Administración de los valores predeterminados de seguridad para Azure Stack HCI, versión 23H2

Se aplica a: Azure Stack HCI, versión 23H2

En este artículo se describe cómo administrar la configuración de seguridad predeterminada para el clúster de Azure Stack HCI. También puede modificar el control de desfase y la configuración de seguridad protegida definida durante la implementación para que el dispositivo se inicie en un estado correcto conocido.

Visualización de la configuración predeterminada de seguridad en el Azure Portal

Use la configuración predeterminada de seguridad para administrar la seguridad del clúster, el control de desfase y la configuración del servidor principal protegido en el clúster.

Captura de pantalla que muestra la página Valores predeterminados de seguridad en la Azure Portal.

Vea el estado de firma de SMB en la> pestañaProtección de red de protección de datos. La firma SMB permite firmar digitalmente el tráfico SMB entre un sistema de Azure Stack HCI y otros sistemas.

Captura de pantalla que muestra el estado de firma de SMB en el Azure Portal.

Administración de valores predeterminados de seguridad con PowerShell

Con la protección de desfase habilitada, solo puede modificar la configuración de seguridad no protegida. Para modificar la configuración de seguridad protegida que forma la línea base, primero debe deshabilitar la protección de desfase. Para ver y descargar la lista completa de la configuración de seguridad, consulte SecurityBaseline.

Modificación de los valores predeterminados de seguridad

Comience con la línea de base de seguridad inicial y, a continuación, modifique el control de desfase y la configuración de seguridad protegida definida durante la implementación.

Habilitación del control de desfase

Siga estos pasos para habilitar el control de desfase:

  1. Conéctese al nodo de Azure Stack HCI.

  2. Ejecute el siguiente cmdlet:

    Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    
    • Local : afecta solo al nodo local.
    • Clúster: afecta a todos los nodos del clúster mediante el orquestador.

Deshabilitar el control de desfase

Siga estos pasos para deshabilitar el control de desfase:

  1. Conéctese al nodo de Azure Stack HCI.

  2. Ejecute el siguiente cmdlet:

    Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    
    • Local : afecta solo al nodo local.
    • Clúster: afecta a todos los nodos del clúster mediante el orquestador.

Configuración de las opciones de seguridad durante la implementación

Como parte de la implementación, puede modificar el control de desfase y otras configuraciones de seguridad que constituyen la línea base de seguridad en el clúster.

En la tabla siguiente se describen las opciones de seguridad que se pueden configurar en el clúster de Azure Stack HCI durante la implementación.

Área de función Característica Descripción ¿Admite el control de desfase?
Gobernanza Línea de base de seguridad Mantiene los valores predeterminados de seguridad en cada servidor. Ayuda a protegerse frente a los cambios.
Protección de credenciales Credential Guard de Windows Defender Usa la seguridad basada en virtualización para aislar los secretos de los ataques de robo de credenciales.
Control de aplicaciones control de aplicación de Windows Defender Controla qué controladores y aplicaciones se pueden ejecutar directamente en cada servidor. No
Cifrado de datos en reposo BitLocker para el volumen de arranque del sistema operativo Cifra el volumen de inicio del sistema operativo en cada servidor. No
Cifrado de datos en reposo BitLocker para volúmenes de datos Cifra los volúmenes compartidos de clúster (CSV) en este clúster. No
Protección de datos en tránsito Firma del tráfico SMB externo Firma el tráfico SMB entre este sistema y otros para ayudar a evitar ataques de retransmisión.
Protección de datos en tránsito Cifrado SMB para el tráfico en clúster Cifra el tráfico entre servidores del clúster (en la red de almacenamiento). No

Modificación de la configuración de seguridad después de la implementación

Una vez completada la implementación, puede usar PowerShell para modificar la configuración de seguridad mientras mantiene el control de desfase. Algunas características requieren un reinicio para surtir efecto.

Propiedades del cmdlet de PowerShell

Las siguientes propiedades de cmdlet son para el módulo AzureStackOSConfigAgent . El módulo se instala durante la implementación.

  • Get-AzsSecurity -Scope: <Local | PerNode | AllNodes | Clúster>

    • Local : proporciona un valor booleano (true/False) en el nodo local. Se puede ejecutar desde una sesión de PowerShell remota normal.
    • PerNode : proporciona un valor booleano (true/False) por nodo.
    • Informe : requiere CredSSP o un servidor de Azure Stack HCI mediante una conexión de protocolo de escritorio remoto (RDP).
      • AllNodes: proporciona un valor booleano (true/False) calculado entre nodos.
      • Cluster: proporciona un valor booleano del almacén ECE. Interactúa con el orquestador y actúa en todos los nodos del clúster.
  • Enable-AzsSecurity -Scope <Local | Clúster>

  • Disable-AzsSecurity -Scope <Local | Clúster>

    • FeatureName : <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
      • Credential Guard
      • Drift Control
      • VBS (seguridad basada en virtualización): solo se admite el comando enable.
      • DRTM (raíz dinámica de confianza para la medición)
      • HVCI (hipervisor aplicado si la integridad del código)
      • Mitigación de canal lateral
      • Cifrado SMB
      • Firma SMB

En la tabla siguiente se documentan las características de seguridad admitidas, si admiten el control de desfase y si se requiere un reinicio para implementar la característica.

Nombre Característica Admite el control de desfase Es necesario reiniciar
Habilitar
Seguridad basada en virtualización (VBS)
Habilitar
Disable
Raíz dinámica de confianza para la medición (DRTM)
Habilitar
Disable
Integridad de código protegida por hipervisor (HVCI)
Habilitar
Disable
Mitigación del canal lateral
Habilitar
Disable
Firma de SMB
Habilitar
Disable
Cifrado de clúster SMB No, configuración del clúster No

Pasos siguientes