Azure Stack HCI 版本 23H2 的安全性功能

  • 發行項

適用於:Azure Stack HCI 版本 23H2

Azure Stack HCI 是一種預設安全產品,其從一開始就啟用超過 300 個安全性設定。 默認安全性設定提供一致的安全性基準,以確保裝置以已知的良好狀態啟動。

本文提供與 Azure Stack HCI 叢集相關聯之各種安全性功能的簡短概念概觀。 功能包括安全性預設值、應用程控 Windows Defender (WDAC) 、透過 BitLocker 進行磁碟區加密、秘密輪替、本機內建用戶帳戶、雲端 Microsoft Defender 等等。

安全性預設值

您的 Azure Stack HCI 預設會啟用安全性設定,以提供一致的安全性基準、基準管理系統和漂移控制機制。

您可以在部署和運行時間期間監視安全性基準和安全核心設定。 您也可以在設定安全性設定時停用部署期間的漂移控制。

套用漂移控制時,會每隔 90 分鐘重新整理安全性設定一次。 此重新整理間隔可確保從所需狀態補救任何變更。 持續監視和自動修復可在整個裝置生命週期中啟用一致且可靠的安全性狀態。

Azure Stack HCI 上的安全基準:

  • 藉由停用舊版通訊協議和密碼來改善安全性狀態。
  • 使用內建漂移保護機制減少 OPEX,以透過 Azure Arc Hybrid Edge 基準進行大規模監視。
  • 可讓您符合適用於因特網安全性 (CIS) 基準檢驗和防禦資訊系統機構 (DISA) 安全性技術實作指南 (STIG) 需求。操作系統和建議的安全性基準。

如需詳細資訊,請參閱 管理 Azure Stack HCI 上的安全性預設值

Windows Defender 應用程式控制

WDAC 是以軟體為基礎的安全性層,藉由強制執行允許執行之軟體的明確清單,以減少受攻擊面。 默認會啟用 WDAC,並限制您可以在核心平台上執行的應用程式和程式碼。 如需詳細資訊,請參閱管理 Azure Stack HCI 的應用程式控制版本 23H2 Windows Defender

WDAC 提供兩種主要作業模式:強制模式和稽核模式。 在強制模式中,會封鎖不受信任的程序代碼,並記錄事件。 在稽核模式中,允許執行不受信任的程式代碼,並記錄事件。 若要深入瞭解 WDAC 相關事件,請參閱 事件清單

重要

若要將安全性風險降到最低,請一律以強制模式執行WDAC。

關於 WDAC 原則設計

Microsoft 在 Azure Stack HCI 上提供強制模式和稽核模式的基礎簽署原則。 此外,原則包含一組預先定義的平臺行為規則,以及套用至應用程控層的封鎖規則。

基底原則的組合

Azure Stack HCI 基底原則包含下列各節:

  • 元數據:元數據會定義原則的唯一屬性,例如原則名稱、版本、GUID 等等。
  • 選項規則:這些規則會定義原則行為。 補充原則只能與一組系結至其基底原則的選項規則不同。
  • 允許和拒絕規則:這些規則會定義程式代碼信任界限。 規則可以根據發行者、簽署者、檔案哈希等等。

選項規則

本節討論基底原則所啟用的選項規則。

針對強制執行的原則,預設會啟用下列選項規則:

選項規則
啟用 UMCI
必要 WHQL
啟用 允許補充原則
啟用 撤銷已過期為未簽署
已停用 正式發行前小眾測試版簽署
啟用 未簽署的系統完整性原則 (預設)
啟用 動態程式代碼安全性
啟用 進階開機選項功能表
已停用 腳本強制執行
啟用 受管理的安裝程式
啟用 更新原則沒有重新啟動

稽核原則會將下列選項規則新增至基底原則:

選項規則
啟用 稽核模式 (預設)

如需詳細資訊,請參閱 選項規則的完整清單

允許和拒絕規則

允許基底原則中的規則允許操作系統和雲端部署所傳遞的所有 Microsoft 元件都受到信任。 拒絕規則會封鎖使用者模式應用程式和核心元件,以針對解決方案的安全性狀態視為不安全。

注意

基底原則中的 [允許] 和 [拒絕] 規則會定期更新,以改善產品功能,並將解決方案的保護最大化。

若要深入瞭解拒絕規則,請參閱:

BitLocker 加密

在部署期間建立的數據磁碟區上會啟用待用數據加密。 這些數據磁碟區包括基礎結構磁碟區和工作負載磁碟區。 當您部署叢集時,您可以修改安全性設定。

根據預設,待用數據加密會在部署期間啟用。 建議您接受預設設定。

成功部署 Azure Stack HCI 之後,您可以擷取 BitLocker 修復金鑰。 您必須將 BitLocker 修復金鑰儲存在系統外部的安全位置。

如需 BitLocker 加密的詳細資訊,請參閱:

本機內建用戶帳戶

在此版本中,Azure Stack HCI 系統上有下列與 相關聯的RID 500RID 501本機內建使用者可用:

初始OS映像中的名稱 部署后的名稱 預設啟用 Description
系統管理員 ASBuiltInAdmin 用於管理計算機/網域的內建帳戶。
來賓 ASBuiltInGuest False 內建帳戶,可供來賓存取計算機/網域,受到安全性基準漂移控制機制的保護。

重要

建議您建立自己的本機系統管理員帳戶,並停用已知的 RID 500 用戶帳戶。

秘密建立和輪替

Azure Stack HCI 中的協調器需要多個元件來維護與其他基礎結構資源和服務的安全通訊。 叢集上執行的所有服務都有與其相關聯的驗證和加密憑證。

為了確保安全性,我們會實作內部秘密建立和輪替功能。 當您檢閱叢集節點時,您會看到在LocalMachine/Personal證書存儲路徑下建立的數個憑證, (Cert:\LocalMachine\My) 。

在此版本中,會啟用下列功能:

  • 在部署期間和叢集調整作業之後建立憑證的能力。
  • 在憑證到期前自動自動輪替,以及在叢集存留期期間輪替憑證的選項。
  • 監視和警示憑證是否仍然有效的能力。

注意

根據叢集的大小而定,秘密建立和輪替作業需要約 10 分鐘的時間才能完成。

如需詳細資訊,請參閱 管理秘密輪替

安全性事件的 Syslog 轉送

對於需要自己本機安全性資訊和事件管理的客戶和組織, (SIEM) 系統,Azure Stack HCI 第 23H2 版包含整合式機制,可讓您將安全性相關事件轉送至 SIEM。

Azure Stack HCI 具有整合式 syslog 轉寄站,一旦設定,就會產生定義於 RFC3164 中的 syslog 訊息,並具有一般事件格式 (CEF) 的承載。

下圖說明 Azure Stack HCI 與 SIEM 的整合。 所有稽核、安全性記錄和警示都會收集在每個主機上,並透過具有 CEF 承載的 syslog 公開。

下圖說明 Azure Stack HCI 與外部安全性資訊和事件管理整合, (SIEM) 系統。

Syslog 轉送代理程式會部署在每個 Azure Stack HCI 主機上,以將 syslog 訊息轉送至客戶設定的 syslog 伺服器。 Syslog 轉送代理程式彼此獨立運作,但可以在任一主機上一起管理。

Azure Stack HCI 中的 syslog 轉寄站支援各種設定,根據 syslog 轉送是否使用 TCP 或 UDP、是否啟用加密,以及是否有單向或雙向驗證。

如需詳細資訊,請參閱 管理 syslog 轉送

適用於雲端 (預覽版的 Microsoft Defender)

雲端 Microsoft Defender 是具有進階威脅防護功能的安全性狀態管理解決方案。 它提供您工具來評估基礎結構的安全性狀態、保護工作負載、引發安全性警示,並遵循特定建議來補救攻擊並解決未來的威脅。 它會透過透過 Azure 服務的自動布建和保護,在雲端中以高速執行所有這些服務,而不需要部署額外負荷。

使用適用於雲端的基本 Defender 方案,您可以取得有關如何改善 Azure Stack HCI 系統安全性狀態的建議,而不需要額外費用。 使用適用於伺服器的付費 Defender 方案,您可以取得增強的安全性功能,包括個別伺服器和 Arc VM 的安全性警示。

如需詳細資訊,請參閱使用 Microsoft Defender for Cloud (Preview) 管理系統安全性

下一步