定 | 若要保護透過網際網路通訊的資訊隱私權,您的機器應使用最新版的業界標準密碼編譯通訊協定,即傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 | AuditIfNotExists, Disabled | 4.1.1 |
| Windows 電腦應設定 Windows Defender 在一天內更新保護簽章 | 若要提供足夠的保護以抵禦新發行的惡意程式碼,Windows Defender 保護簽章必須定期更新以應對新發行的惡意程式碼。 此原則不會套用至 Arc 連線的伺服器,而且會要求必須已將來賓設定必要條件部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.1 |
| Windows 電腦應啟用 Windows Defender 即時保護 | Windows 電腦應啟用 Windows Defender 中的即時保護,提供足夠的保護以抵禦新發行的惡意程式碼。 此原則不適用於 Arc 連線的伺服器,而且會要求必須已將來賓設定必要條件部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.1 |
| Windows 電腦應符合「系統管理範本 - 控制台」的需求 | Windows 電腦在 [系統管理範本 - 控制台] 類別中應具有指定的群組原則設定,以將輸入個人化和防止啟用鎖定畫面。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統管理範本 - MSS (舊版)」的需求 | Windows 電腦的 [系統管理範本 - MSS (舊版)] 類別中應具有指定的群組原則設定,以用於自動登入、螢幕保護裝置、網路行為、安全 DLL 和事件記錄檔。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統管理範本 - 網路」的需求 | Windows 電腦在 [系統管理範本 - 網路] 類別中應具有指定的 [群組原則] 設定,以進行來賓登入、同時連線、網路橋接器、ICS 和多點傳送名稱解析。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統管理範本 - 系統」的需求 | Windows 電腦的 [系統管理範本 - 系統] 類別中應具有指定的群組原則設定,以透過設定來控制系統管理體驗和遠端協助。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 帳戶」的需求 | Windows 電腦的 [安全性選項 - 帳戶] 類別中應具有指定群組原則設定,以限制空白密碼和來賓帳戶狀態下的本機帳戶使用方式。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 稽核」的需求 | Windows 電腦的「安全性選項 - 稽核」類別中應有指定的群組原則設定,以強制執行稽核原則子類別,並在無法記錄安全性審核時關閉。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 裝置」的需求 | Windows 電腦的 [安全性選項 - 裝置] 類別中應具有指定群組原則設定,以在不登入的情況下進行卸除、安裝列印驅動程式,以及格式化/退出媒體。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 互動式登入」的需求 | Windows 電腦的 [安全性選項 - 互動式登入] 類別中應具有指定的群組原則設定,以顯示最後一個使用者名稱,並要求使用 ctrl-alt-del。此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - Microsoft 網路用戶端」的需求 | Windows 電腦的 [安全性選項 - Microsoft 網路用戶端] 類別中應具有指定的群組原則設定,以用於 Microsoft 網路用戶端/伺服器和 SMB v1。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - Microsoft 網路伺服器」的需求 | Windows 電腦在 [安全性選項 - Microsoft 網路伺服器] 類別中應具有指定的 [群組原則] 設定,才能停用 SMB v1 伺服器。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 網路存取」的需求 | Windows 電腦的 [安全性選項 - 網路存取] 類別中應具有指定的群組原則設定,以包含匿名使用者的存取、本機帳戶及登錄的遠端存取。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | Windows 電腦在 [安全性選項 - 網路安全性] 類別中應具有指定的 [群組原則] 設定,以便包含本機系統行為、PKU2U、LAN Manager、LDAP 用戶端和 NTLM SSP。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 修復主控台」的需求 | Windows 電腦的 [安全性選項 - 復原主控台] 類別中應該有指定的群組原則設定,以允許對所有磁碟機和資料夾進行軟碟複製和存取。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 關機」的需求 | Windows 電腦的 [安全性選項 - 關閉] 類別中應具有指定的群組原則設定,以允許在不登入的情況下關機,以及清除虛擬記憶體分頁檔。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 系統物件」的需求 | Windows 電腦的 [安全性選項 - 系統物件] 類別中應具有指定的群組原則設定,以因應非 Windows 子系統和內部系統物件權限的大小寫區分。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 系統設定」的需求 | Windows 電腦的 [安全性選項 - 系統設定] 類別中應具有指定的群組原則設定,以在SRP 和選擇性子系統的可執行檔上建立憑證規則。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性選項 - 使用者帳戶控制」的需求 | Windows 電腦的 [安全性選項 - 使用者帳戶控制] 類別中應該有指定的群組原則設定,以用於管理員模式、提高權限提示行為及虛擬化檔案和登錄寫入失敗。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「安全性設定 - 帳戶原則」的需求 | Windows 電腦的 [安全性設定 - 帳戶原則] 類別中應具有指定的群組原則設定,以取得密碼歷程記錄、存留期、長度、複雜度,以及使用可還原的加密來儲存密碼。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 帳戶登入」的需求 | Windows 電腦的 [系統稽核原則 - 帳戶登入] 類別中應具有指定的群組原則設定,以用於稽核認證驗證和其他帳戶登入事件。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 帳戶管理」的需求 | Windows 電腦的「系統稽核原則 - 帳戶管理」類別中應有指定的群組原則設定,以用於稽核應用程式、安全性和使用者群組管理及其他管理事件。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | Windows 電腦的「系統稽核原則 - 詳細追蹤」類別中應有指定的群組原則設定,以用於稽核 DPAPI、程序建立/終止、RPC 事件和 PNP 活動。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 登入-登出」的需求 | Windows 電腦的 [系統稽核原則 - 登入-登出] 類別中應具有指定的群組原則設定,以用於稽核 IPSec、網路原則、宣告、帳戶鎖定、群組成員資格,以及登入/登出事件。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 物件存取」的需求 | Windows 電腦的 [系統稽核原則 - 物件存取] 類別中應具有指定的群組原則設定,以用於稽核檔案、登錄、SAM、儲存體、篩選、核心和其他系統類型。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 原則變更」的需求 | Windows 電腦的 [系統稽核原則 - 原則變更] 類別中應具有指定的群組原則設定,以用於稽核系統稽核原則的變更。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 特殊權限使用」的需求 | Windows 電腦的 [系統稽核原則 - 特殊權限使用] 類別中應具有指定的群組原則設定,以用於稽核非敏感性和其他特殊權限的使用。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「系統稽核原則 - 系統」的需求 | Windows 電腦的 [系統稽核原則 - 系統] 類別中應具有指定的群組原則設定,以用於稽核 IPsec 驅動程式、系統完整性、系統擴充、狀態變更和其他系統事件。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「使用者權限指派」的需求 | Windows 電腦的「使用者權限指派」類別中應具有指定的群組原則設定,以允許本機登入、RDP、從網路存取,以及其他許多使用者活動。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「Windows 元件」的需求 | Windows 電腦的 [Windows 元件] 類別中應具有指定的群組原則設定,以用於基本驗證、未加密流量、Microsoft 帳戶、遙測、Cortana 和其他 Windows 行為。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 電腦應符合「Windows 防火牆屬性」的需求 | Windows 電腦的 [Windows 防火牆內容] 類別中應具有指定的群組原則設定,以用於防火牆狀態、連線、規則管理和通知。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
| Windows 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
| Windows 電腦應該只有允許的本機帳戶 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 Windows Server 2012 或 2012 R2 不支援此定義。 使用 Azure Active Directory 管理使用者帳戶是管理身分識別的最佳做法。 減少本機電腦帳戶有助於防止在中央系統外部管理的身分識別激增。 如果有本機使用者帳戶已啟用但是未列在原則參數中,則機器不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。