Gérer les paramètres de sécurité par défaut pour Azure Stack HCI, version 23H2
S’applique à : Azure Stack HCI, version 23H2
Cet article explique comment gérer les paramètres de sécurité par défaut pour votre cluster Azure Stack HCI. Vous pouvez également modifier le contrôle de dérive et les paramètres de sécurité protégés définis pendant le déploiement afin que votre appareil démarre dans un état correct connu.
Prérequis
Avant de commencer, assurez-vous d’avoir accès à un système Azure Stack HCI version 23H2 déployé, inscrit et connecté à Azure.
Afficher les paramètres de sécurité par défaut dans le Portail Azure
Pour afficher les paramètres de sécurité par défaut dans le Portail Azure, vérifiez que vous avez appliqué l’initiative MCSB. Pour plus d’informations, consultez Application de l’initiative Microsoft Cloud Security Benchmark.
Vous pouvez utiliser les paramètres de sécurité par défaut pour gérer la sécurité du cluster, le contrôle de dérive et les paramètres de serveur principal sécurisé sur votre cluster.
Affichez la status de signature SMB sous l’ongletProtection du réseau protection des> données. La signature SMB vous permet de signer numériquement le trafic SMB entre un système Azure Stack HCI et d’autres systèmes.
Afficher la conformité de la base de référence de sécurité dans le Portail Azure
Une fois que vous avez inscrit votre système Azure Stack HCI avec Microsoft Defender pour le cloud ou que vous avez affecté la stratégie intégrée, un rapport est généré pour vos serveurs. À ce stade, les machines Windows doivent répondre aux exigences de la base de référence de sécurité du calcul Azure. Pour obtenir la liste complète des règles à laquelle votre serveur Azure Stack HCI est comparé, consultez Base de référence de la sécurité Windows.
Pour le serveur Azure Stack HCI, lorsque toutes les exigences matérielles pour secure-core sont remplies, le score de conformité est de 281 sur les 288. Ce score indique que 281 des 288 règles sont conformes.
Le tableau suivant explique les règles qui ne sont pas conformes et la raison d’être de l’écart actuel :
| Nom de la règle | Expected | Réel | Logique | Commentaires |
|---|---|---|---|---|
| Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter | Attendu : | Réel : | Opérateur : NOTEQUALS |
Nous vous attendons à ce que vous définissiez cette valeur sans contrôle de dérive en place. |
| Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter | Attendu : | Réel : | Opérateur : NOTEQUALS |
Nous vous attendons à ce que vous définissiez cette valeur sans contrôle de dérive en place. |
| Longueur minimale du mot de passe | Attendu : 14 | Réel : 0 | Opérateur : GREATEROREQUAL |
Nous vous attendons à ce que vous définissiez cette valeur sans contrôle de dérive qui s’aligne sur la stratégie de votre organization. |
| Empêcher la récupération des métadonnées de périphérique depuis Internet | Attendu : 1 | Réel : (null) | Opérateur : EQUALS |
Ce contrôle ne s’applique pas à Azure Stack HCI. |
| Empêcher les utilisateurs et les applications d’accéder à des sites web dangereux | Attendu : 1 | Réel : (null) | Opérateur : EQUALS |
Ce contrôle fait partie des protections Windows Defender, non activées par défaut. Vous pouvez évaluer si vous souhaitez activer. |
| Chemins UNC renforcés - NETLOGON | Attendu : RequireMutualAuthentication=1 RequireIntegrity=1 |
Réel : RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Opérateur : EQUALS |
Azure Stack HCI est plus restrictif. Cette règle peut être ignorée en toute sécurité. |
| Chemins UNC renforcés - SYSVOL | Attendu : RequireMutualAuthentication=1 RequireIntegrity=1 |
Réel : RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Opérateur : EQUALS |
Azure Stack HCI est plus restrictif. Cette règle peut être ignorée en toute sécurité. |
Gérer les paramètres de sécurité par défaut avec PowerShell
Une fois la protection contre la dérive activée, vous pouvez uniquement modifier les paramètres de sécurité non protégés. Pour modifier les paramètres de sécurité protégés qui constituent la base de référence, vous devez d’abord désactiver la protection contre la dérive. Pour afficher et télécharger la liste complète des paramètres de sécurité, consultez SecurityBaseline.
Modifier les paramètres de sécurité par défaut
Commencez par la base de référence de sécurité initiale, puis modifiez le contrôle de dérive et les paramètres de sécurité protégés définis pendant le déploiement.
Activer le contrôle de dérive
Pour activer le contrôle de dérive, procédez comme suit :
Connectez-vous à votre nœud Azure Stack HCI.
Exécutez l’applet de commande suivante :
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local : affecte uniquement le nœud local.
- Cluster : affecte tous les nœuds du cluster à l’aide de l’orchestrateur.
Désactiver le contrôle de dérive
Pour désactiver le contrôle de dérive, procédez comme suit :
Connectez-vous à votre nœud Azure Stack HCI.
Exécutez l’applet de commande suivante :
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local : affecte uniquement le nœud local.
- Cluster : affecte tous les nœuds du cluster à l’aide de l’orchestrateur.
Configurer les paramètres de sécurité pendant le déploiement
Dans le cadre du déploiement, vous pouvez modifier le contrôle de dérive et d’autres paramètres de sécurité qui constituent la base de référence de sécurité sur votre cluster.
Le tableau suivant décrit les paramètres de sécurité qui peuvent être configurés sur votre cluster Azure Stack HCI pendant le déploiement.
| Domaine de fonctionnalité | Fonctionnalité | Description | Prend en charge le contrôle de dérive ? |
|---|---|---|---|
| Gouvernance | Base de référence de la sécurité | Conserve les valeurs de sécurité par défaut sur chaque serveur. Permet de protéger contre les modifications. | Yes |
| Protection des informations d’identification | Windows Defender Credential Guard | Utilise la sécurité basée sur la virtualisation pour isoler les secrets des attaques de vol d’informations d’identification. | Yes |
| Contrôle des applications | Windows Defender Contrôle d’application | Contrôle les pilotes et applications autorisés à s’exécuter directement sur chaque serveur. | No |
| Chiffrement des données au repos | BitLocker pour le volume de démarrage du système d’exploitation | Chiffre le volume de démarrage du système d’exploitation sur chaque serveur. | No |
| Chiffrement des données au repos | BitLocker pour les volumes de données | Chiffre les volumes partagés de cluster (CSV) sur ce cluster | No |
| Protection des données en transit | Signature du trafic SMB externe | Signe le trafic SMB entre ce système et d’autres pour empêcher les attaques de relais. | Yes |
| Protection des données en transit | Chiffrement SMB pour le trafic en cluster | Chiffre le trafic entre les serveurs du cluster (sur votre réseau de stockage). | No |
Modifier les paramètres de sécurité après le déploiement
Une fois le déploiement terminé, vous pouvez utiliser PowerShell pour modifier les paramètres de sécurité tout en conservant le contrôle de dérive. Certaines fonctionnalités nécessitent un redémarrage pour prendre effet.
Propriétés de l’applet de commande PowerShell
Les propriétés d’applet de commande suivantes concernent le module AzureStackOSConfigAgent . Le module est installé pendant le déploiement.
Get-AzsSecurity-Étendue : <local | PerNode | AllNodes | Grappe>- Local : fournit une valeur booléenne (true/False) sur le nœud local. Peut être exécuté à partir d’une session PowerShell distante standard.
- PerNode : fournit une valeur booléenne (true/False) par nœud.
- Rapport : nécessite CredSSP ou un serveur Azure Stack HCI à l’aide d’une connexion RDP (Remote Desktop Protocol).
- AllNodes : fournit une valeur booléenne (true/False) calculée sur les nœuds.
- Cluster : fournit une valeur booléenne à partir du magasin ECE. Interagit avec l’orchestrateur et agit sur tous les nœuds du cluster.
Enable-AzsSecurity-Étendue <locale | Grappe>Disable-AzsSecurity-Étendue <locale | Grappe>- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Protection des informations d’identification
- Contrôle de dérive
- VBS (Virtual Based Security) : nous prenons uniquement en charge la commande enable.
- DRTM (Racine dynamique de confiance pour la mesure)
- HVCI (Hyperviseur appliqué si l’intégrité du code)
- Atténuation du canal latéral
- Chiffrement SMB
- SMB Signing
- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
Le tableau suivant indique les fonctionnalités de sécurité prises en charge, si elles prennent en charge le contrôle de dérive et si un redémarrage est nécessaire pour implémenter la fonctionnalité.
| Nom | Fonctionnalité | Prend en charge le contrôle de dérive | Redémarrage obligatoire |
|---|---|---|---|
| Activer |
Sécurité basée sur la virtualisation (VBS) | Oui | Oui |
| Activer Disable |
Racine dynamique de confiance pour la mesure (DRTM) | Oui | Oui |
| Activer Disable |
Intégrité du code protégée par l’hyperviseur (HVCI) | Oui | Oui |
| Activer Disable |
Atténuation des canaux secondaires | Oui | Oui |
| Activer Disable |
Signature SMB | Oui | Oui |
| Activer Disable |
Chiffrement de cluster SMB | Non, paramètre de cluster | Non |
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour