Administración de valores predeterminados de seguridad para Azure Stack HCI, versión 23H2
Se aplica a: Azure Stack HCI, versión 23H2
En este artículo se describe cómo administrar la configuración de seguridad predeterminada para el clúster de Azure Stack HCI. También puede modificar el control de desfase y la configuración de seguridad protegida definida durante la implementación para que el dispositivo se inicie en un estado correcto conocido.
Requisitos previos
Antes de comenzar, asegúrese de que tiene acceso a un sistema de Azure Stack HCI, versión 23H2 que está implementado, registrado y conectado a Azure.
Visualización de la configuración predeterminada de seguridad en el Azure Portal
Para ver la configuración predeterminada de seguridad en la Azure Portal, asegúrese de que ha aplicado la iniciativa MCSB. Para más información, consulte Aplicación de la iniciativa Microsoft Cloud Security Benchmark.
Puede usar la configuración predeterminada de seguridad para administrar la seguridad del clúster, el control de desfase y la configuración del servidor principal protegido en el clúster.
Vea el estado de firma de SMB en la pestañaProtección de red de protección> de datos. La firma SMB le permite firmar digitalmente el tráfico SMB entre un sistema de Azure Stack HCI y otros sistemas.
Visualización del cumplimiento de línea de base de seguridad en el Azure Portal
Después de inscribir el sistema de Azure Stack HCI con Microsoft Defender for Cloud o asignar la directiva integrada, se genera un informe para los servidores. En este momento, las máquinas Windows deben cumplir los requisitos de la línea de base de seguridad de proceso de Azure. Para obtener la lista completa de reglas con las que se compara el servidor de Azure Stack HCI, consulte Línea base de seguridad de Windows.
En el caso del servidor de Azure Stack HCI, cuando se cumplen todos los requisitos de hardware para secured-core, la puntuación de cumplimiento es de 281 de las 288. Esta puntuación indica que 281 de 288 reglas son compatibles.
En la tabla siguiente se explican las reglas que no son compatibles y la lógica de la brecha actual:
| Nombre de la regla | Esperado | Real | Lógica | Comentarios |
|---|---|---|---|---|
| Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión | Se esperaba: | Real: | Operador: NOTAQUALS |
Esperamos que defina este valor sin ningún control de desfase. |
| Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión | Se esperaba: | Real: | Operador: NOTAQUALS |
Esperamos que defina este valor sin ningún control de desfase. |
| Longitud mínima de la contraseña | Se esperaba: 14 | Real: 0 | Operador: GREATEROREQUAL |
Esperamos que defina este valor sin ningún control de desfase que se alinee con la directiva de su organización. |
| Evitar la recuperación de metadatos del dispositivo desde Internet. | Se esperaba: 1 | Real: (null) | Operador: EQUALS |
Este control no se aplica a Azure Stack HCI. |
| Impedir que los usuarios y las aplicaciones accedan a sitios web peligrosos | Se esperaba: 1 | Real: (null) | Operador: EQUALS |
Este control forma parte de las protecciones de Windows Defender, no habilitadas de forma predeterminada. Puede evaluar si desea habilitar. |
| Rutas de acceso UNC protegidas: NETLOGON | Se esperaba: RequireMutualAuthentication=1 RequireIntegrity=1 |
Real: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operador: EQUALS |
Azure Stack HCI es más restrictivo. Esta regla se puede omitir de forma segura. |
| Rutas de acceso UNC protegidas: SYSVOL | Se esperaba: RequireMutualAuthentication=1 RequireIntegrity=1 |
Real: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operador: EQUALS |
Azure Stack HCI es más restrictivo. Esta regla se puede omitir de forma segura. |
Administración de valores predeterminados de seguridad con PowerShell
Con la protección contra desfase habilitada, solo puede modificar la configuración de seguridad no protegida. Para modificar la configuración de seguridad protegida que forman la línea base, primero debe deshabilitar la protección contra desfase. Para ver y descargar la lista completa de la configuración de seguridad, consulte SecurityBaseline.
Modificación de los valores predeterminados de seguridad
Comience con la línea de base de seguridad inicial y, a continuación, modifique el control de desfase y la configuración de seguridad protegida definida durante la implementación.
Habilitación del control de desfase
Siga estos pasos para habilitar el control de desfase:
Conéctese al nodo de Azure Stack HCI.
Ejecute el siguiente cmdlet:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local : afecta solo al nodo local.
- Clúster : afecta a todos los nodos del clúster mediante el orquestador.
Deshabilitar el control de desfase
Siga estos pasos para deshabilitar el control de desfase:
Conéctese al nodo de Azure Stack HCI.
Ejecute el siguiente cmdlet:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local : afecta solo al nodo local.
- Clúster : afecta a todos los nodos del clúster mediante el orquestador.
Configuración de las opciones de seguridad durante la implementación
Como parte de la implementación, puede modificar el control de desfase y otras configuraciones de seguridad que constituyen la línea base de seguridad en el clúster.
En la tabla siguiente se describen las opciones de seguridad que se pueden configurar en el clúster de Azure Stack HCI durante la implementación.
| Área de función | Característica | Descripción | ¿Admite el control de desfase? |
|---|---|---|---|
| Gobernanza | Línea de base de seguridad | Mantiene los valores predeterminados de seguridad en cada servidor. Ayuda a protegerse frente a los cambios. | Sí |
| Protección de credenciales | Credential Guard de Windows Defender | Usa la seguridad basada en virtualización para aislar los secretos de los ataques de robo de credenciales. | Sí |
| Control de aplicaciones | control de aplicación de Windows Defender | Controla qué controladores y aplicaciones se pueden ejecutar directamente en cada servidor. | No |
| Cifrado de datos en reposo | BitLocker para el volumen de arranque del sistema operativo | Cifra el volumen de inicio del sistema operativo en cada servidor. | No |
| Cifrado de datos en reposo | BitLocker para volúmenes de datos | Cifra los volúmenes compartidos de clúster (CSV) en este clúster. | No |
| Protección de datos en tránsito | Firma del tráfico SMB externo | Firma el tráfico SMB entre este sistema y otros para ayudar a evitar ataques de retransmisión. | Sí |
| Protección de datos en tránsito | Cifrado SMB para el tráfico en clúster | Cifra el tráfico entre servidores del clúster (en la red de almacenamiento). | No |
Modificación de la configuración de seguridad después de la implementación
Una vez completada la implementación, puede usar PowerShell para modificar la configuración de seguridad mientras mantiene el control de desfase. Algunas características requieren un reinicio para surtir efecto.
Propiedades del cmdlet de PowerShell
Las siguientes propiedades de cmdlet son para el módulo AzureStackOSConfigAgent . El módulo se instala durante la implementación.
Get-AzsSecurity-Scope: <Local | PerNode | AllNodes | Clúster>- Local : proporciona un valor booleano (true/False) en el nodo local. Se puede ejecutar desde una sesión de PowerShell remota normal.
- PerNode : proporciona un valor booleano (true/False) por nodo.
- Informe : requiere CredSSP o un servidor de Azure Stack HCI mediante una conexión de protocolo de escritorio remoto (RDP).
- AllNodes: proporciona un valor booleano (true/False) calculado entre nodos.
- Cluster: proporciona un valor booleano del almacén ECE. Interactúa con el orquestador y actúa en todos los nodos del clúster.
Enable-AzsSecurity-Scope <Local | Clúster>Disable-AzsSecurity-Scope <Local | Clúster>- FeatureName : <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Credential Guard
- Drift Control
- VBS (seguridad basada en virtualización): solo se admite el comando enable.
- DRTM (raíz dinámica de confianza para la medición)
- HVCI (hipervisor aplicado si la integridad del código)
- Mitigación de canal lateral
- Cifrado SMB
- Firma SMB
- FeatureName : <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
En la tabla siguiente se documentan las características de seguridad admitidas, si admiten el control de desfase y si se requiere un reinicio para implementar la característica.
| Nombre | Característica | Admite el control de desfase | Es necesario reiniciar |
|---|---|---|---|
| Habilitar |
Seguridad basada en virtualización (VBS) | Sí | Sí |
| Habilitar Disable |
Raíz dinámica de confianza para la medición (DRTM) | Sí | Sí |
| Habilitar Disable |
Integridad de código protegida por hipervisor (HVCI) | Sí | Sí |
| Habilitar Disable |
Mitigación del canal lateral | Sí | Sí |
| Habilitar Disable |
Firma SMB | Sí | Sí |
| Habilitar Disable |
Cifrado de clúster SMB | No, configuración del clúster | No |
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de