Zarządzanie wartościami domyślnymi zabezpieczeń dla usługi Azure Stack HCI w wersji 23H2
Dotyczy: Azure Stack HCI, wersja 23H2
W tym artykule opisano sposób zarządzania domyślnymi ustawieniami zabezpieczeń klastra usługi Azure Stack HCI. Możesz również zmodyfikować ustawienia kontroli dryfu i chronionych zabezpieczeń zdefiniowanych podczas wdrażania, aby urządzenie było uruchamiane w znanym dobrym stanie.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz dostęp do systemu Azure Stack HCI w wersji 23H2, który jest wdrażany, zarejestrowany i połączony z platformą Azure.
Wyświetlanie ustawień domyślnych zabezpieczeń w Azure Portal
Aby wyświetlić ustawienia domyślne zabezpieczeń w Azure Portal, upewnij się, że zastosowano inicjatywę MCSB. Aby uzyskać więcej informacji, zobacz Apply Microsoft Cloud Security Benchmark initiative (Stosowanie inicjatywy testów porównawczych zabezpieczeń w chmurze firmy Microsoft).
Ustawienia domyślne zabezpieczeń umożliwiają zarządzanie zabezpieczeniami klastra, kontrolą dryfu i zabezpieczeniami podstawowych ustawień serwera w klastrze.
Wyświetl stan podpisywania protokołu SMB na> karcieOchrona danych Ochrona sieci. Podpisywanie protokołu SMB umożliwia cyfrowe podpisywanie ruchu SMB między systemem Azure Stack HCI i innymi systemami.
Wyświetlanie zgodności punktu odniesienia zabezpieczeń w Azure Portal
Po zarejestrowaniu systemu Azure Stack HCI przy użyciu Microsoft Defender for Cloud lub przypisanych wbudowanych zasad zostanie wygenerowany raport dla serwerów. W tym momencie maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure. Aby uzyskać pełną listę reguł, z których jest porównywany serwer usługi Azure Stack HCI, zobacz Punkt odniesienia zabezpieczeń systemu Windows.
W przypadku serwera Azure Stack HCI, gdy zostaną spełnione wszystkie wymagania sprzętowe dla zabezpieczonego rdzenia, wynik zgodności wynosi 281 na 288. Ten wynik wskazuje, że 281 na 288 reguł jest zgodnych.
W poniższej tabeli wyjaśniono reguły, które nie są zgodne, oraz uzasadnienie bieżącej luki:
| Nazwa reguły | Oczekiwane | Actual | Logika | Komentarze |
|---|---|---|---|---|
| Logowanie interakcyjne: tekst komunikatu dla użytkowników próbujących się zalogować | Oczekiwaniami: | Rzeczywiste: | Operator: NOTEQUALS |
Oczekujemy, że ta wartość zostanie zdefiniowana bez kontrolki dryfu. |
| Logowanie interakcyjne: tytuł komunikatu dla użytkowników próbujących się zalogować | Oczekiwaniami: | Rzeczywiste: | Operator: NOTEQUALS |
Oczekujemy, że ta wartość zostanie zdefiniowana bez kontrolki dryfu. |
| Minimalna długość hasła | Oczekiwano: 14 | Wartość rzeczywista: 0 | Operator: GREATEROREQUAL |
Oczekujemy, że ta wartość zostanie zdefiniowana bez kontroli dryfu, która jest zgodna z zasadami organizacji. |
| Zapobieganie pobieraniu metadanych urządzenia z Internetu | Oczekiwano: 1 | Wartość rzeczywista: (null) | Operator: RÓWNA |
Ta kontrolka nie ma zastosowania do usługi Azure Stack HCI. |
| Uniemożliwianie użytkownikom i aplikacjom uzyskiwania dostępu do niebezpiecznych witryn internetowych | Oczekiwano: 1 | Wartość rzeczywista: (null) | Operator: RÓWNA |
Ta kontrolka jest częścią ochrony Windows Defender, która nie jest domyślnie włączona. Możesz ocenić, czy chcesz włączyć. |
| Utwardzone ścieżki UNC — NETLOGON | Oczekiwaniami: RequireMutualAuthentication=1 RequireIntegrity=1 |
Rzeczywiste: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operator: RÓWNA |
Rozwiązanie Azure Stack HCI jest bardziej restrykcyjne. Tę regułę można bezpiecznie zignorować. |
| Ścieżki UNC ze wzmocnionym zabezpieczeniami — SYSVOL | Oczekiwaniami: RequireMutualAuthentication=1 RequireIntegrity=1 |
Rzeczywiste: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operator: RÓWNA |
Rozwiązanie Azure Stack HCI jest bardziej restrykcyjne. Tę regułę można bezpiecznie zignorować. |
Zarządzanie wartościami domyślnymi zabezpieczeń przy użyciu programu PowerShell
Dzięki włączonej ochronie dryfu można modyfikować tylko niechronione ustawienia zabezpieczeń. Aby zmodyfikować chronione ustawienia zabezpieczeń, które tworzą punkt odniesienia, należy najpierw wyłączyć ochronę dryfu. Aby wyświetlić i pobrać pełną listę ustawień zabezpieczeń, zobacz SecurityBaseline.
Modyfikowanie wartości domyślnych zabezpieczeń
Rozpocznij od początkowego punktu odniesienia zabezpieczeń, a następnie zmodyfikuj kontrolę dryfu i chronione ustawienia zabezpieczeń zdefiniowane podczas wdrażania.
Włączanie kontrolki dryfu
Aby włączyć kontrolę dryfu, wykonaj następujące czynności:
Połącz się z węzłem usługi Azure Stack HCI.
Uruchom następujące polecenie cmdlet:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Lokalne — wpływa tylko na węzeł lokalny.
- Klaster — wpływa na wszystkie węzły w klastrze przy użyciu koordynatora.
Wyłączanie kontrolki dryfu
Aby wyłączyć kontrolkę dryfu, wykonaj następujące czynności:
Połącz się z węzłem usługi Azure Stack HCI.
Uruchom następujące polecenie cmdlet:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Lokalne — wpływa tylko na węzeł lokalny.
- Klaster — wpływa na wszystkie węzły w klastrze przy użyciu koordynatora.
Konfigurowanie ustawień zabezpieczeń podczas wdrażania
W ramach wdrożenia można zmodyfikować kontrolę dryfu i inne ustawienia zabezpieczeń, które stanowią punkt odniesienia zabezpieczeń w klastrze.
W poniższej tabeli opisano ustawienia zabezpieczeń, które można skonfigurować w klastrze usługi Azure Stack HCI podczas wdrażania.
| Obszar funkcji | Cecha | Opis | Obsługuje kontrolę dryfu? |
|---|---|---|---|
| Nadzór | Punkt odniesienia zabezpieczeń | Zachowuje wartości domyślne zabezpieczeń na każdym serwerze. Pomaga chronić przed zmianami. | Tak |
| Ochrona poświadczeń | Windows Defender Credential Guard | Używa zabezpieczeń opartych na wirtualizacji, aby odizolować wpisy tajne od ataków kradzieży poświadczeń. | Tak |
| Sterowanie aplikacjami | Windows Defender Kontrolka aplikacji | Określa, które sterowniki i aplikacje mogą być uruchamiane bezpośrednio na każdym serwerze. | Nie |
| Szyfrowanie danych magazynowanych | Funkcja BitLocker dla woluminu rozruchowego systemu operacyjnego | Szyfruje wolumin uruchamiania systemu operacyjnego na każdym serwerze. | Nie |
| Szyfrowanie danych magazynowanych | Funkcja BitLocker dla woluminów danych | Szyfruje udostępnione woluminy klastra (CSV) w tym klastrze | Nie |
| Ochrona danych podczas przesyłania | Podpisywanie dla zewnętrznego ruchu SMB | Podpisuje ruch SMB między tym systemem a innymi osobami, aby zapobiec atakom przekazywania. | Tak |
| Ochrona danych podczas przesyłania | Szyfrowanie SMB dla ruchu w klastrze | Szyfruje ruch między serwerami w klastrze (w sieci magazynu). | Nie |
Modyfikowanie ustawień zabezpieczeń po wdrożeniu
Po zakończeniu wdrażania można użyć programu PowerShell do modyfikowania ustawień zabezpieczeń przy zachowaniu kontroli dryfu. Niektóre funkcje wymagają ponownego uruchomienia, aby zaczęły obowiązywać.
Właściwości polecenia cmdlet programu PowerShell
Następujące właściwości polecenia cmdlet dotyczą modułu AzureStackOSConfigAgent . Moduł jest instalowany podczas wdrażania.
Get-AzsSecurity-Scope: <Local | PerNode | AllNodes | Klastra>- Local — udostępnia wartość logiczną (prawda/fałsz) w węźle lokalnym. Można uruchomić z poziomu regularnej zdalnej sesji programu PowerShell.
- PerNode — udostępnia wartość logiczną (prawda/fałsz) na węzeł.
- Raport — wymaga protokołu CredSSP lub serwera usługi Azure Stack HCI przy użyciu połączenia protokołu RDP(Remote Desktop Protocol).
- AllNodes — zapewnia wartość logiczną (prawda/fałsz) obliczoną między węzłami.
- Klaster — udostępnia wartość logiczną z magazynu ECE. Współdziała z orkiestratorem i działa we wszystkich węzłach klastra.
Enable-AzsSecurity-Scope <Local | Klastra>Disable-AzsSecurity-Scope <Local | Klastra>- FeatureName — <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Credential Guard
- Drift, kontrolka
- VBS (Zabezpieczenia oparte na wirtualizacji) — obsługujemy tylko polecenie włącz.
- DRTM (dynamiczny główny katalog zaufania do pomiaru)
- HVCI (Funkcja Hypervisor wymuszana, jeśli integralność kodu)
- Środki zaradcze kanału bocznego
- Szyfrowanie protokołu SMB
- Podpisywanie protokołu SMB
- FeatureName — <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
Poniższa tabela zawiera dokumenty dotyczące obsługiwanych funkcji zabezpieczeń, niezależnie od tego, czy obsługują kontrolę dryfu i czy do zaimplementowania funkcji jest wymagany ponowny rozruch.
| Nazwa | Cecha | Obsługuje kontrolkę dryfu | Wymagany ponowny rozruch |
|---|---|---|---|
| Włącz |
Zabezpieczenia oparte na wirtualizacji (VBS) | Tak | Tak |
| Włącz Wyłącz |
Dynamiczny katalog główny zaufania do pomiaru (DRTM) | Tak | Tak |
| Włącz Wyłącz |
Integralność kodu chroniona przez funkcję Hypervisor (HVCI) | Tak | Tak |
| Włącz Wyłącz |
Środki zaradcze kanału bocznego | Tak | Tak |
| Włącz Wyłącz |
Podpisywanie protokołu SMB | Tak | Tak |
| Włącz Wyłącz |
Szyfrowanie klastra SMB | Nie, ustawienie klastra | Nie |
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla