Správa výchozích nastavení zabezpečení pro Azure Stack HCI verze 23H2

Platí pro: Azure Stack HCI verze 23H2

Tento článek popisuje, jak spravovat výchozí nastavení zabezpečení clusteru Azure Stack HCI. Můžete také upravit nastavení řízení posunu a chráněného zabezpečení definovaná během nasazování tak, aby se zařízení spouští ve známém dobrém stavu.

Požadavky

Než začnete, ujistěte se, že máte přístup k systému Azure Stack HCI verze 23H2, který je nasazený, zaregistrovaný a připojený k Azure.

Zobrazení výchozího nastavení zabezpečení v Azure Portal

Pokud chcete zobrazit výchozí nastavení zabezpečení v Azure Portal, ujistěte se, že jste použili iniciativu MCSB. Další informace najdete v tématu Použití iniciativy Microsoft Cloud Security Benchmark.

Výchozí nastavení zabezpečení můžete použít ke správě zabezpečení clusteru, řízení posunu a nastavení zabezpečeného základního serveru v clusteru.

Stav podepisování SMB můžete zobrazit na kartě Ochrana> datv síti. Podepisování SMB umožňuje digitálně podepisovat provoz SMB mezi systémem Azure Stack HCI a dalšími systémy.

Zobrazení dodržování předpisů standardních hodnot zabezpečení v Azure Portal

Po registraci systému Azure Stack HCI s Microsoft Defender pro cloud nebo přiřazení předdefinovaných zásad se pro vaše servery vygeneruje sestava. V tuto chvíli by počítače s Windows měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. Úplný seznam pravidel, se která váš server Azure Stack HCI porovnává, najdete v tématu Standardní hodnoty zabezpečení Windows.

Pokud server Azure Stack HCI splňuje všechny požadavky na hardware pro zabezpečené jádro, skóre dodržování předpisů je 281 z 288. Toto skóre označuje, že 281 z 288 pravidel vyhovuje předpisům.

Následující tabulka vysvětluje pravidla, která nedodržují předpisy, a odůvodnění aktuální mezery:

Název pravidla	Expected	Actual	Logika	Komentáře
Interaktivní přihlašování: Text zprávy pro uživatele pokoušející se přihlásit	Očekává:	Skutečné:	Operátor: POZNÁMKAQUALS	Očekáváme, že tuto hodnotu definujete bez kontroly posunu.
Interaktivní přihlašování: Nadpis zprávy pro uživatele pokoušející se přihlásit	Očekává:	Skutečné:	Operátor: POZNÁMKAQUALS	Očekáváme, že tuto hodnotu definujete bez kontroly posunu.
Minimální délka hesla	Očekává se: 14	Skutečná hodnota: 0	Operátor: VĚTŠÍOREQUAL	Očekáváme, že tuto hodnotu definujete bez kontroly posunu, která bude v souladu se zásadami vaší organizace.
Zabránit načítání metadat zařízení z internetu	Očekává se: 1	Skutečné: (null)	Operátor: ROVNÁ	Tento ovládací prvek se nevztahuje na Azure Stack HCI.
Zabránění uživatelům a aplikacím v přístupu k nebezpečným webům	Očekává se: 1	Skutečné: (null)	Operátor: ROVNÁ	Tento ovládací prvek je součástí ochrany Windows Defender, ve výchozím nastavení není povolený. Můžete vyhodnotit, jestli chcete povolit.
Posílené cesty UNC – NETLOGON	Očekává: RequireMutualAuthentication=1 RequireIntegrity=1	Skutečné: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1	Operátor: ROVNÁ	Azure Stack HCI je více omezující. Toto pravidlo můžete bezpečně ignorovat.
Posílené cesty UNC – SYSVOL	Očekává: RequireMutualAuthentication=1 RequireIntegrity=1	Skutečné: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1	Operátor: ROVNÁ	Azure Stack HCI je více omezující. Toto pravidlo můžete bezpečně ignorovat.

Správa výchozích nastavení zabezpečení pomocí PowerShellu

Pokud je povolená ochrana proti posunu, můžete upravit jenom nechráněná nastavení zabezpečení. Chcete-li upravit chráněná nastavení zabezpečení, která tvoří směrný plán, musíte nejprve zakázat ochranu proti posunu. Pokud chcete zobrazit a stáhnout úplný seznam nastavení zabezpečení, přečtěte si téma SecurityBaseline.

Úprava výchozích nastavení zabezpečení

Začněte počátečním standardním plánem zabezpečení a pak upravte řízení posunu a chráněná nastavení zabezpečení definovaná během nasazování.

Povolení řízení posunu

Pomocí následujících kroků povolte řízení posunu:

1. Připojte se k uzlu Azure Stack HCI.

2. Spusťte následující rutinu:

   Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
   

   • Místní – ovlivňuje pouze místní uzel.
   • Cluster – ovlivňuje všechny uzly v clusteru pomocí orchestrátoru.

Zakázat řízení posunu

Pomocí následujících kroků zakažte řízení posunu:

1. Připojte se k uzlu Azure Stack HCI.

2. Spusťte následující rutinu:

   Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
   

   • Místní – ovlivňuje pouze místní uzel.
   • Cluster – ovlivňuje všechny uzly v clusteru pomocí orchestrátoru.

Konfigurace nastavení zabezpečení během nasazování

V rámci nasazení můžete upravit řízení posunu a další nastavení zabezpečení, která tvoří standardní hodnoty zabezpečení vašeho clusteru.

Následující tabulka popisuje nastavení zabezpečení, která je možné nakonfigurovat v clusteru Azure Stack HCI během nasazení.

Oblast funkce	Funkce	Popis	Podporuje řízení posunu?
Zásady správného řízení	Standardní hodnoty zabezpečení	Na každém serveru udržuje výchozí hodnoty zabezpečení. Pomáhá chránit před změnami.	Yes
Ochrana přihlašovacích údajů	Ochrana Credential Guard v programu Windows Defender	Používá zabezpečení na základě virtualizace k izolaci tajných kódů před útoky na krádež přihlašovacích údajů.	Yes
Řízení aplikace	Windows Defender Řízení aplikací	Určuje, které ovladače a aplikace můžou běžet přímo na každém serveru.	No
Šifrování neaktivních uložených dat	BitLocker pro spouštěcí svazek operačního systému	Šifruje spouštěcí svazek operačního systému na každém serveru.	No
Šifrování neaktivních uložených dat	BitLocker pro datové svazky	Šifruje sdílené svazky clusteru (CSV) v tomto clusteru.	No
Ochrana při přenosu dat	Podepisování externích přenosů SMB	Podepisuje přenosy SMB mezi tímto systémem a dalšími, aby se zabránilo útokům relay.	Yes
Ochrana při přenosu dat	Šifrování SMB pro provoz v clusteru	Šifruje provoz mezi servery v clusteru (ve vaší síti úložiště).	No

Úprava nastavení zabezpečení po nasazení

Po dokončení nasazení můžete pomocí PowerShellu upravit nastavení zabezpečení při zachování řízení posunu. Některé funkce vyžadují restartování, aby se projevily.

Vlastnosti rutiny PowerShellu

Následující vlastnosti rutin jsou určené pro modul AzureStackOSConfigAgent . Modul se nainstaluje během nasazení.

• Get-AzsSecurity -Scope: <Místní | PerNode | AllNodes | Clusteru>

  • Místní – poskytuje logickou hodnotu (true/False) v místním uzlu. Dá se spustit z běžné vzdálené relace PowerShellu.
  • PerNode – poskytuje logickou hodnotu (true/False) na uzel.
  • Sestava – vyžaduje CredSSP nebo server Azure Stack HCI pomocí připojení protokolu RDP (Remote Desktop Protocol).
    • AllNodes – poskytuje logickou hodnotu (true/False) vypočítanou napříč uzly.
    • Cluster – poskytuje logickou hodnotu z úložiště ECE. Komunikuje s orchestrátorem a působí na všechny uzly v clusteru.

• Enable-AzsSecurity -Scope <Local | Clusteru>

• Disable-AzsSecurity -Scope <Local | Clusteru>

  • FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
    • Ochrana přihlašovacích údajů Credential Guard
    • Ovládání posunu
    • VBS (Virtualization Based Security) – Podporujeme jenom příkaz enable.
    • DRTM (Dynamic Root of Trust for Measurement)
    • HVCI (hypervisor vynucený v případě integrity kódu)
    • Omezení rizik postranního kanálu
    • Šifrování paketů SMB
    • Podepisování SMB

Následující tabulka obsahuje informace o podporovaných funkcích zabezpečení, o tom, jestli podporují řízení posunu a jestli se k implementaci této funkce vyžaduje restartování.

Name	Funkce	Podporuje řízení posunu.	Je vyžadován restart
Povolit	Zabezpečení na základě virtualizace (VBS)	Yes	Yes
Povolit Zakázat	Dynamický kořenový adresář důvěryhodnosti pro měření (DRTM)	Yes	Yes
Povolit Zakázat	Integrita kódu chráněného hypervisorem (HVCI)	Yes	Yes
Povolit Zakázat	Omezení rizik postranního kanálu	Yes	Yes
Povolit Zakázat	Podepisování SMB	Yes	Yes
Povolit Zakázat	Šifrování clusteru SMB	Ne, nastavení clusteru	No

Další kroky

• Seznamte se s šifrováním nástrojem BitLocker.