Správa výchozích nastavení zabezpečení pro Azure Stack HCI verze 23H2
Platí pro: Azure Stack HCI verze 23H2
Tento článek popisuje, jak spravovat výchozí nastavení zabezpečení clusteru Azure Stack HCI. Můžete také upravit nastavení řízení posunu a chráněného zabezpečení definovaná během nasazování tak, aby se zařízení spouští ve známém dobrém stavu.
Požadavky
Než začnete, ujistěte se, že máte přístup k systému Azure Stack HCI verze 23H2, který je nasazený, zaregistrovaný a připojený k Azure.
Zobrazení výchozího nastavení zabezpečení v Azure Portal
Pokud chcete zobrazit výchozí nastavení zabezpečení v Azure Portal, ujistěte se, že jste použili iniciativu MCSB. Další informace najdete v tématu Použití iniciativy Microsoft Cloud Security Benchmark.
Výchozí nastavení zabezpečení můžete použít ke správě zabezpečení clusteru, řízení posunu a nastavení zabezpečeného základního serveru v clusteru.
Stav podepisování SMB můžete zobrazit na kartě Ochrana> datv síti. Podepisování SMB umožňuje digitálně podepisovat provoz SMB mezi systémem Azure Stack HCI a dalšími systémy.
Zobrazení dodržování předpisů standardních hodnot zabezpečení v Azure Portal
Po registraci systému Azure Stack HCI s Microsoft Defender pro cloud nebo přiřazení předdefinovaných zásad se pro vaše servery vygeneruje sestava. V tuto chvíli by počítače s Windows měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. Úplný seznam pravidel, se která váš server Azure Stack HCI porovnává, najdete v tématu Standardní hodnoty zabezpečení Windows.
Pokud server Azure Stack HCI splňuje všechny požadavky na hardware pro zabezpečené jádro, skóre dodržování předpisů je 281 z 288. Toto skóre označuje, že 281 z 288 pravidel vyhovuje předpisům.
Následující tabulka vysvětluje pravidla, která nedodržují předpisy, a odůvodnění aktuální mezery:
Název pravidla | Expected | Actual | Logika | Komentáře |
---|---|---|---|---|
Interaktivní přihlašování: Text zprávy pro uživatele pokoušející se přihlásit | Očekává: | Skutečné: | Operátor: POZNÁMKAQUALS |
Očekáváme, že tuto hodnotu definujete bez kontroly posunu. |
Interaktivní přihlašování: Nadpis zprávy pro uživatele pokoušející se přihlásit | Očekává: | Skutečné: | Operátor: POZNÁMKAQUALS |
Očekáváme, že tuto hodnotu definujete bez kontroly posunu. |
Minimální délka hesla | Očekává se: 14 | Skutečná hodnota: 0 | Operátor: VĚTŠÍOREQUAL |
Očekáváme, že tuto hodnotu definujete bez kontroly posunu, která bude v souladu se zásadami vaší organizace. |
Zabránit načítání metadat zařízení z internetu | Očekává se: 1 | Skutečné: (null) | Operátor: ROVNÁ |
Tento ovládací prvek se nevztahuje na Azure Stack HCI. |
Zabránění uživatelům a aplikacím v přístupu k nebezpečným webům | Očekává se: 1 | Skutečné: (null) | Operátor: ROVNÁ |
Tento ovládací prvek je součástí ochrany Windows Defender, ve výchozím nastavení není povolený. Můžete vyhodnotit, jestli chcete povolit. |
Posílené cesty UNC – NETLOGON | Očekává: RequireMutualAuthentication=1 RequireIntegrity=1 |
Skutečné: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operátor: ROVNÁ |
Azure Stack HCI je více omezující. Toto pravidlo můžete bezpečně ignorovat. |
Posílené cesty UNC – SYSVOL | Očekává: RequireMutualAuthentication=1 RequireIntegrity=1 |
Skutečné: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operátor: ROVNÁ |
Azure Stack HCI je více omezující. Toto pravidlo můžete bezpečně ignorovat. |
Správa výchozích nastavení zabezpečení pomocí PowerShellu
Pokud je povolená ochrana proti posunu, můžete upravit jenom nechráněná nastavení zabezpečení. Chcete-li upravit chráněná nastavení zabezpečení, která tvoří směrný plán, musíte nejprve zakázat ochranu proti posunu. Pokud chcete zobrazit a stáhnout úplný seznam nastavení zabezpečení, přečtěte si téma SecurityBaseline.
Úprava výchozích nastavení zabezpečení
Začněte počátečním standardním plánem zabezpečení a pak upravte řízení posunu a chráněná nastavení zabezpečení definovaná během nasazování.
Povolení řízení posunu
Pomocí následujících kroků povolte řízení posunu:
Připojte se k uzlu Azure Stack HCI.
Spusťte následující rutinu:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
- Místní – ovlivňuje pouze místní uzel.
- Cluster – ovlivňuje všechny uzly v clusteru pomocí orchestrátoru.
Zakázat řízení posunu
Pomocí následujících kroků zakažte řízení posunu:
Připojte se k uzlu Azure Stack HCI.
Spusťte následující rutinu:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
- Místní – ovlivňuje pouze místní uzel.
- Cluster – ovlivňuje všechny uzly v clusteru pomocí orchestrátoru.
Konfigurace nastavení zabezpečení během nasazování
V rámci nasazení můžete upravit řízení posunu a další nastavení zabezpečení, která tvoří standardní hodnoty zabezpečení vašeho clusteru.
Následující tabulka popisuje nastavení zabezpečení, která je možné nakonfigurovat v clusteru Azure Stack HCI během nasazení.
Oblast funkce | Funkce | Popis | Podporuje řízení posunu? |
---|---|---|---|
Zásady správného řízení | Standardní hodnoty zabezpečení | Na každém serveru udržuje výchozí hodnoty zabezpečení. Pomáhá chránit před změnami. | Yes |
Ochrana přihlašovacích údajů | Ochrana Credential Guard v programu Windows Defender | Používá zabezpečení na základě virtualizace k izolaci tajných kódů před útoky na krádež přihlašovacích údajů. | Yes |
Řízení aplikace | Windows Defender Řízení aplikací | Určuje, které ovladače a aplikace můžou běžet přímo na každém serveru. | No |
Šifrování neaktivních uložených dat | BitLocker pro spouštěcí svazek operačního systému | Šifruje spouštěcí svazek operačního systému na každém serveru. | No |
Šifrování neaktivních uložených dat | BitLocker pro datové svazky | Šifruje sdílené svazky clusteru (CSV) v tomto clusteru. | No |
Ochrana při přenosu dat | Podepisování externích přenosů SMB | Podepisuje přenosy SMB mezi tímto systémem a dalšími, aby se zabránilo útokům relay. | Yes |
Ochrana při přenosu dat | Šifrování SMB pro provoz v clusteru | Šifruje provoz mezi servery v clusteru (ve vaší síti úložiště). | No |
Úprava nastavení zabezpečení po nasazení
Po dokončení nasazení můžete pomocí PowerShellu upravit nastavení zabezpečení při zachování řízení posunu. Některé funkce vyžadují restartování, aby se projevily.
Vlastnosti rutiny PowerShellu
Následující vlastnosti rutin jsou určené pro modul AzureStackOSConfigAgent . Modul se nainstaluje během nasazení.
Get-AzsSecurity
-Scope: <Místní | PerNode | AllNodes | Clusteru>- Místní – poskytuje logickou hodnotu (true/False) v místním uzlu. Dá se spustit z běžné vzdálené relace PowerShellu.
- PerNode – poskytuje logickou hodnotu (true/False) na uzel.
- Sestava – vyžaduje CredSSP nebo server Azure Stack HCI pomocí připojení protokolu RDP (Remote Desktop Protocol).
- AllNodes – poskytuje logickou hodnotu (true/False) vypočítanou napříč uzly.
- Cluster – poskytuje logickou hodnotu z úložiště ECE. Komunikuje s orchestrátorem a působí na všechny uzly v clusteru.
Enable-AzsSecurity
-Scope <Local | Clusteru>Disable-AzsSecurity
-Scope <Local | Clusteru>- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Ochrana přihlašovacích údajů Credential Guard
- Ovládání posunu
- VBS (Virtualization Based Security) – Podporujeme jenom příkaz enable.
- DRTM (Dynamic Root of Trust for Measurement)
- HVCI (hypervisor vynucený v případě integrity kódu)
- Omezení rizik postranního kanálu
- Šifrování paketů SMB
- Podepisování SMB
- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
Následující tabulka obsahuje informace o podporovaných funkcích zabezpečení, o tom, jestli podporují řízení posunu a jestli se k implementaci této funkce vyžaduje restartování.
Name | Funkce | Podporuje řízení posunu. | Je vyžadován restart |
---|---|---|---|
Povolit |
Zabezpečení na základě virtualizace (VBS) | Yes | Yes |
Povolit Zakázat |
Dynamický kořenový adresář důvěryhodnosti pro měření (DRTM) | Yes | Yes |
Povolit Zakázat |
Integrita kódu chráněného hypervisorem (HVCI) | Yes | Yes |
Povolit Zakázat |
Omezení rizik postranního kanálu | Yes | Yes |
Povolit Zakázat |
Podepisování SMB | Yes | Yes |
Povolit Zakázat |
Šifrování clusteru SMB | Ne, nastavení clusteru | No |
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro