Gérer les paramètres de sécurité par défaut pour Azure Stack HCI, version 23H2
S’applique à : Azure Stack HCI, version 23H2
Cet article explique comment gérer les paramètres de sécurité par défaut de votre cluster Azure Stack HCI. Vous pouvez également modifier le contrôle de dérive et les paramètres de sécurité protégés définis pendant le déploiement afin que votre appareil démarre dans un état correct connu.
Prérequis
Avant de commencer, vérifiez que vous avez accès à un système Azure Stack HCI version 23H2 déployé, inscrit et connecté à Azure.
Afficher les paramètres de sécurité par défaut dans le Portail Azure
Pour afficher les paramètres de sécurité par défaut dans le Portail Azure, vérifiez que vous avez appliqué l’initiative MCSB. Pour plus d’informations, consultez l’initiative Appliquer microsoft Cloud Security Benchmark.
Vous pouvez utiliser les paramètres de sécurité par défaut pour gérer les paramètres de sécurité, de contrôle de dérive et de serveur principal sécurisé sur votre cluster.
Affichez l’état de signature SMB sous l’onglet Protection du réseau de protection des>données. La signature SMB vous permet de signer numériquement le trafic SMB entre un système Azure Stack HCI et d’autres systèmes.
Afficher la conformité de la base de référence de sécurité dans le Portail Azure
Une fois que vous avez inscrit votre système Azure Stack HCI avec Microsoft Defender pour le cloud ou que vous affectez les machines Windows intégrées doivent répondre aux exigences de la base de référence de sécurité de calcul Azure, un rapport de conformité est généré. Pour obtenir la liste complète des règles dont votre serveur Azure Stack HCI est comparé, consultez la base de référence de sécurité Windows.
Pour le serveur Azure Stack HCI, lorsque toutes les exigences matérielles pour le cœur sécurisé sont remplies, le score de conformité est de 281 sur 288 règles , c’est-à-dire 281 sur 288 règles conformes.
Le tableau suivant décrit les règles qui ne sont pas conformes et la justification de l’écart actuel :
| Nom de la règle | Attendu | Chiffres réels | Logique | Commentaires |
|---|---|---|---|---|
| Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter | Attendu : | Réel: | Opérateur : NOTEQUALS |
Nous vous attendons à définir cette valeur sans contrôle de dérive en place. |
| Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter | Attendu : | Réel: | Opérateur : NOTEQUALS |
Nous vous attendons à définir cette valeur sans contrôle de dérive en place. |
| Longueur minimale du mot de passe | Attendu : 14 | Réel : 0 | Opérateur : GREATEROREQUAL |
Nous vous attendons à définir cette valeur sans contrôle de dérive en place qui s’aligne sur la stratégie de votre organisation. |
| Empêcher la récupération des métadonnées de périphérique depuis Internet | Attendu : 1 | Réel : (null) | Opérateur : EQUALS |
Ce contrôle ne s’applique pas à Azure Stack HCI. |
| Empêcher les utilisateurs et les applications d’accéder à des sites web dangereux | Attendu : 1 | Réel : (null) | Opérateur : EQUALS |
Ce contrôle fait partie des protections Windows Defender, non activées par défaut. Vous pouvez évaluer si vous souhaitez activer. |
| Chemins UNC renforcés - NETLOGON | Attendu: RequireMutualAuthentication=1 RequireIntegrity=1 |
Réel : RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Opérateur : EQUALS |
Azure Stack HCI est plus restrictif. Cette règle peut être ignorée en toute sécurité. |
| Chemins UNC renforcés - SYSVOL | Attendu: RequireMutualAuthentication=1 RequireIntegrity=1 |
Réel: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Opérateur : EQUALS |
Azure Stack HCI est plus restrictif. Cette règle peut être ignorée en toute sécurité. |
Gérer les paramètres de sécurité par défaut avec PowerShell
Une fois la protection de dérive activée, vous ne pouvez modifier que les paramètres de sécurité non protégés. Pour modifier les paramètres de sécurité protégés qui forment la ligne de base, vous devez d’abord désactiver la protection de dérive. Pour afficher et télécharger la liste complète des paramètres de sécurité, consultez Base de référence de sécurité.
Modifier les paramètres de sécurité par défaut
Commencez par la base de référence de sécurité initiale, puis modifiez le contrôle de dérive et les paramètres de sécurité protégés définis pendant le déploiement.
Activer le contrôle de dérive
Pour activer le contrôle de dérive, procédez comme suit :
Connectez-vous à votre nœud Azure Stack HCI.
Exécutez l’applet de commande suivante :
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local : affecte uniquement le nœud local.
- Cluster : affecte tous les nœuds du cluster à l’aide de l’orchestrateur.
Désactiver le contrôle de dérive
Pour désactiver le contrôle de dérive, procédez comme suit :
Connectez-vous à votre nœud Azure Stack HCI.
Exécutez l’applet de commande suivante :
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local : affecte uniquement le nœud local.
- Cluster : affecte tous les nœuds du cluster à l’aide de l’orchestrateur.
Important
Si vous désactivez le contrôle de dérive, les paramètres protégés peuvent être modifiés. Si vous activez à nouveau le contrôle de dérive, toutes les modifications que vous avez apportées aux paramètres protégés sont remplacées.
Configurer les paramètres de sécurité pendant le déploiement
Dans le cadre du déploiement, vous pouvez modifier le contrôle de dérive et d’autres paramètres de sécurité qui constituent la base de référence de sécurité sur votre cluster.
Le tableau suivant décrit les paramètres de sécurité qui peuvent être configurés sur votre cluster Azure Stack HCI pendant le déploiement.
| Fonctionnalités | Fonctionnalité | Description | Prend en charge le contrôle de dérive ? |
|---|---|---|---|
| Gouvernance | Base de référence de la sécurité | Conserve les valeurs par défaut de sécurité sur chaque serveur. Permet de protéger contre les modifications. | Oui |
| Protection des informations d’identification | Windows Defender Credential Guard | Utilise la sécurité basée sur la virtualisation pour isoler les secrets des attaques par vol d’informations d’identification. | Oui |
| Contrôle d’application | Contrôle d’application Windows Defender | Contrôle les pilotes et applications autorisés à s’exécuter directement sur chaque serveur. | Non |
| Chiffrement des données au repos | BitLocker pour le volume de démarrage du système d’exploitation | Chiffre le volume de démarrage du système d’exploitation sur chaque serveur. | Non |
| Chiffrement des données au repos | BitLocker pour les volumes de données | Chiffre les volumes partagés de cluster sur ce cluster | Non |
| Protection des données en transit | Signature du trafic SMB externe | Signe le trafic SMB entre ce système et d’autres pour empêcher les attaques de relais. | Oui |
| Protection des données en transit | Chiffrement SMB pour le trafic en cluster | Chiffre le trafic entre les serveurs du cluster (sur votre réseau de stockage). | Non |
Modifier les paramètres de sécurité après le déploiement
Une fois le déploiement terminé, vous pouvez utiliser PowerShell pour modifier les paramètres de sécurité tout en conservant le contrôle de dérive. Certaines fonctionnalités nécessitent un redémarrage pour prendre effet.
Propriétés de l’applet de commande PowerShell
Les propriétés d’applet de commande suivantes concernent le module AzureStackOSConfigAgent . Le module est installé pendant le déploiement.
Get-AzsSecurity-Étendue : <local | PerNode | AllNodes | Grappe>- Local : fournit une valeur booléenne (true/False) sur le nœud local. Peut être exécuté à partir d’une session PowerShell distante standard.
- PerNode : fournit une valeur booléenne (true/False) par nœud.
- Rapport : nécessite CredSSP ou un serveur Azure Stack HCI à l’aide d’une connexion RDP (Remote Desktop Protocol).
- AllNodes : fournit une valeur booléenne (true/False) calculée sur plusieurs nœuds.
- Cluster : fournit une valeur booléenne à partir du magasin EXCHANGE. Interagit avec l’orchestrateur et agit sur tous les nœuds du cluster.
Enable-AzsSecurity-Étendue <locale | Grappe>Disable-AzsSecurity-Étendue <locale | Grappe>- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Contrôle de dérive
- Credential Guard
- VBS (Virtualization Based Security)- Nous prenons uniquement en charge la commande Enable.
- DRTM (Racine dynamique de confiance pour la mesure)
- HVCI (Hyperviseur appliqué si l’intégrité du code)
- Atténuation des canaux secondaires
- SMB Signing
- Chiffrement du cluster SMB
- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
Le tableau suivant documente les fonctionnalités de sécurité prises en charge, si elles prennent en charge le contrôle de dérive et si un redémarrage est nécessaire pour implémenter la fonctionnalité.
| Nom | Fonctionnalité | Prend en charge le contrôle de dérive | Redémarrage obligatoire |
|---|---|---|---|
| Activer |
Sécurité basée sur la virtualisation (VBS) | Oui | Oui |
| Activer |
Credential Guard | Oui | Oui |
| Activer Disable |
Racine dynamique de confiance pour la mesure (DRTM) | Oui | Oui |
| Activer Disable |
Intégrité du code protégé par hyperviseur (HVCI) | Oui | Oui |
| Activer Disable |
Atténuation des canaux côté | Oui | Oui |
| Activer Disable |
Signature SMB | Oui | Oui |
| Activer Disable |
Chiffrement de cluster SMB | Non, paramètre de cluster | Non |
Étapes suivantes
- Comprendre le chiffrement BitLocker.