Compartir a través de


Administración de los valores predeterminados de seguridad para Azure Local, versión 23H2

Se aplica a: Azure Local, versión 23H2

En este artículo se describe cómo administrar la configuración de seguridad predeterminada para la instancia local de Azure. También puede modificar el control de desfase y la configuración de seguridad protegida definida durante la implementación para que el dispositivo se inicie en un estado correcto conocido.

Requisitos previos

Antes de empezar, asegúrese de que tiene acceso a un sistema Azure Local, versión 23H2 que está implementado, registrado y conectado a Azure.

Visualización de la configuración predeterminada de seguridad en Azure Portal

Para ver la configuración predeterminada de seguridad en Azure Portal, asegúrese de que ha aplicado la iniciativa MCSB. Para obtener más información, consulte Aplicación de la iniciativa Microsoft Cloud Security Benchmark.

Puede usar la configuración predeterminada de seguridad para administrar la seguridad del sistema, el control de desfase y la configuración de núcleos protegidos en el sistema.

Captura de pantalla que muestra la página Valores predeterminados de seguridad en Azure Portal.

Vea el estado de firma de SMB en la pestaña Protección de red de protección de datos>. La firma de SMB permite firmar digitalmente el tráfico SMB entre una instancia local de Azure y otros sistemas.

Captura de pantalla que muestra el estado de firma de SMB en Azure Portal.

Visualización del cumplimiento de línea de base de seguridad en Azure Portal

Después de inscribir la instancia local de Azure con Microsoft Defender for Cloud o asignar la directiva integrada, las máquinas Windows deben cumplir los requisitos de la línea de base de seguridad de proceso de Azure, se genera un informe de cumplimiento. Para obtener la lista completa de reglas a las que se compara la instancia local de Azure, consulte Línea de base de seguridad de Windows.

En el caso de una máquina local de Azure, cuando se cumplen todos los requisitos de hardware para secured-core, la puntuación de cumplimiento predeterminada es 321 de 324 reglas; es decir, el 99 % de las reglas son compatibles.

En la tabla siguiente se explican las reglas que no son compatibles y la justificación de la brecha actual:

Nombre de regla Estado de cumplimiento Motivo Comentarios
Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión No compatibles Advertencia: ""es igual a"" Esto debe definirse por el cliente, no tiene habilitado el control de desfase.
Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión No compatible Advertencia: "" es igual a "" Esto debe definirse por el cliente, no tiene habilitado el control de desfase.
Longitud mínima de contraseña No compatible Crítico: siete es menor que el valor minumum de 14. Esto debe definirse por el cliente, no tiene habilitado el control de desfase para permitir que esta configuración se alinee con las directivas de la organización.

Corrección del cumplimiento de las reglas

Para corregir el cumplimiento de las reglas, ejecute los siguientes comandos o use cualquier otra herramienta que prefiera:

  1. Aviso legal: cree un valor personalizado para el aviso legal en función de las necesidades y directivas de su organización. Ejecute los comandos siguientes:

    Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice"
    Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"
    
  2. Longitud mínima de contraseña: establezca la directiva de longitud mínima de contraseña en 14 caracteres en el equipo local de Azure. El valor predeterminado es 7 y la directiva de línea de base de supervisión sigue marcando cualquier valor por debajo de 14. Ejecute los comandos siguientes:

    net accounts /minpwlen:14
    

Administración de valores predeterminados de seguridad con PowerShell

Con la protección contra desfase habilitada, solo puede modificar la configuración de seguridad no protegida. Para modificar la configuración de seguridad protegida que forma la línea base, primero debe deshabilitar la protección contra desfase. Para ver y descargar la lista completa de la configuración de seguridad, consulte Línea de base de seguridad.

Modificación de los valores predeterminados de seguridad

Comience con la línea base de seguridad inicial y, a continuación, modifique el control de desfase y la configuración de seguridad protegida definida durante la implementación.

Habilitación del control de desfase

Siga estos pasos para habilitar el control de desfase:

  1. Conéctese a la máquina local de Azure.

  2. Ejecute el siguiente cmdlet:

    Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    
    • Local : afecta solo al nodo local.
    • Clúster : afecta a todos los nodos del clúster mediante el orquestador.

Deshabilitar el control de desfase

Siga estos pasos para deshabilitar el control de desfase:

  1. Conéctese a la máquina local de Azure.

  2. Ejecute el siguiente cmdlet:

    Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    
    • Local : afecta solo al nodo local.
    • Clúster : afecta a todos los nodos del clúster mediante el orquestador.

Importante

Si deshabilita el control de desfase, se puede modificar la configuración protegida. Si vuelve a habilitar el control de desfase, se sobrescriben los cambios realizados en la configuración protegida.

Configuración de las opciones de seguridad durante la implementación

Como parte de la implementación, puede modificar el control de desfase y otras configuraciones de seguridad que constituyen la línea base de seguridad en el clúster.

En la tabla siguiente se describen las opciones de seguridad que se pueden configurar en la instancia local de Azure durante la implementación.

Área de características Característica Descripción ¿Admite el control de desfase?
Gobernanza Línea de base de seguridad Mantiene los valores predeterminados de seguridad en cada nodo. Ayuda a protegerse frente a los cambios.
Protección de credenciales Windows Defender Credential Guard Usa la seguridad basada en virtualización para aislar los secretos de los ataques de robo de credenciales.
Control de la aplicación Control de aplicación de Windows Defender Controla qué controladores y aplicaciones se pueden ejecutar directamente en cada nodo. No
Cifrado de datos en reposo BitLocker para el volumen de arranque del sistema operativo Cifra el volumen de inicio del sistema operativo en cada nodo. No
Cifrado de datos en reposo BitLocker para volúmenes de datos Cifra volúmenes compartidos de clúster (CSV) en este sistema No
Protección de datos en tránsito Firma del tráfico SMB externo Firma el tráfico SMB entre este sistema y otros para ayudar a evitar ataques de retransmisión.
Protección de datos en tránsito Cifrado SMB para el tráfico en clúster Cifra el tráfico entre los nodos del sistema (en la red de almacenamiento). No

Modificación de la configuración de seguridad después de la implementación

Una vez completada la implementación, puede usar PowerShell para modificar la configuración de seguridad mientras mantiene el control de desfase. Algunas características requieren un reinicio para surtir efecto.

Propiedades del cmdlet de PowerShell

Las siguientes propiedades del cmdlet son para el módulo AzureStackOSConfigAgent . El módulo se instala durante la implementación.

  • Get-AzsSecurity -Scope: <Local | PerNode | AllNodes | Clúster>

    • Local : proporciona un valor booleano (true/False) en el nodo local. Se puede ejecutar desde una sesión de PowerShell remota normal.
    • PerNode : proporciona un valor booleano (true/False) por nodo.
    • Informe : requiere CredSSP o una máquina local de Azure mediante una conexión de protocolo de escritorio remoto (RDP).
      • AllNodes: proporciona un valor booleano (true/False) calculado entre nodos.
      • Clúster: proporciona un valor booleano del almacén ECE. Interactúa con el orquestador y actúa en todos los nodos del clúster.
  • Enable-AzsSecurity -Scope <Local | Clúster>

  • Disable-AzsSecurity -Scope <Local | Clúster>

    • FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>

      • Control de desfase
      • Credential Guard
      • VBS (Seguridad basada en virtualización): solo se admite el comando enable.
      • DRTM (raíz dinámica de confianza para la medición)
      • HVCI (hipervisor aplicado si la integridad del código)
      • Mitigación del canal lateral
      • Firma SMB
      • Cifrado de clúster SMB

      Importante

      Enable AzsSecurity y Disable AzsSecurity los cmdlets solo están disponibles en nuevas implementaciones o en implementaciones actualizadas después de que las líneas base de seguridad se apliquen correctamente a los nodos. Para más información, consulte Administración de la seguridad después de actualizar Azure Local.

En la tabla siguiente se documentan las características de seguridad admitidas, si admiten el control de desfase y si se requiere un reinicio para implementar la característica.

Nombre Característica Admite el control de desfase Es necesario reiniciar
Habilitación de
Seguridad basada en virtualización (VBS)
Habilitación de
Credential Guard
Habilitación de
Deshabilitar
Raíz dinámica de confianza para la medición (DRTM)
Habilitación de
Deshabilitar
Integridad de código protegida por hipervisor (HVCI)
Habilitación de
Deshabilitar
Mitigación del canal lateral
Habilitación de
Deshabilitar
Firma de SMB
Habilitación de
Deshabilitar
Cifrado de clúster SMB No, configuración del clúster No

Pasos siguientes