Verwalten von Sicherheitsstandards für Azure Stack HCI, Version 23H2
Gilt für: Azure Stack HCI, Version 23H2
In diesem Artikel wird beschrieben, wie Sie die Standardsicherheitseinstellungen für Ihren Azure Stack HCI-Cluster verwalten. Sie können auch die Abweichungssteuerung und die während der Bereitstellung definierten geschützten Sicherheitseinstellungen ändern, sodass Ihr Gerät in einem bekannten guten Zustand gestartet wird.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie Zugriff auf ein Azure Stack HCI-System der Version 23H2 haben, das bereitgestellt, registriert und mit Azure verbunden ist.
Anzeigen der Sicherheitsstandardeinstellungen im Azure-Portal
Um die Sicherheitsstandardeinstellungen im Azure-Portal anzuzeigen, stellen Sie sicher, dass Sie die MCSB-Initiative angewendet haben. Weitere Informationen finden Sie unter Anwenden der Microsoft Cloud Security Benchmark-Initiative.
Sie können die Sicherheitsstandardeinstellungen verwenden, um die Clustersicherheit, die Abweichungssteuerung und die Einstellungen des gesicherten Kernservers in Ihrem Cluster zu verwalten.
Zeigen Sie den SMB-Signaturstatus auf der Registerkarte Datenschutz>Netzwerkschutz an. Mit der SMB-Signatur können Sie SMB-Datenverkehr zwischen einem Azure Stack HCI-System und anderen Systemen digital signieren.
Anzeigen der Compliance der Sicherheitsbaseline im Azure-Portal
Nachdem Sie Ihr Azure Stack HCI-System bei Microsoft Defender für Cloud registriert oder die integrierte Richtlinie zugewiesen haben, die Windows-Computer die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen soll, wird ein Konformitätsbericht generiert. Eine vollständige Liste der Regeln, mit der Ihr Azure Stack HCI-Server verglichen wird, finden Sie unter Windows-Sicherheitsbaseline.
Wenn alle Hardwareanforderungen für Secured-Core erfüllt sind, beträgt die Konformitätsbewertung für Azure Stack HCI-Server 281 von 288 Regeln, d. h. 281 von 288 Regeln sind konform.
In der folgenden Tabelle werden die Regeln, die nicht konform sind, und die Gründe für die aktuelle Lücke erläutert:
Regelname | Expected | Tatsächlich | Logik | Kommentare |
---|---|---|---|---|
Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen | Erwartet: | Ist: | Operator: HINWEISQUALS |
Wir erwarten, dass Sie diesen Wert ohne Abweichungssteuerung definieren. |
Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen | Erwartet: | Ist: | Operator: HINWEISQUALS |
Wir erwarten, dass Sie diesen Wert ohne Abweichungssteuerung definieren. |
Minimale Kennwortlänge | Erwartet: 14 | Tatsächlich: 0 | Operator: GREATEROREQUAL |
Wir erwarten, dass Sie diesen Wert ohne Abweichungssteuerung definieren, die mit der Richtlinie Ihrer Organisation übereinstimmt. |
Abrufen von Gerätemetadaten aus dem Internet verhindern | Erwartet: 1 | Tatsächlich: (NULL) | Operator: EQUALS |
Dieses Steuerelement gilt nicht für Azure Stack HCI. |
Verhindern, dass Benutzer und Apps auf gefährliche Websites zugreifen | Erwartet: 1 | Tatsächlich: (NULL) | Operator: EQUALS |
Dieses Steuerelement ist Teil des Windows Defender-Schutzes und nicht standardmäßig aktiviert. Sie können auswerten, ob Sie aktivieren möchten. |
Gehärtete UNC-Pfade – NETLOGON | Erwartet: RequireMutualAuthentication=1 RequireIntegrity=1 |
Actual: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operator: EQUALS |
Azure Stack HCI ist restriktiver. Diese Regel kann problemlos ignoriert werden. |
Gehärtete UNC-Pfade – SYSVOL | Erwartet: RequireMutualAuthentication=1 RequireIntegrity=1 |
Ist: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operator: EQUALS |
Azure Stack HCI ist restriktiver. Diese Regel kann problemlos ignoriert werden. |
Verwalten von Sicherheitsstandards mit PowerShell
Wenn der Driftschutz aktiviert ist, können Sie nur nicht geschützte Sicherheitseinstellungen ändern. Um geschützte Sicherheitseinstellungen zu ändern, die die Baseline bilden, müssen Sie zuerst den Abweichungsschutz deaktivieren. Informationen zum Anzeigen und Herunterladen der vollständigen Liste der Sicherheitseinstellungen finden Sie unter Sicherheitsbaseline.
Ändern von Sicherheitsstandards
Beginnen Sie mit der anfänglichen Sicherheitsbaseline, und ändern Sie dann die Abweichungssteuerung und die während der Bereitstellung definierten geschützten Sicherheitseinstellungen.
Aktivieren der Driftsteuerung
Führen Sie die folgenden Schritte aus, um die Abweichungssteuerung zu aktivieren:
Stellen Sie eine Verbindung mit Ihrem Azure Stack HCI-Knoten her.
Führen Sie das folgende Cmdlet aus:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
- Lokal : Wirkt sich nur auf den lokalen Knoten aus.
- Cluster : Wirkt sich mithilfe des Orchestrators auf alle Knoten im Cluster aus.
Deaktivieren der Driftsteuerung
Führen Sie die folgenden Schritte aus, um die Abweichungssteuerung zu deaktivieren:
Stellen Sie eine Verbindung mit Ihrem Azure Stack HCI-Knoten her.
Führen Sie das folgende Cmdlet aus:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
- Lokal : Wirkt sich nur auf den lokalen Knoten aus.
- Cluster : Wirkt sich mithilfe des Orchestrators auf alle Knoten im Cluster aus.
Wichtig
Wenn Sie die Abweichungssteuerung deaktivieren, können die geschützten Einstellungen geändert werden. Wenn Sie die Abweichungssteuerung erneut aktivieren, werden alle Änderungen, die Sie seitdem an den geschützten Einstellungen vorgenommen haben, überschrieben.
Konfigurieren von Sicherheitseinstellungen während der Bereitstellung
Im Rahmen der Bereitstellung können Sie die Driftsteuerung und andere Sicherheitseinstellungen ändern, die die Sicherheitsbaseline in Ihrem Cluster darstellen.
In der folgenden Tabelle werden Sicherheitseinstellungen beschrieben, die während der Bereitstellung in Ihrem Azure Stack HCI-Cluster konfiguriert werden können.
Featurebereich | Funktion | BESCHREIBUNG | Unterstützt die Driftsteuerung? |
---|---|---|---|
Governance | Sicherheitsbaseline | Behält die Sicherheitsstandards auf jedem Server bei. Schützt vor Änderungen. | Yes |
Schutz von Anmeldeinformationen | Windows Defender Credential Guard | Verwendet virtualisierungsbasierte Sicherheit, um Geheimnisse vor Angriffen zum Diebstahl von Anmeldeinformationen zu isolieren. | Yes |
Anwendungssteuerung | Windows Defender-Anwendungssteuerelement | Steuert, welche Treiber und Apps direkt auf den einzelnen Servern ausgeführt werden dürfen. | No |
Verschlüsselung ruhender Daten | BitLocker für Betriebssystemstartvolume | Verschlüsselt das Startvolume des Betriebssystems auf jedem Server. | No |
Verschlüsselung ruhender Daten | BitLocker für Datenvolumes | Verschlüsselt freigegebene Clustervolumes (Cluster Shared Volumes, CSVs) in diesem Cluster | No |
Schutz von Daten während der Übertragung | Signieren für externen SMB-Datenverkehr | Signiert SMB-Datenverkehr zwischen diesem System und anderen, um Relayangriffe zu verhindern. | Yes |
Schutz von Daten während der Übertragung | SMB-Verschlüsselung für Clusterdatenverkehr | Verschlüsselt Datenverkehr zwischen Servern im Cluster (in Ihrem Speichernetzwerk). | No |
Ändern der Sicherheitseinstellungen nach der Bereitstellung
Nach Abschluss der Bereitstellung können Sie Mithilfe von PowerShell Sicherheitseinstellungen ändern und gleichzeitig die Abweichungssteuerung beibehalten. Einige Features erfordern einen Neustart, um wirksam zu werden.
Eigenschaften des PowerShell-Cmdlets
Die folgenden Cmdlet-Eigenschaften gelten für das Modul AzureStackOSConfigAgent . Das Modul wird während der Bereitstellung installiert.
Get-AzsSecurity
-Bereich: <Lokal | PerNode | AllNodes | Cluster>- Lokal : Stellt einen booleschen Wert (true/False) auf dem lokalen Knoten bereit. Kann aus einer regulären PowerShell-Remotesitzung ausgeführt werden.
- PerNode : Stellt einen booleschen Wert (true/False) pro Knoten bereit.
- Bericht : Erfordert CredSSP oder einen Azure Stack HCI-Server, der eine RDP-Verbindung (Remotedesktopprotokoll) verwendet.
- AllNodes: Stellt einen booleschen Wert (true/False) bereit, der knotenübergreifend berechnet wird.
- Cluster: Stellt einen booleschen Wert aus dem ECE-Speicher bereit. Interagiert mit dem Orchestrator und wirkt auf alle Knoten im Cluster.
Enable-AzsSecurity
-Bereich <Lokal | Cluster>Disable-AzsSecurity
-Bereich <Lokal | Cluster>- FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Credential Guard
- Drift-Steuerung
- VBS (Virtualisierungsbasierte Sicherheit): Wir unterstützen nur den Befehl enable.
- DRTM (Dynamic Root of Trust for Measurement)
- HVCI (Hypervisor erzwungen, wenn Codeintegrität)
- Entschärfung durch Seitenkanal
- SMB-Verschlüsselung
- SMB-Signierung
- FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
In der folgenden Tabelle werden unterstützte Sicherheitsfeatures dokumentiert, ob sie die Abweichungssteuerung unterstützen und ob ein Neustart erforderlich ist, um das Feature zu implementieren.
Name | Funktion | Unterstützt die Driftsteuerung | Neustart erforderlich |
---|---|---|---|
Aktivieren |
Virtualisierungsbasierte Sicherheit (VBS) | Yes | Ja |
Aktivieren Disable |
Dynamic Root of Trust for Measurement (DRTM) | Yes | Ja |
Aktivieren Disable |
Hypervisorgeschützte Codeintegrität (HVCI) | Yes | Ja |
Aktivieren Disable |
Entschärfung des Seitenkanals | Yes | Ja |
Aktivieren Disable |
SMB-Signatur | Yes | Ja |
Aktivieren Disable |
SMB-Clusterverschlüsselung | Nein, Clustereinstellung | Nein |
Nächste Schritte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für