Azure Stack HCI, sürüm 23H2 için güvenlik varsayılanlarını yönetme
Şunlar için geçerlidir: Azure Stack HCI, sürüm 23H2
Bu makalede, Azure Stack HCI kümeniz için varsayılan güvenlik ayarlarının nasıl yönetileceğini açıklanmaktadır. Ayrıca, cihazınızın bilinen iyi bir durumda başlaması için dağıtım sırasında tanımlanan kayma denetimini ve korumalı güvenlik ayarlarını değiştirebilirsiniz.
Önkoşullar
Başlamadan önce, Azure'a dağıtılan, kaydedilen ve Azure'a bağlanan bir Azure Stack HCI, sürüm 23H2 sistemine erişiminiz olduğundan emin olun.
Azure portal güvenlik varsayılan ayarlarını görüntüleme
Azure portal güvenlik varsayılan ayarlarını görüntülemek için MCSB girişimini uyguladığınıza emin olun. Daha fazla bilgi için bkz. Microsoft Cloud Security Benchmark girişimini uygulama.
Kümenizdeki küme güvenliğini, kayma denetimini ve Güvenli çekirdek sunucu ayarlarını yönetmek için güvenlik varsayılan ayarlarını kullanabilirsiniz.
Veri korumaları>Ağ koruması sekmesinin altında SMB imzalama durumunu görüntüleyin. SMB imzalama, Azure Stack HCI sistemiyle diğer sistemler arasında SMB trafiğini dijital olarak imzalamanıza olanak tanır.
Azure portal güvenlik temeli uyumluluğunu görüntüleme
Azure Stack HCI sisteminizi Bulut için Microsoft Defender kaydettikten veya Windows makinelerinin Azure işlem güvenlik temeli gereksinimlerini karşılaması gereken yerleşik ilkesini atadıktan sonra bir uyumluluk raporu oluşturulur. Azure Stack HCI sunucunuzun karşılaştırılması gereken kuralların tam listesi için bkz. Windows güvenlik temeli.
Azure Stack HCI sunucusu için, Secured-core için tüm donanım gereksinimleri karşılandığında uyumluluk puanı 288 kuraldan 281'idir; yani 288 kuraldan 281'i uyumludur.
Aşağıdaki tabloda uyumlu olmayan kurallar ve geçerli boşluğun mantığı açıklanmaktadır:
| Kural adı | Beklenen | Gerçek | Mantık | Yorumlar |
|---|---|---|---|---|
| Etkileşimli oturum açma: Oturum açmaya çalışan kullanıcılar için ileti metni | Beklenen: | Gerçek: | Işleç: NOTQUALS |
Bu değeri hiçbir kayma denetimi olmadan tanımlamanızı bekliyoruz. |
| Etkileşimli oturum açma: Oturum açmaya çalışan kullanıcılar için ileti başlığı | Beklenen: | Gerçek: | Işleç: NOTQUALS |
Bu değeri hiçbir kayma denetimi olmadan tanımlamanızı bekliyoruz. |
| Minimum parola uzunluğu | Beklenen: 14 | Gerçek: 0 | Işleç: GREATEROREQUAL |
Bu değeri kuruluşunuzun ilkesiyle uyumlu bir kayma denetimi olmadan tanımlamanızı bekliyoruz. |
| İnternet'ten cihaz meta verilerinin alınmasını engelleme | Beklenen: 1 | Gerçek: (null) | Işleç: EŞİT -TİR |
Bu denetim Azure Stack HCI için geçerli değildir. |
| Kullanıcıların ve uygulamaların tehlikeli web sitelerine erişmesini engelleme | Beklenen: 1 | Gerçek: (null) | Işleç: EŞİT -TİR |
Bu denetim, Windows Defender korumalarının bir parçasıdır ve varsayılan olarak etkinleştirilmez. Etkinleştirmek isteyip istemediğinizi değerlendirebilirsiniz. |
| Sağlamlaştırılmış UNC Yolları - NETLOGON | Beklenen: RequireMutualAuthentication=1 RequireIntegrity=1 |
Gerçek: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Işleç: EŞİT -TİR |
Azure Stack HCI daha kısıtlayıcıdır. Bu kural güvenle yoksayılabilir. |
| Sağlamlaştırılmış UNC Yolları - SYSVOL | Beklenen: RequireMutualAuthentication=1 RequireIntegrity=1 |
Gerçek: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Işleç: EŞİT -TİR |
Azure Stack HCI daha kısıtlayıcıdır. Bu kural güvenle yoksayılabilir. |
PowerShell ile güvenlik varsayılanlarını yönetme
Kayma koruması etkinleştirildiğinde, yalnızca korumasız güvenlik ayarlarını değiştirebilirsiniz. Temeli oluşturan korumalı güvenlik ayarlarını değiştirmek için önce kayma korumasını devre dışı bırakmanız gerekir. Güvenlik ayarlarının tam listesini görüntülemek ve indirmek için bkz . SecurityBaseline.
Güvenlik varsayılanlarını değiştirme
İlk güvenlik temeli ile başlayın ve dağıtım sırasında tanımlanan kayma denetimini ve korumalı güvenlik ayarlarını değiştirin.
Kayma denetimini etkinleştirme
Kayma denetimini etkinleştirmek için aşağıdaki adımları kullanın:
Azure Stack HCI düğümünüze bağlanın.
Aşağıdaki cmdlet'i çalıştırın:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Yerel - Yalnızca yerel düğümü etkiler.
- Küme - Düzenleyiciyi kullanarak kümedeki tüm düğümleri etkiler.
Kayma denetimini devre dışı bırakma
Kayma denetimini devre dışı bırakmak için aşağıdaki adımları kullanın:
Azure Stack HCI düğümünüze bağlanın.
Aşağıdaki cmdlet'i çalıştırın:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Yerel - Yalnızca yerel düğümü etkiler.
- Küme - Düzenleyiciyi kullanarak kümedeki tüm düğümleri etkiler.
Önemli
Kayma denetimini devre dışı bırakırsanız korumalı ayarlar değiştirilebilir. Sürüklenme denetimini yeniden etkinleştirirseniz, korumalı ayarlarda yaptığınız tüm değişikliklerin üzerine yazılır.
Dağıtım sırasında güvenlik ayarlarını yapılandırma
Dağıtımın bir parçası olarak, kümenizdeki güvenlik temelini oluşturan kayma denetimini ve diğer güvenlik ayarlarını değiştirebilirsiniz.
Aşağıdaki tabloda, dağıtım sırasında Azure Stack HCI kümenizde yapılandırabileceğiniz güvenlik ayarları açıklanmaktadır.
| Özellik alanı | Özellik | Açıklama | Kayma denetimini destekliyor mu? |
|---|---|---|---|
| İdare | Güvenlik temeli | Her sunucuda güvenlik varsayılanlarını korur. Değişikliklere karşı korumaya yardımcı olur. | Yes |
| Kimlik bilgisi koruması | Windows Defender Credential Guard | Gizli dizileri kimlik bilgisi hırsızlığı saldırılarından yalıtmak için sanallaştırma tabanlı güvenliği kullanır. | Yes |
| Uygulama denetimi | Uygulama denetimini Windows Defender | Hangi sürücülerin ve uygulamaların doğrudan her sunucuda çalışmasına izin verilip verilmiyor olduğunu denetler. | No |
| Bekleyen verileri şifreleme | İşletim sistemi önyükleme birimi için BitLocker | Her sunucudaki işletim sistemi başlangıç birimini şifreler. | No |
| Bekleyen verileri şifreleme | Veri birimleri için BitLocker | Bu kümedeki küme paylaşılan birimlerini (CSV) şifreler | No |
| Aktarım sırasında veri koruması | Dış SMB trafiği için imzalama | Geçiş saldırılarını önlemeye yardımcı olmak için bu sistem ve diğerleri arasındaki SMB trafiğini işaretler. | Yes |
| Aktarım sırasında veri koruması | Küme içi trafik için SMB Şifrelemesi | Kümedeki sunucular (depolama ağınızda) arasındaki trafiği şifreler. | No |
Dağıtımdan sonra güvenlik ayarlarını değiştirme
Dağıtım tamamlandıktan sonra, kayma denetimini korurken güvenlik ayarlarını değiştirmek için PowerShell'i kullanabilirsiniz. Bazı özelliklerin etkili olması için yeniden başlatma gerekir.
PowerShell cmdlet özellikleri
Aşağıdaki cmdlet özellikleri AzureStackOSConfigAgent modülüne yöneliktir . Modül dağıtım sırasında yüklenir.
Get-AzsSecurity-Kapsam: <Yerel | PerNode | AllNodes | Küme>- Local - Yerel düğümde boole değeri (true/False) sağlar. Normal bir uzak PowerShell oturumundan çalıştırılabilir.
- PerNode - Düğüm başına boole değeri (true/False) sağlar.
- Rapor - Uzak masaüstü protokolü (RDP) bağlantısı kullanarak CredSSP veya Azure Stack HCI sunucusu gerektirir.
- AllNodes : Düğümler arasında hesaplanan boole değeri (true/False) sağlar.
- Cluster : ECE deposundan boole değeri sağlar. Düzenleyiciyle etkileşim kurar ve kümedeki tüm düğümlere göre hareket eder.
Enable-AzsSecurity-Kapsam <Yerel | Küme>Disable-AzsSecurity-Kapsam <Yerel | Küme>- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Credential Guard
- Kayma Denetimi
- VBS (Sanallaştırma Tabanlı Güvenlik)- Yalnızca enable komutunu destekliyoruz.
- DRTM (Ölçüm için Dinamik Güven Kökü)
- HVCI (Kod Bütünlüğü varsa Hiper Yönetici Zorunlu Kılındı)
- Yan Kanal Risk Azaltma
- SMB Şifrelemesi
- SMB İmzalama
- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
Aşağıdaki tabloda, desteklenen güvenlik özellikleri, kayma denetimini destekleyip desteklemedikleri ve özelliği uygulamak için yeniden başlatma gerekip gerekmediği belgelenmiştir.
| Name | Özellik | Kayma denetimini destekler | Yeniden başlatma gerekiyor |
|---|---|---|---|
| Etkinleştir |
Sanallaştırma Tabanlı Güvenlik (VBS) | Yes | Yes |
| Etkinleştir Devre Dışı Bırak |
Ölçüm için Dinamik Güven Kökü (DRTM) | Yes | Yes |
| Etkinleştir Devre Dışı Bırak |
Hiper yönetici korumalı Kod Bütünlüğü (HVCI) | Yes | Yes |
| Etkinleştir Devre Dışı Bırak |
Yan kanal azaltma | Yes | Yes |
| Etkinleştir Devre Dışı Bırak |
SMB imzalama | Yes | Yes |
| Etkinleştir Devre Dışı Bırak |
SMB kümesi şifrelemesi | Hayır, küme ayarı | Hayır |
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin