Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: Hyperkonvergované nasazení lokální Azure
Tento článek popisuje, jak spravovat výchozí nastavení zabezpečení pro místní instanci Azure. Můžete také upravit řízení odchylek a chráněná bezpečnostní nastavení definovaná během nasazení, aby se zařízení spouštělo ve známém dobrém stavu.
Požadavky
Než začnete, ujistěte se, že máte přístup k místnímu systému Azure, který je nasazený, zaregistrovaný a připojený k Azure.
Zobrazení výchozích nastavení zabezpečení na webu Azure Portal
Pokud chcete zobrazit výchozí nastavení zabezpečení na webu Azure Portal, ujistěte se, že jste použili iniciativu MCSB. Další informace najdete v tématu Použití iniciativy srovnávacího testu Microsoft Cloud Security.
Výchozí nastavení zabezpečení můžete použít ke správě nastavení zabezpečení systému, řízení posunu a zabezpečeného jádra ve vašem systému.
Podívejte se na stav podepisování SMB v záložce Ochrana dat> a Ochrana sítě. Podepisování protokolu SMB umožňuje digitálně podepisovat přenosy SMB mezi místní instancí Azure a dalšími systémy.
Zobrazení dodržování předpisů standardních hodnot zabezpečení na webu Azure Portal
Po registraci místní instance Azure s Microsoft Defender for Cloud nebo při přiřazení předdefinované zásady Počítače s Windows by měly splňovat požadavky standardu zabezpečení výpočetních prostředků Azure se vygeneruje zpráva o dodržování předpisů. Úplný seznam pravidel, se která místní instance Azure porovnává, najdete v tématu Standardní hodnoty zabezpečení Windows.
U místního hostitelského počítače Azure platí, že pokud jsou splněny všechny požadavky na hardware pro zabezpečené jádro, výchozí očekávané skóre dodržování předpisů je 99% pravidel.
Následující tabulka vysvětluje pravidla, která nedodržují předpisy, a odůvodnění současné mezery:
| Název pravidla | Stav dodržování předpisů | Důvod | Komentáře |
|---|---|---|---|
| Interaktivní přihlašování: Text zprávy pro uživatele pokoušející se přihlásit | Nevyhovující předpisům | Upozornění – ""je rovno"" | To musí být definováno zákazníkem, nemá povolenou kontrolu posunu. |
| Interaktivní přihlašování: Nadpis zprávy pro uživatele pokoušející se přihlásit | Nedodržuje předpisy | Upozornění – "" se rovná "" | To musí být definováno zákazníkem, nemá povolenou kontrolu posunu. |
| Minimální délka hesla | Nedodržuje předpisy | Kritické – Sedm je menší než minimální hodnota 14. | Toto nastavení musí definovat zákazník, nemá povolenou kontrolu odchylek, aby toto nastavení bylo možné sladit se zásadami vaší organizace. |
Oprava souladu s pravidly
Pokud chcete opravit soulad s pravidly, spusťte následující příkazy nebo použijte jiný nástroj, který preferujete.
Právní oznámení: Vytvořte vlastní hodnotu pro právní oznámení v závislosti na potřebách a zásadách vaší organizace. Spusťte následující příkazy:
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice" Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"Minimální délka hesla: Na místním počítači Azure nastavte zásadu minimální délky hesla na 14 znaků. Výchozí hodnota je 7 a všechny hodnoty nižší než 14 jsou stále označeny zásadami standardních hodnot monitorování. Spusťte následující příkazy:
net accounts /minpwlen:14
Správa výchozích hodnot zabezpečení pomocí PowerShellu
Pokud je povolená ochrana proti posunu, můžete upravit pouze nechráněná nastavení zabezpečení. Chcete-li upravit chráněná bezpečnostní nastavení, která tvoří základní úroveň, musíte nejprve zakázat ochranu proti odchylce.
Zobrazení a stažení nastavení zabezpečení
Následující tabulka slouží k zobrazení a stažení kompletního seznamu nastavení zabezpečení na základě verze softwaru, kterou používáte.
| Verze místního řešení Azure | Spuštění místní verze operačního systému Azure | Odkaz ke stažení souboru CSV s nastavením |
|---|---|---|
| Nasazení s verzemi 2505 a staršími | Spuštění buildu operačního systému 25398.xxxx a připojeného k doméně | Stažení standardních hodnot zabezpečení |
| Nasazení využívající verzi 2506 a novější | Spuštění buildu operačního systému 26100.xxxx a připojeného k doméně | Stažení standardních hodnot zabezpečení |
| Nasazení využívající verzi 2506 a novější | Spuštění buildu operačního systému 26100.xxxx a nepřipojení k doméně (označované také jako bez AD) | Stažení standardních hodnot zabezpečení |
Úprava výchozích hodnot zabezpečení
Začněte počátečním standardním plánem zabezpečení a upravte řízení odchylek a chráněná nastavení zabezpečení definovaná během nasazování.
Povolit řízení drifu
Pomocí následujících kroků povolte řízení posunu:
Připojte se k místnímu počítači Azure.
Spusťte následující příkaz:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Místní – ovlivňuje pouze místní uzel.
- Cluster – Ovlivňuje všechny uzly v clusteru pomocí orchestrátoru.
Zakázat řízení posunu
Pomocí následujících kroků zakažte řízení posunu:
Připojte se k místnímu počítači Azure.
Spusťte následující příkaz:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Místní – ovlivňuje pouze místní uzel.
- Cluster – Ovlivňuje všechny uzly v clusteru pomocí orchestrátoru.
Důležité
Pokud zakážete řízení odchylek, můžete upravit chráněná nastavení. Pokud řízení posunu povolíte znovu, všechny změny, které jste provedli v chráněných nastaveních, se přepíšou.
Konfigurace nastavení zabezpečení během nasazení
V rámci nasazení můžete upravit řízení odchylek a další nastavení zabezpečení, která představují standardní hodnoty zabezpečení v clusteru.
Následující tabulka popisuje nastavení zabezpečení, která je možné nakonfigurovat v místní instanci Azure během nasazování.
| Oblast funkcí | Funkce | Popis | Podporuje kontrolu odchylek? |
|---|---|---|---|
| Řízení | Standardní hodnoty zabezpečení | Udržuje výchozí nastavení zabezpečení na každém uzlu. Pomáhá chránit před změnami. | Ano |
| Ochrana přihlašovacích údajů | Windows Defender Credential Guard | Používá zabezpečení na základě virtualizace k izolaci tajných kódů před útoky na krádež přihlašovacích údajů. | Ano |
| Řízení aplikace | Řízení aplikací v programu Windows Defender | Určuje, které ovladače a aplikace se můžou spouštět přímo na každém uzlu. | Ne |
| Šifrování dat v klidu | BitLocker pro spouštěcí svazek operačního systému | Zašifruje spouštěcí svazek operačního systému na každém uzlu. | Ne |
| Šifrování dat v klidu | BitLocker pro datové svazky | Šifruje sdílené svazky clusteru (CSV) v tomto systému. | Ne |
| Ochrana přenášených dat | Podepisování externího síťového provozu SMB | Podepisuje provoz SMB mezi tímto systémem a ostatními, aby se zabránilo retranslačním útokům. | Ano |
| Ochrana přenášených dat | Šifrování SMB pro provoz v clusteru | Šifruje provoz mezi uzly v systému (ve vaší síti úložiště). | Ne |
Úprava nastavení zabezpečení po nasazení
Po dokončení nasazení můžete pomocí PowerShellu upravit nastavení zabezpečení při zachování řízení posunu. Některé funkce vyžadují restartování, aby se projevilo.
Vlastnosti cmdletu PowerShellu
Následující vlastnosti příkazů cmdlet jsou pro modul AzureStackOSConfigAgent. Modul se nainstaluje během nasazení.
Get-AzsSecurity-Scope: <Local | PerNode | AllNodes | Shluk>- Místní – Poskytuje logickou hodnotu (true/False) v místním uzlu. Dá se spustit z běžné síťové relace PowerShellu.
- PerNode – Poskytuje logickou hodnotu (true/False) na uzel.
-
Sestava – Vyžaduje CredSSP nebo místní počítač Azure pomocí připojení RDP (Remote Desktop Protocol).
- AllNodes – poskytuje logickou hodnotu (true/False) vypočítanou napříč uzly.
- Cluster – poskytuje logickou hodnotu z úložiště ECE. Komunikuje s orchestrátorem a funguje na všech uzlech v clusteru.
Enable-AzsSecurity<místní -Scope | Shluk>Disable-AzsSecurity<místní -Scope | Shluk>FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Kontrola driftu
- Ochrana přihlašovacích údajů Credential Guard
- VBS (virtualizační zabezpečení) – Podporujeme pouze povolení příkazu.
- DRTM (dynamický základ důvěry pro měření)
- HVCI (integrita kódu vynucená hypervizorem)
- Zmírnění rizik na straně kanálu
- Podepisování SMB
- Šifrování clusteru SMB
Důležité
Enable AzsSecurityaDisable AzsSecuritycmdlety jsou k dispozici pouze v nových nasazeních nebo při upgradovaných nasazeních, pokud jsou na uzly správně aplikovány bezpečnostní základní linie. Další informace najdete v tématu Správa zabezpečení po upgradu azure Local.
Následující tabulka obsahuje dokumenty o podporovaných funkcích zabezpečení, zda podporují řízení odchylek a jestli se k implementaci této funkce vyžaduje restartování.
| Název | Funkce | Podporuje kontrolu odchylek. | Vyžaduje se restartování. |
|---|---|---|---|
| Povolte |
Zabezpečení na základě virtualizace (VBS) | Ano | Ano |
| Povolte |
Ochrana přihlašovacích údajů Credential Guard | Ano | Ano |
| Povolte Zakázat |
Dynamický kořen důvěryhodnosti pro měření (DRTM) | Ano | Ano |
| Povolte Zakázat |
Integrita kódu chráněná hypervisorem (HVCI) | Ano | Ano |
| Povolte Zakázat |
Zmírnění rizik na straně kanálu | Ano | Ano |
| Povolte Zakázat |
Podepisování SMB | Ano | Ano |
| Povolte Zakázat |
Šifrování clusteru SMB | Ne, nastavení clusteru | Ne |