Definições internas do Azure Policy para servidores habilitados para o Azure Arc
Esta página é um índice de definições de políticas internas do Azure Policy para servidores habilitados para o Azure Arc. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Servidores habilitados para Azure Arc
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: uma identidade gerenciada deve ser habilitada em seus computadores | Os recursos gerenciados pelo Gerenciamento Automatizado devem ter uma identidade gerenciada. | Audit, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: auditar o controle de postura SSH nas máquinas Linux | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o servidor SSH não estiver configurado de forma segura nos computadores Linux. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: a atribuição de perfil de configuração de Gerenciamento Automatizado deve estar em conformidade | Os recursos gerenciados pelo Gerenciamento Automatizado devem ter um status de Conformant ou ConformantCorrected. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: o agente de Segurança do Azure deve ser instalado nos seus computadores Linux do Arc | Instale o agente de Segurança do Azure nos seus computadores Linux do Arc para monitorar os computadores em busca de configurações e vulnerabilidades. Os resultados das avaliações podem ser vistos e gerenciados na Central de Segurança do Azure. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: o agente de Segurança do Azure deve ser instalado nos seus computadores Windows do Arc | Instale o agente de Segurança do Azure nos seus computadores Windows do Arc para monitorar os computadores em busca de configurações e vulnerabilidades. Os resultados das avaliações podem ser vistos e gerenciados na Central de Segurança do Azure. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: a extensão ChangeTracking deve ser instalada em seu computador Linux do Arc | Instale a extensão ChangeTracking nos computadores Linux do Arc para habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente de Monitoramento do Azure. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: a extensão ChangeTracking deve ser instalada em seu computador Windows do Arc | Instale a extensão ChangeTracking nos computadores Windows do Arc para habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente de Monitoramento do Azure. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: configurar computadores Linux habilitados para Azure Arc com agentes do Log Analytics conectados ao workspace do Log Analytics padrão | Proteja seus computadores Linux habilitados para Azure Arc com as funcionalidades do Microsoft Defender para Nuvem, instalando os agentes do Log Analytics que enviam dados para um workspace padrão do Log Analytics criado pelo Microsoft Defender para Nuvem. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: configurar computadores Windows habilitados para Azure Arc com agentes do Log Analytics conectados ao workspace do Log Analytics padrão | Proteja seus computadores Windows habilitados para Azure Arc com as funcionalidades do Microsoft Defender para Nuvem, instalando os agentes do Log Analytics que enviam dados para um workspace padrão do Log Analytics criado pelo Microsoft Defender para Nuvem. | DeployIfNotExists, desabilitado | 1.1.0 – versão prévia |
| [Versão prévia]: configurar a Extensão ChangeTracking para computadores Linux do Arc | Configure computadores Linux do Arc para instalar automaticamente a extensão ChangeTracking a fim de habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente do Azure Monitor. | DeployIfNotExists, desabilitado | 2.0.0-preview |
| [Versão prévia]: configurar a Extensão ChangeTracking para computadores Windows do Arc | Configure computadores Windows do Arc para instalar automaticamente a extensão ChangeTracking a fim de habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente do Azure Monitor. | DeployIfNotExists, desabilitado | 2.0.0-preview |
| [Versão prévia]: configurar os computadores habilitados para o Linux Arc para serem associados a uma Regra de Coleta de Dados para o ChangeTracking e Inventário | Implante a associação para vincular computadores habilitados para Linux Arc à regra de coleta de dados especificada para habilitar ChangeTracking e Inventário. A lista de locais é atualizada ao longo do tempo de acordo com a expansão do suporte. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: configurar computadores habilitados para o Arc do Linux para instalar o AMA para ChangeTracking e Inventário | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais habilitadas para Linux Arc para habilitar o ChangeTracking e o inventário. Essa política instalará a extensão se a região tiver suporte. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.3.0-preview |
| [Versão prévia]: configurar o Controle de Postura SSH em computadores Linux | Esta política cria uma atribuição de Configuração de Convidado para definir o Controle de Postura SSH em computadores Linux. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: configurar os computadores Linux do Arc compatíveis para instalar automaticamente o agente de Segurança do Azure | Configure os computadores Linux do Arc compatíveis para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Os computadores Linux do Arc de destino precisam estar em uma localização com suporte. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: configure os computadores Windows do Arc com suporte para instalar automaticamente o agente de Segurança do Azure | Configure os computadores Windows do Arc com suporte para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Os computadores Windows do Arc de destino precisam estar em uma localização com suporte. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: configurar computadores habilitados para Windows Arc para serem associados a uma Regra de Coleta de Dados para ChangeTracking e Inventário | Implante a associação para vincular computadores habilitados Windows Arc à regra de coleta de dados especificada para habilitar ChangeTracking e Inventário. A lista de locais é atualizada ao longo do tempo de acordo com a expansão do suporte. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: configurar computadores habilitados para Windows Arc para instalar o AMA para o ChangeTracking e Inventário | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais habilitadas Windows Linux Arc para habilitar o ChangeTracking e o inventário. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: configurar o Windows Server para desabilitar usuários locais. | Cria uma atribuição de Configuração de Convidado para configurar a desabilitação de usuários locais no Windows Server. Isso garantirá que o Windows Server somente poderá ser acessado pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. | DeployIfNotExists, desabilitado | 1.2.0 – versão prévia |
| [Versão prévia] Negar a criação ou modificação da licença de ESUs (Atualizações de Segurança Estendidas) | Essa política permite restringir a criação ou modificação de licenças de ESU para computadores Windows Server 2012 Arc. Para obter mais detalhes sobre preços, visite https://aka.ms/ArcWS2012ESUPricing | Deny, Desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: implantar o agente do Microsoft Defender para Ponto de Extremidade em computadores híbridos do Linux | Implanta o agente do Microsoft Defender para Ponto de Extremidade em máquinas híbridas do Linux | DeployIfNotExists, AuditIfNotExists, Desabilitado | 2.0.1 – versão prévia |
| [Versão prévia]: implantar o agente do Microsoft Defender para Ponto de Extremidade em computadores do Azure Arc do Windows | Implanta o Microsoft Defender para Ponto de Extremidade em computadores do Azure Arc do Windows. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 2.0.1 – versão prévia |
| [Versão prévia] Habilite a licença de ESUs (Atualizações de Segurança Estendidas) para manter os computadores Windows 2012 protegidos após o término do ciclo de vida do suporte. | Habilite a licença de ESUs (Atualizações de Segurança Estendidas) para manter os computadores Windows 2012 protegidos mesmo após o término do ciclo de vida do suporte. Saiba como se preparar para fornecer Atualizações de Segurança Estendidas para o Windows Server 2012 por meio do Azure Arc. Visite https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Para obter mais detalhes sobre preços, visite https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: as atualizações de segurança estendidas devem ser instaladas em computadores Windows Server 2012 Arc. | Os computadores Windows Server 2012 Arc devem ter instalado todas as Atualizações de Segurança Estendidas lançadas pela Microsoft. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, acesse https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: As máquinas Linux devem atender aos requisitos da linha de base de segurança do Azure para hosts Docker | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. O computador não está configurado corretamente para uma das recomendações na linha de base de segurança do Azure para hosts Docker. | AuditIfNotExists, desabilitado | 1.2.0 – versão prévia |
| [Versão prévia]: os computadores Linux devem atender aos requisitos de conformidade do STIG para a computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não estiver configurado corretamente para uma das recomendações nos requisitos de conformidade do STIG para computação do Azure. A DISA (Agência de Sistemas de Informações de Defesa) fornece guias técnicos STIG (Guia de Implementação Técnica de Segurança) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para obter mais detalhes, acesse https://public.cyber.mil/stigs/. | AuditIfNotExists, desabilitado | 1.2.0 – versão prévia |
| [Versão prévia]: computadores do Linux com OMI instalado devem ter a versão 1.6.8-1 ou posterior | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Devido a uma correção de segurança incluída na versão 1.6.8-1 do pacote OMI para Linux, todos os computadores devem ser atualizados para a versão mais recente. Atualize aplicativos/pacotes que usam o OMI para resolver o problema. Para obter mais informações, consulte https://aka.ms/omiguidance. | AuditIfNotExists, desabilitado | 1.2.0 – versão prévia |
| [Pré-visualização]: a extensão do Log Analytics deve ser instalada nos computadores Linux do Azure Arc | Esta política audita computadores Linux do Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Pré-visualização]: A extensão do Log Analytics deve ser instalada nos computadores Windows do Azure Arc | Esta política auditará os computadores Windows do Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Versão prévia]: os computadores de computação Nexus devem atender à Linha de Base de Segurança | Utiliza o agente de Configuração de Convidado do Azure Policy para auditoria. Essa política garante que os computadores sigam a linha de base de segurança de computação do Nexus, abrangendo várias recomendações projetadas para fortalecer computadores em relação a uma variedade de vulnerabilidades e configurações não seguras (somente Linux). | AuditIfNotExists, desabilitado | 1.1.0 – versão prévia |
| [Versão prévia]: os computadores Windows devem atender aos requisitos de conformidade do STIG para computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações nos requisitos de conformidade do STIG para computação do Azure. A DISA (Agência de Sistemas de Informações de Defesa) fornece guias técnicos STIG (Guia de Implementação Técnica de Segurança) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para obter mais detalhes, acesse https://public.cyber.mil/stigs/. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
| Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desabilitado | 3.1.0 |
| Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | AuditIfNotExists, desabilitado | 3.1.0 |
| Auditar os computadores Linux que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro não estão instalados. | AuditIfNotExists, desabilitado | 4.2.0 |
| Auditar os computadores Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem contas sem senhas | AuditIfNotExists, desabilitado | 3.1.0 |
| Auditar os computadores Linux que têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro estão instalados. | AuditIfNotExists, desabilitado | 4.2.0 |
| Auditar computadores Windows que não têm membros especificados no Grupo de administradores | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local não contiver um ou mais membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar a conectividade de rede de computadores Windows | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se um status de conexão de rede para um IP e a porta TCP não corresponderem ao parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar computadores Windows nos quais a configuração DSC não está em conformidade | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o comando Get-DSCConfigurationStatus do Windows PowerShell retornar que a configuração DSC do computador não está em conformidade. | auditIfNotExists | 3.0.0 |
| Auditar os computadores Windows nos quais o agente do Log Analytics não esteja conectado conforme o esperado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o agente não estiver instalado e nem se ele estiver instalado, mas o objeto COM AgentConfigManager.MgmtSvcCfg retornar que ele está registrado em um workspace diferente da ID especificada no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar computadores Windows nos quais os serviços especificados não estão instalados e 'Em execução' | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o resultado do comando Get-Service do Windows PowerShell não incluir o nome do serviço com o status correspondente, conforme especificado pelo parâmetro de política. | auditIfNotExists | 3.0.0 |
| Auditar computadores Windows nos quais o Console Serial do Windows não está habilitado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não tiver o software do Console Serial instalado ou se o número da porta do EMS ou a taxa de transmissão não estiverem configurados com os mesmos valores que os dos parâmetros da política. | auditIfNotExists | 3.0.0 |
| Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desabilitado | 2.1.0 |
| Auditar os computadores Windows que não ingressaram no domínio especificado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o valor da propriedade de Domínio na classe WMI win32_computersystem não corresponder ao valor no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar os computadores Windows que não estão definidos para o fuso horário especificado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o valor da propriedade StandardName na classe WMI Win32_TimeZone não corresponder ao fuso horário selecionado para o parâmetro de política. | auditIfNotExists | 3.0.0 |
| Auditar os computadores Windows que contêm certificados que expiram dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os certificados no repositório especificado tiverem uma data de validade fora do intervalo para o número de dias fornecido como parâmetro. A política também fornece a opção de verificar apenas certificados específicos ou excluir certificados específicos e se certificados expirados serão relatados. | auditIfNotExists | 2.0.0 |
| Auditar os computadores Windows que não contêm os certificados especificados na Raiz Confiável | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o repositório de certificados Raiz Confiável do computador (Cert:\LocalMachine\Root) não contiver um ou mais certificados listados pelo parâmetro de política. | auditIfNotExists | 3.0.0 |
| Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias | AuditIfNotExists, desabilitado | 2.1.0 |
| Auditar computadores Windows que não têm a idade mínima da senha definida como o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se computadores Windows não têm a idade mínima da senha definida como o número especificado de dias. O valor padrão para a idade mínima da senha é 1 dia | AuditIfNotExists, desabilitado | 2.1.0 |
| Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não têm a configuração de complexidade de senha habilitada | AuditIfNotExists, desabilitado | 2.0.0 |
| Faça auditoria dos computadores Windows que não têm a política de execução do Windows PowerShell especificada | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o comando Get-ExecutionPolicy do Windows PowerShell retornar um valor diferente do que foi selecionado no parâmetro de política. | AuditIfNotExists, desabilitado | 3.0.0 |
| Faça auditoria dos computadores Windows que não têm os módulos do Windows PowerShell especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se um módulo não estiver disponível em um local especificado pela variável de ambiente PSModulePath. | AuditIfNotExists, desabilitado | 3.0.0 |
| Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desabilitado | 2.1.0 |
| Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível | AuditIfNotExists, desabilitado | 2.0.0 |
| Auditar os computadores Windows que não têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o nome do aplicativo não for encontrado em nenhum dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditar os computadores Windows que têm contas extras no Grupo de administradores | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local contiver membros que não estejam listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar os computadores Windows que não foram reiniciados dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se a propriedade WMI LastBootUpTime na classe Win32_Operatingsystem estiver fora do intervalo de dias fornecido pelo parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar os computadores Windows que têm os aplicativos especificados instalados | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o nome do aplicativo for encontrado em algum dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditar computadores Windows que têm os membros especificados no Grupo de administradores | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local contiver um ou mais membros listados no parâmetro de política. | auditIfNotExists | 2.0.0 |
| Auditar as VMs do Windows com uma reinicialização pendente | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador tiver uma reinicialização pendente por qualquer um dos seguintes motivos: serviço baseado em componentes, Windows Update, renomeação de arquivo pendente, renomeação de computador pendente, reinicialização pendente do Configuration Manager. Cada detecção tem um caminho do Registro exclusivo. | auditIfNotExists | 2.0.0 |
| A autenticação para computadores Linux deve exigir chaves SSH | Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desabilitado | 3.2.0 |
| Os Escopos de Link Privado do Azure Arc devem ser configurados com um ponto de extremidade privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para os Escopos de Link Privado do Azure Arc, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Audit, desabilitado | 1.0.0 |
| Os Escopos de Link Privado do Azure Arc devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública melhora a segurança, garantindo que os recursos do Azure Arc não possam se conectar pela Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos recursos do Azure Arc. Saiba mais em: https://aka.ms/arc/privatelink. | Audit, Deny, desabilitado | 1.0.0 |
| Os servidores habilitados para o Azure Arc devem ser configurados com um Escopo de Link Privado do Azure Arc | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Audit, Deny, desabilitado | 1.0.0 |
| Configurar servidores habilitados para Arc com a extensão SQL Server instalada para habilitar ou desabilitar as práticas recomendadas de avaliação do SQL. | Habilite ou desabilite as práticas recomendadas de avaliação do SQL nas instâncias do SQL Server em seus servidores habilitados para Arc para avaliar as práticas recomendadas. Saiba mais em https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar SQL Servers habilitados para Arc para instalar automaticamente o Agente do Azure Monitor | Automatize a implantação da extensão do Agente do Azure Monitor nos SQL Servers habilitados para Arc do Windows. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 1.3.0 |
| Configurar os SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender para SQL | Configure os SQL Servers habilitados para Arc do Windows para instalar automaticamente o agente do Microsoft Defender para SQL. O Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas personalizadas de reforço de proteção (recomendações). | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar os SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender para SQL e a DCR com um workspace do Log Analytics | O Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas personalizadas de reforço de proteção (recomendações). Crie um grupo de recursos, uma regra de coleta de dados e um workspace do Log Analytics na mesma região do computador. | DeployIfNotExists, desabilitado | 1.5.0 |
| Configurar os SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender para SQL e a DCR com um workspace do Log Analytics definido pelo usuário | O Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas personalizadas de reforço de proteção (recomendações). Crie um grupo de recursos e uma regra de coleta de dados na mesma região do workspace do Log Analytics definido pelo usuário. | DeployIfNotExists, desabilitado | 1.7.0 |
| Configurar SQL Servers habilitados para o Arc com Associação de Regra de Coleta de Dados à DCR do Microsoft Defender para SQL | Configure a associação entre os SQL Servers habilitados para Arc e a DCR do Microsoft Defender para SQL. A exclusão dessa associação interromperá a detecção de vulnerabilidades de segurança desse SQL Server habilitado para Arc. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar SQL Servers habilitados para o Arc com Associação de Regra de Coleta de Dados à DCR do Microsoft Defender para SQL definida pelo usuário | Configure a associação entre os SQL Servers habilitados para Arc e a DCR do Microsoft Defender para SQL definida pelo usuário. A exclusão dessa associação interromperá a detecção de vulnerabilidades de segurança desse SQL Server habilitado para Arc. | DeployIfNotExists, desabilitado | 1.3.0 |
| Configurar Escopos de Link Privado do Azure Arc para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para seu Escopo de Link Privado do Azure Arc para que os recursos associados do Azure Arc não se conectem a serviços do Azure Arc pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/arc/privatelink. | Modificar, Desabilitado | 1.0.0 |
| Configurar os Escopos de Link Privado do Azure Arc com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento dos pontos de extremidade privados para os Escopos de Link Privado do Azure Arc, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | DeployIfNotExists, desabilitado | 2.0.0 |
| Configurar servidores habilitados para o Azure Arc para uso de um Escopo de Link Privado do Azure Arc | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Modificar, Desabilitado | 1.0.0 |
| Configurar o Azure Defender para servidores a ser desabilitado para todos os recursos (nível de recurso) | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política desabilitará o plano do Defender para servidores para todos os recursos (VMs, VMSSs e Máquinas de ARC), no escopo selecionado (assinatura ou grupo de recursos). | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o Azure Defender para servidores a ser desabilitado para recursos (nível de recurso) com a marca selecionada | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política desabilitará o plano do Defender para servidores para todos os recursos (VMs, VMSSs e Máquinas de ARC), que têm o nome e os valores da marca selecionados. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o Azure Defender para servidores a ser habilitado (subplano 'P1'), para todos os recursos (nível de recurso) com a marca selecionada | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política habilitará o plano do Defender para servidores (com subplano 'P1'), para todos os recursos (VMs e Máquinas de ARC) que têm o nome da marca e os valores de marca selecionados. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o Azure Defender para servidores a ser habilitado (com o subplano 'P1'), para todos os recursos (nível de recurso) | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política habilitará o plano do Defender para servidores (com subplano 'P1'), para todos os recursos (VMs e Máquinas de ARC), no escopo selecionado (assinatura ou grupo de recursos). | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o Dependency Agent em servidores do Linux habilitados para Azure Arc | Habilite os insights da VM em servidores e computadores conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Dependency Agent. Os insights da VM usam o Dependency Agent para coletar métricas de rede e dados descobertos sobre os processos em execução no computador e em dependências de processo externo. Veja mais: https://aka.ms/vminsightsdocs. | DeployIfNotExists, desabilitado | 2.1.0 |
| Configurar o Dependency Agent em servidores Linux habilitados para o Azure Arc com as configurações do Agente do Monitoramento do Azure | Habilite os insights da VM em servidores e computadores conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Dependency Agent com as configurações do Azure Monitoring Agent. Os insights da VM usam o Dependency Agent para coletar métricas de rede e dados descobertos sobre os processos em execução no computador e em dependências de processo externo. Veja mais: https://aka.ms/vminsightsdocs. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar o Dependency Agent em servidores do Windows habilitados para Azure Arc | Habilite os insights da VM em servidores e computadores conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Dependency Agent. Os insights da VM usam o Dependency Agent para coletar métricas de rede e dados descobertos sobre os processos em execução no computador e em dependências de processo externo. Veja mais: https://aka.ms/vminsightsdocs. | DeployIfNotExists, desabilitado | 2.1.0 |
| Configure o Dependency Agent em servidores Windows habilitados para o Azure Arc com as configurações do Agente do Monitoramento do Azure | Habilite os insights da VM em servidores e computadores conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Dependency Agent com as configurações do Azure Monitoring Agent. Os insights da VM usam o Dependency Agent para coletar métricas de rede e dados descobertos sobre os processos em execução no computador e em dependências de processo externo. Veja mais: https://aka.ms/vminsightsdocs. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar Computadores Linux Arc para serem associados a uma Regra de Coleta de Dados ou a um Endpoint de Coleta de Dados | Implante a associação para vincular computadores Linux do Arc à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais é atualizada ao longo do tempo de acordo com a expansão do suporte. | DeployIfNotExists, desabilitado | 2.2.1 |
| Configurar máquinas virtuais habilitadas para Linux Arc a fim de executar o Agente do Azure Monitor | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais habilitadas para Linux Arc a fim de coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se a região tiver suporte. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 2.4.0 |
| Configurar Computadores Linux para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a associação para vincular máquinas virtuais do Linux, conjuntos de dimensionamento de máquinas virtuais e computadores Arc à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 6.5.1 |
| Configure o Linux Server para desabilitar usuários locais. | Cria uma atribuição de Configuração de Convidado para configurar a desabilitação de usuários locais no Linux Server. Isso garante que os Linux Servers só possam ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, aprimorando a postura geral de segurança. | DeployIfNotExists, desabilitado | 1.3.0-preview |
| Configure a extensão do Log Analytics em servidores do Linux habilitados para o Azure Arc. Confira o aviso de preterição abaixo | Habilite os insights da VM em servidores e computadores conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Log Analytics. Os insights da VM usam o agente do Log Analytics para coletar os dados de desempenho do SO convidado e fornece insights sobre o desempenho dele. Veja mais: https://aka.ms/vminsightsdocs. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você precisa migrar para o 'agente do Azure Monitor' de substituição antes dessa data | DeployIfNotExists, desabilitado | 2.1.1 |
| Configurar a extensão do Log Analytics em servidores do Windows habilitados para o Azure Arc | Habilite os insights da VM em servidores e computadores conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Log Analytics. Os insights da VM usam o agente do Log Analytics para coletar os dados de desempenho do SO convidado e fornece insights sobre o desempenho dele. Veja mais: https://aka.ms/vminsightsdocs. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desabilitado | 2.1.1 |
| Configurar os computadores para receber um provedor de avaliação de vulnerabilidade | O Azure Defender inclui uma verificação de vulnerabilidades para seus computadores sem custo adicional. Você não precisa de uma licença do Qualys nem de uma conta do Qualys: tudo é tratado diretamente na Central de Segurança. Quando você habilita essa política, o Azure Defender implanta automaticamente o agente de avaliação de vulnerabilidade do Qualys em todos os computadores compatíveis que ainda não o instalaram. | DeployIfNotExists, desabilitado | 4.0.0 |
| Configurar a verificação periódica para atualizações de sistema ausentes em servidores habilitados para a Azure Arc | Configure a avaliação automática (a cada 24 horas) para atualizações do sistema operacional em servidores habilitados para Azure Arc. Você pode controlar o escopo da atribuição de acordo com a assinatura do computador, o grupo de recursos, o local ou a marca. Saiba mais sobre isso para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.2.1 |
| Configurar protocolos de comunicação segura (TLS 1.1 ou TLS 1.2) em computadores Windows | Cria uma atribuição de Configuração de Convidado para configurar a versão especificada do protocolo seguro (TLS 1.1 ou TLS 1.2) no computador Windows. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar o Microsoft Defender do SQL para o workspace do Log Analytics | O Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas personalizadas de reforço de proteção (recomendações). Crie um grupo de recursos e um workspace do Log Analytics na mesma região do computador. | DeployIfNotExists, desabilitado | 1.3.0 |
| Configurar o fuso horário nos computadores Windows. | Esta política cria uma atribuição de Configuração de Convidado para definir o fuso horário especificado nas máquinas virtuais do Windows. | deployIfNotExists | 2.1.0 |
| Configurar máquinas virtuais a serem ingressadas no Gerenciamento Automatizado do Azure | O Gerenciamento Automatizado do Azure registra, configura e monitora as máquinas virtuais com as melhores práticas, conforme definido no Microsoft Cloud Adoption Framework para o Azure. Use esta política para aplicar o Autogerenciamento ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desabilitado | 2.4.0 |
| Configurar máquinas virtuais para serem integradas ao Gerenciamento Automatizado do Azure com perfil de configuração personalizado | O Gerenciamento Automatizado do Azure registra, configura e monitora as máquinas virtuais com as melhores práticas, conforme definido no Microsoft Cloud Adoption Framework para o Azure. Use esta política para aplicar o Gerenciamento Automatizado com seu próprio Perfil de Configuração personalizado ao escopo selecionado. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.4.0 |
| Configurar computadores Windows Arc para serem associados a uma regra de coleta de dados ou a um ponto de extremidade de coleta de dados | Implante a associação para vincular computadores Windows do Arc à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais é atualizada ao longo do tempo de acordo com a expansão do suporte. | DeployIfNotExists, desabilitado | 2.2.1 |
| Configurar máquinas virtuais habilitadas para Windows Arc a fim de executar o Agente do Azure Monitor | Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais habilitadas para Windows Arc a fim de coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desabilitado | 2.4.0 |
| Configurar as Computadores Windows para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados | Implante a associação para vincular máquinas virtuais do Windows, conjuntos de dimensionamento de máquinas virtuais e computadores Arc à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. | DeployIfNotExists, desabilitado | 4.5.1 |
| Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | Resolva problemas de integridade da proteção de ponto de extremidade em suas máquinas virtuais para protegê-las contra ameaças e vulnerabilidades mais recentes. As soluções de proteção de ponto de extremidade compatíveis com a Central de Segurança do Azure estão documentadas aqui: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação da proteção de ponto de extremidade está documentada aqui: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Endpoint Protection deve ser instalado nos computadores | Para proteger seus computadores contra ameaças e vulnerabilidades, instale uma solução de proteção de ponto de extremidade com suporte. | AuditIfNotExists, desabilitado | 1.0.0 |
| As máquinas virtuais habilitadas para Linux Arc devem ter o Agente do Azure Monitor instalado | As máquinas virtuais habilitadas para Linux Arc devem ser monitoradas e protegidas por meio do Agente do Azure Monitor implantado. O Agente do Azure Monitor coleta dados de telemetria do sistema operacional convidado. Esta política fará a auditoria de máquinas virtuais habilitadas para Arc em regiões com suporte. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desabilitado | 1.2.0 |
| Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desabilitado | 2.2.0 |
| Os computadores Linux devem ter apenas contas locais que sejam permitidas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Gerenciar contas de usuário usando o Azure Active Directory é uma melhor prática de gerenciamento de identidades. Reduzir contas de computador local ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. Os computadores não serão compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro da política. | AuditIfNotExists, desabilitado | 2.2.0 |
| Os métodos de autenticação local devem ser desativados em máquinas Linux | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os servidores Linux não tiverem métodos de autenticação local desabilitados. Isso garante que os Linux Servers só possam ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, aprimorando a postura geral de segurança. | AuditIfNotExists, desabilitado | 1.2.0 – versão prévia |
| Os métodos de autenticação local devem ser desativados nos servidores Windows | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os servidores Windows não tiverem métodos de autenticação local desabilitados. Isso serve para validar que os Windows Servers só podem ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, aprimorando a postura geral de segurança. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
| Os computadores devem ser configurados para verificar periodicamente se há atualizações do sistema ausentes | Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam disparadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, desabilitado | 3.7.0 |
| Agendar atualizações recorrentes usando o Gerenciador de Atualizações do Azure | Você pode usar o Gerenciador de Atualizações do Azure no Azure para salvar as programações de implantação recorrentes para instalar atualizações do sistema operacional nos computadores Windows Server e Linux no Azure, em ambientes locais e em outros ambientes na nuvem conectados usando servidores habilitados para o Azure Arc. Essa política também alterará o modo de patch da Máquina Virtual do Azure para 'AutomaticByPlatform'. Confira mais: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, desabilitado | 3.12.0 |
| Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Assinar instâncias qualificadas dos SQL Servers habilitadas para Arc nas Atualizações de Segurança Estendidas. | Assine as instâncias qualificadas dos SQL Servers habilitadas para Arc com o Tipo de Licença definido como Pago ou Pagamento Conforme o Uso nas Atualizações de Segurança Estendidas. Mais sobre as Atualizações de Segurança Estendidas https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, desabilitado | 1.0.0 |
| As atualizações do sistema devem ser instaladas em seus computadores (da plataforma de atualização) | As atualizações de sistema, segurança e críticas estão ausentes em seus computadores. As atualizações de software geralmente incluem patches críticos para brechas de segurança. Essas brechas costumam ser exploradas em ataques de malware, portanto, é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger seus computadores, siga as etapas de correção. | AuditIfNotExists, desabilitado | 1.0.1 |
| A extensão herdada do Log Analytics não deve ser instalada nos servidores Linux habilitados para Azure Arc | Impedir automaticamente a instalação do Agente do Log Analytics herdado como a etapa final da migração dos agentes herdados para o Agente do Azure Monitor. Depois que você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão de agente herdada nos servidores do Linux habilitados para Azure Arc. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desabilitado | 1.0.0 |
| A extensão herdada do Log Analytics não deve ser instalada nos servidores Windows habilitados para Azure Arc | Impedir automaticamente a instalação do Agente do Log Analytics herdado como a etapa final da migração dos agentes herdados para o Agente do Azure Monitor. Depois que você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão do agente herdado nos servidores do Windows habilitados para Azure Arc. Saiba mais: https://aka.ms/migratetoAMA | Negar, Auditar, Desabilitado | 1.0.0 |
| As máquinas virtuais habilitadas para Windows Arc devem ter o Agente do Azure Monitor instalado | As máquinas virtuais habilitadas para Windows Arc devem ser monitoradas e protegidas por meio do Agente do Azure Monitor implantado. O Agente do Azure Monitor coleta dados de telemetria do sistema operacional convidado. As máquinas virtuais habilitadas para Windows Arc em regiões com suporte são monitoradas para a implantação do Agente do Azure Monitor. Saiba mais: https://aka.ms/AMAOverview. | AuditIfNotExists, desabilitado | 1.2.0 |
| O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). | AuditIfNotExists, desabilitado | 2.0.0 |
| Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists, desabilitado | 4.1.1 |
| Os computadores Windows devem configurar o Windows Defender para atualizar assinaturas de proteção em até um dia | Para fornecer proteção adequada contra malwares recém-lançados, as assinaturas de proteção do Windows Defender precisam ser atualizadas regularmente para considerá-los. Essa política não foi aplicada nos servidores conectados ao Arc e requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.1 |
| Os computadores Windows devem habilitar a proteção em tempo real do Windows Defender | Os computadores Windows devem habilitar a proteção em tempo real no Windows Defender para fornecer proteção adequada contra malware recém-lançado. Essa política não é aplicável aos servidores conectados ao Arc e requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.1 |
| Os computadores Windows devem atender aos requisitos de 'Modelos Administrativos – Painel de Controle' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – Painel de Controle' para personalização de entrada e prevenção de habilitação de telas de bloqueio. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Modelos Administrativos – MSS (Herdado)' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – MSS (Herdado)' para logon automático, proteção de tela, comportamento de rede, DLL segura e log de eventos. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Modelos Administrativos – Rede' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – Rede' para logons de convidado, conexões simultâneas, ponte de rede, ICS e resolução de nomes multicast. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Modelos Administrativos – Sistema' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – Sistema' para as configurações que controlam a experiência administrativa e a Assistência Remota. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Contas' | Os computadores Windows devem ter as configurações da Política de Grupo especificadas na categoria 'Opções de Segurança – Contas' para limitar o uso da conta local de senhas em branco e o status da conta convidado. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Auditoria' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Auditoria' para impor a subcategoria da política de auditoria e o desligamento se não for possível registrar em log as auditorias de segurança. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Dispositivos' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Dispositivos' para desencaixar sem fazer logon, instalar drivers de impressão e formatar/ejetar mídia. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Logon Interativo' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Logon Interativo' para exibir o nome do último usuário e exigir Ctrl-Alt-Del. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Cliente de Rede da Microsoft' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Cliente de Rede da Microsoft' para o cliente/servidor de rede da Microsoft e o SMB v1. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Servidor de Rede da Microsoft' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Servidor de Rede da Microsoft' para desabilitar o servidor SMB v1. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Acesso à Rede' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Acesso à Rede' para incluir o acesso a usuários anônimos, contas locais e acesso remoto ao Registro. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Segurança de Rede' para incluir o comportamento do Sistema Local, PKU2U, LAN Manager, cliente LDAP e NTLM SSP. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Console de recuperação' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Console de recuperação' para permitir a cópia de disquete e o acesso a todas as unidades e pastas. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Desligamento' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Desligamento' para permitir o desligamento sem fazer logon e limpar o arquivo de paginação de memória virtual. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Objetos do sistema' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Objetos do sistema' para não diferenciação de maiúsculas e minúsculas para subsistemas que não são Windows e permissões de objetos internos do sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Configurações do sistema' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Configurações do sistema' para regras de certificado em executáveis para a política SRP e subsistemas opcionais. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Controle de Conta de Usuário' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Controle de Conta de Usuário' para o modo de administradores, o comportamento da solicitação de elevação e a virtualização de falhas de gravação de arquivo e no Registro. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Configurações de Segurança – Políticas de Conta' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Configurações de Segurança – Políticas de Conta' para histórico de senha, idade, comprimento, complexidade e armazenamento de senhas usando criptografia reversível. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Logon da Conta' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Logon da Conta' para auditoria da validação de credenciais e outros eventos de logon de conta. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Gerenciamento de Contas' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Gerenciamento de Contas' para auditoria de aplicativo, segurança e gerenciamento do grupo de usuários e outros eventos de gerenciamento. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' para auditoria de DPAPI, criação/encerramento de processos, eventos RPC e atividade PNP. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Logon/Logoff' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Logon-logoff' para auditoria de IPSec, política de rede, declarações, bloqueio de conta, associação de grupo e eventos de logon/logoff. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acesso de Objeto' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Acesso a Objeto' para auditoria de arquivo, Registro, SAM, armazenamento, filtragem, kernel e outros tipos de sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Alteração de Política' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Alteração de Política' para auditoria de alterações em políticas de auditoria do sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Uso de Privilégios' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Uso de Privilégios' para auditoria do uso não confidencial e outro uso de privilégio. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Sistema' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Sistema' para auditoria de driver IPsec, integridade do sistema, extensão do sistema, alteração de estado e outros eventos do sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Atribuição de Direitos do Usuário' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Atribuição de Direitos do Usuário' para permitir o logon local, o RDP, o acesso na rede e muitas outras atividades do usuário. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Componentes do Windows' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Componentes do Windows' para autenticação básica, tráfego não criptografado, contas Microsoft, telemetria, Cortana e outros comportamentos do Windows. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos de 'Propriedades do Firewall do Windows' | Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Propriedades do Firewall do Windows' para estado do firewall, conexões, gerenciamento de regras e notificações. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os computadores Windows devem ter apenas contas locais que sejam permitidas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Não há suporte a essa definição no Windows Server 2012 ou 2012 R2. Gerenciar contas de usuário usando o Azure Active Directory é uma melhor prática de gerenciamento de identidades. Reduzir contas de computador local ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. Os computadores não serão compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro da política. | AuditIfNotExists, desabilitado | 2.0.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.