Partage via


Gérer les paramètres de sécurité par défaut pour Azure Stack HCI, version 23H2

S’applique à : Azure Stack HCI, version 23H2

Cet article explique comment gérer les paramètres de sécurité par défaut de votre cluster Azure Stack HCI. Vous pouvez également modifier le contrôle de dérive et les paramètres de sécurité protégés définis pendant le déploiement afin que votre appareil démarre dans un état correct connu.

Prérequis

Avant de commencer, vérifiez que vous avez accès à un système Azure Stack HCI version 23H2 déployé, inscrit et connecté à Azure.

Afficher les paramètres de sécurité par défaut dans le Portail Azure

Pour afficher les paramètres de sécurité par défaut dans le Portail Azure, vérifiez que vous avez appliqué l’initiative MCSB. Pour plus d’informations, consultez l’initiative Appliquer microsoft Cloud Security Benchmark.

Vous pouvez utiliser les paramètres de sécurité par défaut pour gérer les paramètres de sécurité, de contrôle de dérive et de serveur principal sécurisé sur votre cluster.

Capture d’écran montrant la page Paramètres de sécurité par défaut dans la Portail Azure.

Affichez l’état de signature SMB sous l’onglet Protection du réseau de protection des>données. La signature SMB vous permet de signer numériquement le trafic SMB entre un système Azure Stack HCI et d’autres systèmes.

Capture d’écran montrant l’état de connexion SMB dans le Portail Azure.

Afficher la conformité de la base de référence de sécurité dans le Portail Azure

Une fois que vous avez inscrit votre système Azure Stack HCI avec Microsoft Defender pour le cloud ou que vous affectez les machines Windows intégrées doivent répondre aux exigences de la base de référence de sécurité de calcul Azure, un rapport de conformité est généré. Pour obtenir la liste complète des règles dont votre serveur Azure Stack HCI est comparé, consultez la base de référence de sécurité Windows.

Pour le serveur Azure Stack HCI, lorsque toutes les exigences matérielles pour le cœur sécurisé sont remplies, le score de conformité est de 281 sur 288 règles , c’est-à-dire 281 sur 288 règles conformes.

Le tableau suivant décrit les règles qui ne sont pas conformes et la justification de l’écart actuel :

Nom de la règle Attendu Chiffres réels Logique Commentaires
Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter Attendu : Réel: Opérateur :
NOTEQUALS
Nous vous attendons à définir cette valeur sans contrôle de dérive en place.
Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter Attendu : Réel: Opérateur :
NOTEQUALS
Nous vous attendons à définir cette valeur sans contrôle de dérive en place.
Longueur minimale du mot de passe Attendu : 14 Réel : 0 Opérateur :
GREATEROREQUAL
Nous vous attendons à définir cette valeur sans contrôle de dérive en place qui s’aligne sur la stratégie de votre organisation.
Empêcher la récupération des métadonnées de périphérique depuis Internet Attendu : 1 Réel : (null) Opérateur :
EQUALS
Ce contrôle ne s’applique pas à Azure Stack HCI.
Empêcher les utilisateurs et les applications d’accéder à des sites web dangereux Attendu : 1 Réel : (null) Opérateur :
EQUALS
Ce contrôle fait partie des protections Windows Defender, non activées par défaut.
Vous pouvez évaluer si vous souhaitez activer.
Chemins UNC renforcés - NETLOGON Attendu:
RequireMutualAuthentication=1
RequireIntegrity=1
Réel : RequireMutualAuthentication=1
RequireIntegrity=1
RequirePrivacy=1
Opérateur :
EQUALS
Azure Stack HCI est plus restrictif.
Cette règle peut être ignorée en toute sécurité.
Chemins UNC renforcés - SYSVOL Attendu:
RequireMutualAuthentication=1
RequireIntegrity=1
Réel:
RequireMutualAuthentication=1
RequireIntegrity=1
RequirePrivacy=1
Opérateur :
EQUALS
Azure Stack HCI est plus restrictif.
Cette règle peut être ignorée en toute sécurité.

Gérer les paramètres de sécurité par défaut avec PowerShell

Une fois la protection de dérive activée, vous ne pouvez modifier que les paramètres de sécurité non protégés. Pour modifier les paramètres de sécurité protégés qui forment la ligne de base, vous devez d’abord désactiver la protection de dérive. Pour afficher et télécharger la liste complète des paramètres de sécurité, consultez Base de référence de sécurité.

Modifier les paramètres de sécurité par défaut

Commencez par la base de référence de sécurité initiale, puis modifiez le contrôle de dérive et les paramètres de sécurité protégés définis pendant le déploiement.

Activer le contrôle de dérive

Pour activer le contrôle de dérive, procédez comme suit :

  1. Connectez-vous à votre nœud Azure Stack HCI.

  2. Exécutez l’applet de commande suivante :

    Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    
    • Local : affecte uniquement le nœud local.
    • Cluster : affecte tous les nœuds du cluster à l’aide de l’orchestrateur.

Désactiver le contrôle de dérive

Pour désactiver le contrôle de dérive, procédez comme suit :

  1. Connectez-vous à votre nœud Azure Stack HCI.

  2. Exécutez l’applet de commande suivante :

    Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    
    • Local : affecte uniquement le nœud local.
    • Cluster : affecte tous les nœuds du cluster à l’aide de l’orchestrateur.

Important

Si vous désactivez le contrôle de dérive, les paramètres protégés peuvent être modifiés. Si vous activez à nouveau le contrôle de dérive, toutes les modifications que vous avez apportées aux paramètres protégés sont remplacées.

Configurer les paramètres de sécurité pendant le déploiement

Dans le cadre du déploiement, vous pouvez modifier le contrôle de dérive et d’autres paramètres de sécurité qui constituent la base de référence de sécurité sur votre cluster.

Le tableau suivant décrit les paramètres de sécurité qui peuvent être configurés sur votre cluster Azure Stack HCI pendant le déploiement.

Fonctionnalités Fonctionnalité Description Prend en charge le contrôle de dérive ?
Gouvernance Base de référence de la sécurité Conserve les valeurs par défaut de sécurité sur chaque serveur. Permet de protéger contre les modifications. Oui
Protection des informations d’identification Windows Defender Credential Guard Utilise la sécurité basée sur la virtualisation pour isoler les secrets des attaques par vol d’informations d’identification. Oui
Contrôle d’application Contrôle d’application Windows Defender Contrôle les pilotes et applications autorisés à s’exécuter directement sur chaque serveur. Non
Chiffrement des données au repos BitLocker pour le volume de démarrage du système d’exploitation Chiffre le volume de démarrage du système d’exploitation sur chaque serveur. Non
Chiffrement des données au repos BitLocker pour les volumes de données Chiffre les volumes partagés de cluster sur ce cluster Non
Protection des données en transit Signature du trafic SMB externe Signe le trafic SMB entre ce système et d’autres pour empêcher les attaques de relais. Oui
Protection des données en transit Chiffrement SMB pour le trafic en cluster Chiffre le trafic entre les serveurs du cluster (sur votre réseau de stockage). Non

Modifier les paramètres de sécurité après le déploiement

Une fois le déploiement terminé, vous pouvez utiliser PowerShell pour modifier les paramètres de sécurité tout en conservant le contrôle de dérive. Certaines fonctionnalités nécessitent un redémarrage pour prendre effet.

Propriétés de l’applet de commande PowerShell

Les propriétés d’applet de commande suivantes concernent le module AzureStackOSConfigAgent . Le module est installé pendant le déploiement.

  • Get-AzsSecurity -Étendue : <local | PerNode | AllNodes | Grappe>

    • Local : fournit une valeur booléenne (true/False) sur le nœud local. Peut être exécuté à partir d’une session PowerShell distante standard.
    • PerNode : fournit une valeur booléenne (true/False) par nœud.
    • Rapport : nécessite CredSSP ou un serveur Azure Stack HCI à l’aide d’une connexion RDP (Remote Desktop Protocol).
      • AllNodes : fournit une valeur booléenne (true/False) calculée sur plusieurs nœuds.
      • Cluster : fournit une valeur booléenne à partir du magasin EXCHANGE. Interagit avec l’orchestrateur et agit sur tous les nœuds du cluster.
  • Enable-AzsSecurity -Étendue <locale | Grappe>

  • Disable-AzsSecurity -Étendue <locale | Grappe>

    • FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
      • Contrôle de dérive
      • Credential Guard
      • VBS (Virtualization Based Security)- Nous prenons uniquement en charge la commande Enable.
      • DRTM (Racine dynamique de confiance pour la mesure)
      • HVCI (Hyperviseur appliqué si l’intégrité du code)
      • Atténuation des canaux secondaires
      • SMB Signing
      • Chiffrement du cluster SMB

Le tableau suivant documente les fonctionnalités de sécurité prises en charge, si elles prennent en charge le contrôle de dérive et si un redémarrage est nécessaire pour implémenter la fonctionnalité.

Nom Fonctionnalité Prend en charge le contrôle de dérive Redémarrage obligatoire
Activer
Sécurité basée sur la virtualisation (VBS) Oui Oui
Activer
Credential Guard Oui Oui
Activer
Disable
Racine dynamique de confiance pour la mesure (DRTM) Oui Oui
Activer
Disable
Intégrité du code protégé par hyperviseur (HVCI) Oui Oui
Activer
Disable
Atténuation des canaux côté Oui Oui
Activer
Disable
Signature SMB Oui Oui
Activer
Disable
Chiffrement de cluster SMB Non, paramètre de cluster Non

Étapes suivantes