Azure Stack HCI バージョン 23H2 のセキュリティの既定値を管理する
適用対象: Azure Stack HCI バージョン 23H2
この記事では、Azure Stack HCI クラスターの既定のセキュリティ設定を管理する方法について説明します。 デバイスが既知の良好な状態で起動するように、展開中に定義されたドリフト制御と保護されたセキュリティ設定を変更することもできます。
前提条件
開始する前に、Azure にデプロイ、登録、接続されている Azure Stack HCI バージョン 23H2 システムにアクセスできることを確認してください。
Azure portalでセキュリティの既定の設定を表示する
Azure portalでセキュリティの既定の設定を表示するには、MCSB イニシアチブが適用されていることを確認します。 詳細については、「 Microsoft クラウド セキュリティ ベンチマーク イニシアチブの適用」を参照してください。
セキュリティの既定の設定を使用して、クラスターのセキュリティ、ドリフト制御、セキュリティで保護されたコア サーバーの設定を管理できます。
![Azure portalの [セキュリティの既定値] ページを示すスクリーンショット。](media/manage-secure-baseline/manage-secure-baseline.png#lightbox)
[ データ保護>] [ネットワーク保護 ] タブで SMB 署名の状態を表示します。SMB 署名を使用すると、Azure Stack HCI システムと他のシステムの間で SMB トラフィックにデジタル署名できます。
Azure portalでセキュリティ ベースラインのコンプライアンスを表示する
Azure Stack HCI システムを Microsoft Defender for Cloud に登録するか、Windows マシンが Azure コンピューティング セキュリティ ベースラインの要件を満たす必要がある組み込みポリシーを割り当てると、コンプライアンス レポートが生成されます。 Azure Stack HCI サーバーと比較される規則の完全な一覧については、「 Windows セキュリティ ベースライン」を参照してください。
Azure Stack HCI サーバーの場合、Secured-core のすべてのハードウェア要件が満たされている場合、コンプライアンス スコアは 288 ルールのうち 281 個です。つまり、288 ルールのうち 281 個が準拠しています。
次の表では、準拠していないルールと、現在のギャップの根拠について説明します。
| 規則名 | 必要 | Actual | ロジック | 説明 |
|---|---|---|---|---|
| 対話型ログオン: ログオン時のユーザーへのメッセージのテキスト | 期待される出力: | 実際: | 演算子: NOTEQUALS |
この値は、ドリフト制御なしで定義する必要があります。 |
| 対話型ログオン: ログオン時のユーザーへのメッセージのタイトル | 期待される出力: | 実際: | 演算子: NOTEQUALS |
この値は、ドリフト制御なしで定義する必要があります。 |
| パスワードの最小文字数 | 予想: 14 | 実績: 0 | 演算子: GREATEROREQUAL |
この値は、organizationのポリシーと一致するドリフト制御を適用せず、定義する必要があります。 |
| デバイス メタデータをインターネットから取得しない | 予想: 1 | Actual: (null) | 演算子: EQUALS |
このコントロールは、Azure Stack HCI には適用されません。 |
| ユーザーとアプリが危険な Web サイトにアクセスできないようにする | 予想: 1 | Actual: (null) | 演算子: EQUALS |
このコントロールはWindows Defender保護の一部であり、既定では有効になっていません。 有効にするかどうかを評価できます。 |
| 書き込み済み UNC パス - NETLOGON | 期待される出力: RequireMutualAuthentication=1 RequireIntegrity=1 |
実績: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
演算子: EQUALS |
Azure Stack HCI の方が制限が厳しい。 この規則は無視しても問題ありません。 |
| 書き込み済み UNC パス - SYSVOL | 期待される出力: RequireMutualAuthentication=1 RequireIntegrity=1 |
実際: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
演算子: EQUALS |
Azure Stack HCI の方が制限が厳しい。 この規則は無視しても問題ありません。 |
PowerShell を使用してセキュリティの既定値を管理する
ドリフト保護を有効にすると、保護されていないセキュリティ設定のみを変更できます。 ベースラインを形成する保護されたセキュリティ設定を変更するには、まずドリフト保護を無効にする必要があります。 セキュリティ設定の完全な一覧を表示してダウンロードするには、「 SecurityBaseline」を参照してください。
セキュリティの既定値を変更する
最初のセキュリティ ベースラインから開始し、展開中に定義されたドリフト制御と保護されたセキュリティ設定を変更します。
ドリフト制御を有効にする
ドリフト制御を有効にするには、次の手順に従います。
Azure Stack HCI ノードに接続します。
次のコマンドレットを実行します。
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- [ローカル] - ローカル ノードにのみ影響します。
- クラスター - オーケストレーターを使用してクラスター内のすべてのノードに影響します。
ドリフト制御を無効にする
ドリフト制御を無効にするには、次の手順に従います。
Azure Stack HCI ノードに接続します。
次のコマンドレットを実行します。
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- [ローカル] - ローカル ノードにのみ影響します。
- クラスター - オーケストレーターを使用してクラスター内のすべてのノードに影響します。
重要
ドリフト制御を無効にした場合、保護された設定を変更できます。 ドリフト制御を再度有効にすると、保護された設定に対して行った変更が上書きされます。
デプロイ中にセキュリティ設定を構成する
デプロイの一環として、ドリフト制御や、クラスターのセキュリティ ベースラインを構成するその他のセキュリティ設定を変更できます。
次の表では、デプロイ時に Azure Stack HCI クラスターで構成できるセキュリティ設定について説明します。
| Feature area (機能領域) | 機能 | 説明 | ドリフト制御をサポートしていますか? |
|---|---|---|---|
| ガバナンス | セキュリティ ベースライン | 各サーバーのセキュリティの既定値を維持します。 変更から保護するのに役立ちます。 | Yes |
| 資格情報の保護 | Windows Defender Credential Guard | 仮想化ベースのセキュリティを使用して、資格情報盗難攻撃からシークレットを分離します。 | Yes |
| アプリケーションの制御 | Windows Defender アプリケーション コントロール | 各サーバーで直接実行できるドライバーとアプリを制御します。 | いいえ |
| 保存データの暗号化 | OS ブート ボリューム用の BitLocker | 各サーバー上の OS スタートアップ ボリュームを暗号化します。 | いいえ |
| 保存データの暗号化 | データ ボリュームの BitLocker | このクラスター上のクラスター共有ボリューム (CSV) を暗号化します | いいえ |
| 転送中のデータ保護 | 外部 SMB トラフィックの署名 | リレー攻撃を防ぐために、このシステムと他のシステム間の SMB トラフィックに署名します。 | Yes |
| 転送中のデータ保護 | クラスター内トラフィックの SMB 暗号化 | (ストレージ ネットワーク上の) クラスター内のサーバー間のトラフィックを暗号化します。 | いいえ |
デプロイ後にセキュリティ設定を変更する
デプロイが完了したら、PowerShell を使用して、ドリフト制御を維持しながらセキュリティ設定を変更できます。 一部の機能を有効にするには再起動が必要です。
PowerShell コマンドレットのプロパティ
次のコマンドレット プロパティは、 AzureStackOSConfigAgent モジュール用です。 モジュールはデプロイ中にインストールされます。
Get-AzsSecurity-Scope: <Local |PerNode |AllNodes |クラスター>- ローカル - ローカル ノードにブール値 (true/False) を提供します。 通常のリモート PowerShell セッションから実行できます。
- PerNode - ノードごとにブール値 (true/False) を提供します。
- レポート - リモート デスクトップ プロトコル (RDP) 接続を使用する CredSSP または Azure Stack HCI サーバーが必要です。
- AllNodes – ノード間で計算されたブール値 (true/False) を提供します。
- クラスター – ECE ストアからのブール値を提供します。 オーケストレーターと対話し、クラスター内のすべてのノードに対して動作します。
Enable-AzsSecurity-Scope <Local |クラスター>Disable-AzsSecurity-Scope <Local |クラスター>- FeatureName - <CredentialGuard |DriftControl |DRTM |HVCI |SideChannelMitigation |SMBEncryption |SMBSigning |Vbs>
- Credential Guard
- ドリフトコントロール
- VBS (仮想化ベースのセキュリティ)- enable コマンドのみがサポートされています。
- DRTM (測定のための信頼の動的ルート)
- HVCI (コード整合性の場合にハイパーバイザーが適用される)
- サイド チャネルの軽減策
- SMB 暗号化
- SMB 署名
- FeatureName - <CredentialGuard |DriftControl |DRTM |HVCI |SideChannelMitigation |SMBEncryption |SMBSigning |Vbs>
次の表は、サポートされているセキュリティ機能、ドリフト制御をサポートしているかどうか、および機能を実装するために再起動が必要かどうかを示しています。
| 名前 | 機能 | ドリフト制御をサポート | 再起動が必要です |
|---|---|---|---|
| 有効にする |
仮想化ベースのセキュリティ (VBS) | Yes | はい |
| 有効化 Disable |
測定のための動的 Root of Trust (DRTM) | Yes | はい |
| 有効化 Disable |
ハイパーバイザーで保護されたコード整合性 (HVCI) | Yes | はい |
| 有効化 Disable |
サイド チャネルの軽減策 | Yes | はい |
| 有効化 Disable |
SMB 署名 | Yes | はい |
| 有効化 Disable |
SMB クラスターの暗号化 | いいえ、クラスター設定 | いいえ |
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示