Administración de los valores predeterminados de seguridad para Azure Stack HCI, versión 23H2
Se aplica a: Azure Stack HCI, versión 23H2
En este artículo se describe cómo administrar la configuración de seguridad predeterminada para el clúster de Azure Stack HCI. También puede modificar el control de desfase y la configuración de seguridad protegida definida durante la implementación para que el dispositivo se inicie en un estado correcto conocido.
Requisitos previos
Antes de empezar, asegúrese de que tiene acceso a un sistema de Azure Stack HCI, versión 23H2 que se implementa, registra y está conectado a Azure.
Visualización de la configuración predeterminada de seguridad en Azure Portal
Para ver la configuración predeterminada de seguridad en Azure Portal, asegúrese de que ha aplicado la iniciativa MCSB. Para obtener más información, consulte Aplicación de la iniciativa Microsoft Cloud Security Benchmark.
Puede usar la configuración predeterminada de seguridad para administrar la seguridad del clúster, el control de desfase y la configuración del servidor principal protegido en el clúster.
Vea el estado de firma de SMB en la pestaña Protección de red de protección de datos>. La firma de SMB le permite firmar digitalmente el tráfico SMB entre un sistema de Azure Stack HCI y otros sistemas.
Visualización del cumplimiento de línea de base de seguridad en Azure Portal
Después de inscribir el sistema de Azure Stack HCI con Microsoft Defender for Cloud o asignar la directiva integrada, las máquinas Windows deben cumplir los requisitos de la línea de base de seguridad de proceso de Azure, se genera un informe de cumplimiento. Para obtener la lista completa de reglas con las que se compara el servidor de Azure Stack HCI, consulte Línea de base de seguridad de Windows.
En el caso del servidor de Azure Stack HCI, cuando se cumplen todos los requisitos de hardware para Secured-Core, la puntuación de cumplimiento es de 281 de 288 reglas, es decir, 281 de 288 reglas son compatibles.
En la tabla siguiente se explican las reglas que no son compatibles y la justificación de la brecha actual:
| Nombre de la regla | Esperado | Real | Lógica | Comentarios |
|---|---|---|---|---|
| Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión | Esperados: | Real: | Operador: NOTAQUALS |
Esperamos definir este valor sin ningún control de desfase en su lugar. |
| Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión | Esperados: | Real: | Operador: NOTAQUALS |
Esperamos definir este valor sin ningún control de desfase en su lugar. |
| Longitud mínima de contraseña | Se esperaba: 14 | Real: 0 | Operador: GREATEROREQUAL |
Esperamos que defina este valor sin ningún control de desfase que se alinee con la directiva de su organización. |
| Evitar la recuperación de metadatos del dispositivo desde Internet. | Se esperaba: 1 | Real: (null) | Operador: EQUALS |
Este control no se aplica a Azure Stack HCI. |
| Impedir que los usuarios y las aplicaciones accedan a sitios web peligrosos | Se esperaba: 1 | Real: (null) | Operador: EQUALS |
Este control forma parte de las protecciones de Windows Defender, no habilitadas de forma predeterminada. Puede evaluar si desea habilitar. |
| Rutas de acceso UNC protegidas: NETLOGON | Esperado: RequireMutualAuthentication=1 RequireIntegrity=1 |
Real: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operador: EQUALS |
Azure Stack HCI es más restrictivo. Esta regla se puede omitir de forma segura. |
| Rutas de acceso UNC protegidas: SYSVOL | Esperado: RequireMutualAuthentication=1 RequireIntegrity=1 |
Real: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operador: EQUALS |
Azure Stack HCI es más restrictivo. Esta regla se puede omitir de forma segura. |
Administración de valores predeterminados de seguridad con PowerShell
Con la protección contra desfase habilitada, solo puede modificar la configuración de seguridad no protegida. Para modificar la configuración de seguridad protegida que forma la línea base, primero debe deshabilitar la protección contra desfase. Para ver y descargar la lista completa de la configuración de seguridad, consulte Línea de base de seguridad.
Modificación de los valores predeterminados de seguridad
Comience con la línea base de seguridad inicial y, a continuación, modifique el control de desfase y la configuración de seguridad protegida definida durante la implementación.
Habilitación del control de desfase
Siga estos pasos para habilitar el control de desfase:
Conéctese al nodo de Azure Stack HCI.
Ejecute el siguiente cmdlet:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local : afecta solo al nodo local.
- Clúster : afecta a todos los nodos del clúster mediante el orquestador.
Deshabilitar el control de desfase
Siga estos pasos para deshabilitar el control de desfase:
Conéctese al nodo de Azure Stack HCI.
Ejecute el siguiente cmdlet:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local : afecta solo al nodo local.
- Clúster : afecta a todos los nodos del clúster mediante el orquestador.
Importante
Si deshabilita el control de desfase, se puede modificar la configuración protegida. Si vuelve a habilitar el control de desfase, se sobrescriben los cambios realizados en la configuración protegida.
Configuración de las opciones de seguridad durante la implementación
Como parte de la implementación, puede modificar el control de desfase y otras configuraciones de seguridad que constituyen la línea base de seguridad en el clúster.
En la tabla siguiente se describen las opciones de seguridad que se pueden configurar en el clúster de Azure Stack HCI durante la implementación.
| Área de características | Característica | Descripción | ¿Admite el control de desfase? |
|---|---|---|---|
| Gobernanza | Línea de base de seguridad | Mantiene los valores predeterminados de seguridad en cada servidor. Ayuda a protegerse frente a los cambios. | Sí |
| Protección de credenciales | Windows Defender Credential Guard | Usa la seguridad basada en virtualización para aislar los secretos de los ataques de robo de credenciales. | Sí |
| Control de la aplicación | Control de aplicación de Windows Defender | Controla qué controladores y aplicaciones se pueden ejecutar directamente en cada servidor. | No |
| Cifrado de datos en reposo | BitLocker para el volumen de arranque del sistema operativo | Cifra el volumen de inicio del sistema operativo en cada servidor. | No |
| Cifrado de datos en reposo | BitLocker para volúmenes de datos | Cifra volúmenes compartidos de clúster (CSV) en este clúster | No |
| Protección de datos en tránsito | Firma del tráfico SMB externo | Firma el tráfico SMB entre este sistema y otros para ayudar a evitar ataques de retransmisión. | Sí |
| Protección de datos en tránsito | Cifrado SMB para el tráfico en clúster | Cifra el tráfico entre servidores del clúster (en la red de almacenamiento). | No |
Modificación de la configuración de seguridad después de la implementación
Una vez completada la implementación, puede usar PowerShell para modificar la configuración de seguridad mientras mantiene el control de desfase. Algunas características requieren un reinicio para surtir efecto.
Propiedades del cmdlet de PowerShell
Las siguientes propiedades del cmdlet son para el módulo AzureStackOSConfigAgent . El módulo se instala durante la implementación.
Get-AzsSecurity-Scope: <Local | PerNode | AllNodes | Clúster>- Local : proporciona un valor booleano (true/False) en el nodo local. Se puede ejecutar desde una sesión de PowerShell remota normal.
- PerNode : proporciona un valor booleano (true/False) por nodo.
- Informe : requiere CredSSP o un servidor de Azure Stack HCI mediante una conexión de protocolo de escritorio remoto (RDP).
- AllNodes: proporciona un valor booleano (true/False) calculado entre nodos.
- Clúster: proporciona un valor booleano del almacén ECE. Interactúa con el orquestador y actúa en todos los nodos del clúster.
Enable-AzsSecurity-Scope <Local | Clúster>Disable-AzsSecurity-Scope <Local | Clúster>- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Control de desfase
- Credential Guard
- VBS (Seguridad basada en virtualización): solo se admite el comando enable.
- DRTM (raíz dinámica de confianza para la medición)
- HVCI (hipervisor aplicado si la integridad del código)
- Mitigación del canal lateral
- Firma SMB
- Cifrado de clúster SMB
- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
En la tabla siguiente se documentan las características de seguridad admitidas, si admiten el control de desfase y si se requiere un reinicio para implementar la característica.
| Nombre | Característica | Admite el control de desfase | Es necesario reiniciar |
|---|---|---|---|
| Habilitación de |
Seguridad basada en virtualización (VBS) | Sí | Sí |
| Habilitación de |
Credential Guard | Sí | Sí |
| Habilitación de Deshabilitar |
Raíz dinámica de confianza para la medición (DRTM) | Sí | Sí |
| Habilitación de Deshabilitar |
Integridad de código protegida por hipervisor (HVCI) | Sí | Sí |
| Habilitación de Deshabilitar |
Mitigación del canal lateral | Sí | Sí |
| Habilitación de Deshabilitar |
Firma de SMB | Sí | Sí |
| Habilitación de Deshabilitar |
Cifrado de clúster SMB | No, configuración del clúster | No |
Pasos siguientes
- Descripción del cifrado de BitLocker.