Az Azure Stack HCI 23H2-es verziójának alapértelmezett biztonsági beállításainak kezelése
A következőkre vonatkozik: Azure Stack HCI, 23H2-es verzió
Ez a cikk az Azure Stack HCI-fürt alapértelmezett biztonsági beállításainak kezelését ismerteti. Az üzembe helyezés során meghatározott sodródásvezérlést és védett biztonsági beállításokat is módosíthatja, hogy az eszköz ismert jó állapotban induljon el.
Előfeltételek
Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik hozzáféréssel az Azure Stack HCI 23H2-es verziójához, amely üzembe van helyezve, regisztrálva és csatlakozik az Azure-hoz.
Biztonsági alapértelmezett beállítások megtekintése a Azure Portal
Az Azure Portal alapértelmezett biztonsági beállításainak megtekintéséhez győződjön meg arról, hogy alkalmazta az MCSB kezdeményezést. További információ: A Microsoft Cloud Security Benchmark kezdeményezés alkalmazása.
Az alapértelmezett biztonsági beállításokkal kezelheti a fürt biztonságát, az eltérésvezérlést és a biztonságos magkiszolgáló beállításait a fürtön.
Tekintse meg az SMB-aláírás állapotát az Adatvédelem>Hálózatvédelem lapon. Az SMB-aláírással digitálisan aláírhatja az SMB-forgalmat egy Azure Stack HCI-rendszer és más rendszerek között.
A biztonsági alapkonfiguráció megfelelőségének megtekintése a Azure Portal
Miután regisztrálta az Azure Stack HCI-rendszert a Microsoft Defender for Cloudban, vagy hozzárendelte a beépített szabályzatot, a rendszer jelentést hoz létre a kiszolgálókhoz. Ezen a ponton a Windows rendszerű gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek. Az Azure Stack HCI-kiszolgálóval összehasonlított szabályok teljes listájáért tekintse meg a Windows biztonsági alapkonfigurációját ismertető cikket.
Az Azure Stack HCI-kiszolgáló esetében, ha a biztonságos magra vonatkozó összes hardverkövetelmények teljesülnek, a megfelelőségi pontszám a 288-ból 281. Ez a pontszám azt jelzi, hogy a 288 szabályból 281 megfelelő.
Az alábbi táblázat ismerteti a nem megfelelő szabályokat és a jelenlegi hiányosság okának magyarázatát:
| Szabály neve | Elvárt | Aktuális | Logika | Megjegyzések |
|---|---|---|---|---|
| Interaktív bejelentkezés: Bejelentkezési üzenet a felhasználóknak | Várható: | Tényleges: | Üzemeltető: NOTEQUALS |
Elvárjuk, hogy ezt az értéket sodródás-vezérlés nélkül definiálja. |
| Interaktív bejelentkezés: Bejelentkezési üzenet címe | Várható: | Tényleges: | Üzemeltető: NOTEQUALS |
Elvárjuk, hogy ezt az értéket sodródás-vezérlés nélkül definiálja. |
| Jelszó minimális hossza | Várt: 14 | Tényleges: 0 | Üzemeltető: GREATEROREQUAL |
Elvárjuk, hogy ezt az értéket úgy határozza meg, hogy ne legyen érvényben sodródásvezérlés, amely igazodik a szervezet házirendjéhez. |
| Eszköz metaadatainak lekérésének megakadályozása az internetről | Várt: 1 | Tényleges: (null) | Üzemeltető: EGYENLŐ |
Ez a vezérlő nem vonatkozik az Azure Stack HCI-ra. |
| A felhasználók és alkalmazások veszélyes webhelyekhez való hozzáférésének megakadályozása | Várt: 1 | Tényleges: (null) | Üzemeltető: EGYENLŐ |
Ez a vezérlő a Windows Defender védelem része, alapértelmezés szerint nincs engedélyezve. Kiértékelheti, hogy engedélyezni szeretné-e. |
| Rögzített UNC-elérési utak – NETLOGON | Várható: RequireMutualAuthentication=1 RequireIntegrity=1 |
Tényleges: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Üzemeltető: EGYENLŐ |
Az Azure Stack HCI szigorúbb. Ez a szabály nyugodtan figyelmen kívül hagyható. |
| Rögzített UNC-elérési utak – SYSVOL | Várható: RequireMutualAuthentication=1 RequireIntegrity=1 |
Tényleges: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Üzemeltető: EGYENLŐ |
Az Azure Stack HCI szigorúbb. Ez a szabály nyugodtan figyelmen kívül hagyható. |
Alapértelmezett biztonsági beállítások kezelése a PowerShell-lel
Ha a sodródás elleni védelem engedélyezve van, csak a nem védett biztonsági beállítások módosíthatók. Az alapkonfigurációt alkotó védett biztonsági beállítások módosításához először le kell tiltania az sodródás elleni védelmet. A biztonsági beállítások teljes listájának megtekintéséhez és letöltéséhez lásd: SecurityBaseline.
Alapértelmezett biztonsági beállítások módosítása
Kezdje a kezdeti biztonsági alapkonfigurációval, majd módosítsa az eltérésvezérlést és az üzembe helyezés során meghatározott védett biztonsági beállításokat.
Sodródásvezérlés engedélyezése
Az sodródás-vezérlés engedélyezéséhez kövesse az alábbi lépéseket:
Csatlakozzon az Azure Stack HCI-csomóponthoz.
Futtassa a következő parancsmagot:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Helyi – Csak a helyi csomópontot érinti.
- Fürt – A fürt összes csomópontját érinti a vezénylő használatával.
Sodródás-vezérlés letiltása
Az sodródás-vezérlés letiltásához kövesse az alábbi lépéseket:
Csatlakozzon az Azure Stack HCI-csomóponthoz.
Futtassa a következő parancsmagot:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Helyi – Csak a helyi csomópontot érinti.
- Fürt – A fürt összes csomópontját érinti a vezénylő használatával.
Biztonsági beállítások konfigurálása az üzembe helyezés során
Az üzembe helyezés részeként módosíthatja az elsodródás-vezérlést és a fürt biztonsági alapkonfigurációját alkotó egyéb biztonsági beállításokat.
Az alábbi táblázat az Azure Stack HCI-fürtön az üzembe helyezés során konfigurálható biztonsági beállításokat ismerteti.
| Funkcióterület | Szolgáltatás | Leírás | Támogatja az eltolódás-vezérlést? |
|---|---|---|---|
| Szabályozás | Biztonsági alapkonfiguráció | Fenntartja az egyes kiszolgálókon az alapértelmezett biztonsági beállításokat. Segít megvédeni a módosításokat. | Yes |
| Hitelesítő adatok védelme | Windows Defender Credential Guard | Virtualizálás-alapú biztonság használatával elkülöníti a titkos kódokat a hitelesítő adatok ellopása elleni támadásoktól. | Yes |
| Alkalmazásvezérlő | Windows Defender alkalmazásvezérlő | Szabályozza, hogy mely illesztőprogramok és alkalmazások futhatnak közvetlenül az egyes kiszolgálókon. | No |
| Inaktív adatok titkosítása | BitLocker operációsrendszer-rendszerindító kötethez | Titkosítja az operációs rendszer indítási kötetét az egyes kiszolgálókon. | No |
| Inaktív adatok titkosítása | BitLocker adatkötetekhez | Fürt megosztott köteteinek (CSV-k) titkosítása ezen a fürtön | No |
| Adattovábbítási védelem | Külső SMB-forgalom aláírása | Aláírja az SMB-forgalmat a rendszer és mások között a továbbítási támadások megelőzése érdekében. | Yes |
| Adattovábbítási védelem | SMB-titkosítás fürtön belüli forgalomhoz | Titkosítja a fürt kiszolgálói közötti forgalmat (a tárolóhálózaton). | No |
Biztonsági beállítások módosítása az üzembe helyezés után
Az üzembe helyezés befejezése után a PowerShell használatával módosíthatja a biztonsági beállításokat, miközben fenntartja az eltolódás-vezérlést. Egyes funkciók érvénybe lépéséhez újraindítás szükséges.
PowerShell-parancsmag tulajdonságai
A következő parancsmagtulajdonságok az AzureStackOSConfigAgent modulhoz tartoznak. A modul telepítése az üzembe helyezés során történik.
Get-AzsSecurity-Hatókör: <Helyi | PerNode | AllNodes | Fürt>- Local – Logikai értéket (true/False) ad meg a helyi csomóponton. Normál távoli PowerShell-munkamenetből futtatható.
- PerNode – Logikai értéket (igaz/hamis) ad meg csomópontonként.
- Jelentés – CredSSP-t vagy Azure Stack HCI-kiszolgálót igényel távoli asztali protokoll (RDP) kapcsolattal.
- AllNodes – A csomópontok között kiszámított logikai értéket (true/False) adja meg.
- Fürt – Logikai értéket biztosít az ECE-tárolóból. Együttműködik a vezénylővel, és a fürt összes csomópontjára lép.
Enable-AzsSecurity-Hatókör <– helyi | Fürt>Disable-AzsSecurity-Hatókör <– helyi | Fürt>- FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Credential Guard
- Sodródás-vezérlés
- VBS (Virtualization Based Security)– Csak az engedélyezést támogatjuk.
- DRTM (A megbízhatóság dinamikus gyökere a méréshez)
- HVCI (A hipervizor érvényesítve, ha a kód integritása)
- Oldalcsatorna-kockázatcsökkentés
- SMB-titkosítás
- SMB-aláírás
- FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
Az alábbi táblázat ismerteti a támogatott biztonsági funkciókat, hogy támogatják-e az eltolódás-vezérlést, és hogy szükség van-e újraindításra a funkció implementálásához.
| Name | Szolgáltatás | Támogatja az eltolódás-vezérlést | Újraindítás szükséges |
|---|---|---|---|
| Engedélyezés |
Virtualizálásalapú biztonság (VBS) | Igen | Yes |
| Engedélyezés Letiltás |
A mérési megbízhatóság dinamikus gyökere (DRTM) | Igen | Yes |
| Engedélyezés Letiltás |
Hipervizor által védett kódintegritás (HVCI) | Igen | Yes |
| Engedélyezés Letiltás |
Oldalcsatorna-kockázatcsökkentés | Igen | Yes |
| Engedélyezés Letiltás |
SMB-aláírás | Igen | Yes |
| Engedélyezés Letiltás |
SMB-fürttitkosítás | Nem, fürtbeállítás | Nem |
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: