Az Azure Stack HCI 23H2-es verziójának biztonsági alapértelmezett beállításainak kezelése
A következőre vonatkozik: Azure Stack HCI, 23H2-es verzió
Ez a cikk az Azure Stack HCI-fürt alapértelmezett biztonsági beállításainak kezelését ismerteti. Az üzembe helyezés során definiált sodródásvezérlést és védett biztonsági beállításokat is módosíthatja, hogy az eszköz ismert jó állapotban induljon el.
Előfeltételek
Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik hozzáféréssel az Azure Stack HCI 23H2-es verziójához, amely üzembe van helyezve, regisztrálva és csatlakozik az Azure-hoz.
Biztonsági alapértelmezett beállítások megtekintése az Azure Portalon
Az Azure Portal biztonsági alapértelmezett beállításainak megtekintéséhez győződjön meg arról, hogy alkalmazta az MCSB-kezdeményezést. További információ: A Microsoft Cloud Security Benchmark kezdeményezés alkalmazása.
Az alapértelmezett biztonsági beállítások segítségével kezelheti a fürt biztonságát, az eltolódás-vezérlést és a biztonságos magkiszolgáló beállításait a fürtön.
Tekintse meg az SMB-aláírás állapotát az Adatvédelem>Hálózatvédelem lapon. Az SMB-aláírással digitálisan aláírhatja az SMB-forgalmat egy Azure Stack HCI-rendszer és más rendszerek között.
Biztonsági alapkonfiguráció-megfelelőség megtekintése az Azure Portalon
Miután regisztrálta az Azure Stack HCI-rendszert a Felhőhöz készült Microsoft Defenderrel, vagy hozzárendelte a beépített szabályzatot, a Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek, létrejön egy megfelelőségi jelentés. Az Azure Stack HCI-kiszolgálóval összehasonlított szabályok teljes listáját a Windows biztonsági alapkonfigurációjában találja.
Az Azure Stack HCI-kiszolgáló esetében, ha a biztonságos magra vonatkozó összes hardverkövetelmények teljesülnek, a megfelelőségi pontszám a 288 szabályból 281 - azaz a 288 szabály közül 281 megfelelő.
Az alábbi táblázat ismerteti a nem megfelelő szabályokat és a jelenlegi hiányosságok okait:
| Szabály neve | Elvárt | Aktuális | Logika | Megjegyzések |
|---|---|---|---|---|
| Interaktív bejelentkezés: Bejelentkezési üzenet a felhasználóknak | Várható: | Tényleges: | Üzemeltető: JEGYZETQUALS |
Elvárjuk, hogy ezt az értéket sodródás-vezérlés nélkül definiálja. |
| Interaktív bejelentkezés: Bejelentkezési üzenet címe | Várható: | Tényleges: | Üzemeltető: JEGYZETQUALS |
Elvárjuk, hogy ezt az értéket sodródás-vezérlés nélkül definiálja. |
| Jelszó minimális hossza | Várt: 14 | Tényleges: 0 | Üzemeltető: GREATEROREQUAL |
Azt várjuk, hogy ezt az értéket úgy határozza meg, hogy nincs érvényben eltérésvezérlés, amely igazodik a szervezet házirendjéhez. |
| Eszköz metaadatainak lekérésének megakadályozása az internetről | Várt: 1 | Tényleges: (null) | Üzemeltető: EGYENLŐ |
Ez a vezérlő nem vonatkozik az Azure Stack HCI-ra. |
| A felhasználók és alkalmazások veszélyes webhelyekhez való hozzáférésének megakadályozása | Várt: 1 | Tényleges: (null) | Üzemeltető: EGYENLŐ |
Ez a vezérlő a Windows Defender-védelem része, alapértelmezés szerint nincs engedélyezve. Kiértékelheti, hogy engedélyezni szeretné-e. |
| Rögzített UNC-elérési utak – NETLOGON | Várható: RequireMutualAuthentication=1 RequireIntegrity=1 |
Tényleges: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Üzemeltető: EGYENLŐ |
Az Azure Stack HCI szigorúbb. Ez a szabály biztonságosan figyelmen kívül hagyható. |
| Megkeményített UNC-elérési utak – SYSVOL | Várható: RequireMutualAuthentication=1 RequireIntegrity=1 |
Tényleges: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Üzemeltető: EGYENLŐ |
Az Azure Stack HCI szigorúbb. Ez a szabály biztonságosan figyelmen kívül hagyható. |
Biztonsági alapértelmezett beállítások kezelése a PowerShell-lel
Ha engedélyezve van a sodródás elleni védelem, csak a nem védett biztonsági beállítások módosíthatók. Az alapkonfigurációt alkotó védett biztonsági beállítások módosításához először le kell tiltania az eltolódás elleni védelmet. A biztonsági beállítások teljes listájának megtekintéséhez és letöltéséhez lásd: Biztonsági alapkonfiguráció.
Biztonsági alapértelmezett beállítások módosítása
Kezdje a kezdeti biztonsági alapkonfigurációval, majd módosítsa az elsodródás-vezérlést és az üzembe helyezés során definiált védett biztonsági beállításokat.
Sodródás-vezérlés engedélyezése
Az eltolódás-vezérlés engedélyezéséhez kövesse az alábbi lépéseket:
Csatlakozzon az Azure Stack HCI-csomóponthoz.
Futtassa a következő parancsmagot:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Helyi – Csak a helyi csomópontot érinti.
- Fürt – A fürt összes csomópontjára hatással van a vezénylő használatával.
Az eltolódás-vezérlés letiltása
Az alábbi lépésekkel tiltsa le az eltolódás-vezérlést:
Csatlakozzon az Azure Stack HCI-csomóponthoz.
Futtassa a következő parancsmagot:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Helyi – Csak a helyi csomópontot érinti.
- Fürt – A fürt összes csomópontjára hatással van a vezénylő használatával.
Fontos
Ha letiltja az eltolódás-vezérlést, a védett beállítások módosíthatók. Ha ismét engedélyezi az eltolódás-vezérlést, a védett beállításokon végzett módosítások felülíródnak.
Biztonsági beállítások konfigurálása az üzembe helyezés során
Az üzembe helyezés részeként módosíthatja az elsodródás-vezérlést és a fürt biztonsági alapkonfigurációját alkotó egyéb biztonsági beállításokat.
Az alábbi táblázat az Azure Stack HCI-fürtön az üzembe helyezés során konfigurálható biztonsági beállításokat ismerteti.
| Funkcióterület | Szolgáltatás | Leírás | Támogatja az eltolódás-vezérlést? |
|---|---|---|---|
| Szabályozás | Biztonsági alapkonfiguráció | Fenntartja az egyes kiszolgálókon az alapértelmezett biztonsági beállításokat. Segít megvédeni a módosításokat. | Yes |
| Hitelesítő adatok védelme | Windows Defender Credential Guard | Virtualizálás-alapú biztonság használatával elkülöníti a titkos kódokat a hitelesítő adatok ellopása elleni támadásoktól. | Yes |
| Alkalmazásvezérlő | Windows Defender alkalmazásvezérlő | Szabályozza, hogy mely illesztőprogramok és alkalmazások futhatnak közvetlenül az egyes kiszolgálókon. | No |
| Inaktív adatok titkosítása | BitLocker operációsrendszer-rendszerindító kötethez | Titkosítja az operációs rendszer indítási kötetét az egyes kiszolgálókon. | No |
| Inaktív adatok titkosítása | BitLocker adatkötetekhez | Fürt megosztott köteteinek (CSV-k) titkosítása ezen a fürtön | No |
| Adattovábbítási védelem | Külső SMB-forgalom aláírása | Aláírja az SMB-forgalmat a rendszer és mások között a továbbítási támadások megelőzése érdekében. | Yes |
| Adattovábbítási védelem | SMB-titkosítás fürtön belüli forgalomhoz | Titkosítja a fürt kiszolgálói közötti forgalmat (a tárolóhálózaton). | No |
Biztonsági beállítások módosítása az üzembe helyezés után
Az üzembe helyezés befejezése után a PowerShell használatával módosíthatja a biztonsági beállításokat, miközben fenntartja az eltolódás-vezérlést. Egyes funkciók érvénybe lépéséhez újraindítás szükséges.
PowerShell-parancsmag tulajdonságai
A következő parancsmagtulajdonságok az AzureStackOSConfigAgent modulhoz tartoznak. A modul telepítése az üzembe helyezés során történik.
Get-AzsSecurity-Hatókör: <Helyi | PerNode | AllNodes | Fürt>- Local – Logikai értéket (true/False) ad meg a helyi csomóponton. Normál távoli PowerShell-munkamenetből futtatható.
- PerNode – Logikai értéket (igaz/hamis) ad meg csomópontonként.
- Jelentés – CredSSP-t vagy Azure Stack HCI-kiszolgálót igényel távoli asztali protokoll (RDP) kapcsolattal.
- AllNodes – A csomópontok között kiszámított logikai értéket (true/False) adja meg.
- Fürt – Logikai értéket biztosít az ECE-tárolóból. Együttműködik a vezénylővel, és a fürt összes csomópontjára lép.
Enable-AzsSecurity-Hatókör <– helyi | Fürt>Disable-AzsSecurity-Hatókör <– helyi | Fürt>- FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Credential Guard
- Sodródás-vezérlés
- VBS (Virtualization Based Security)– Csak az engedélyezést támogatjuk.
- DRTM (A megbízhatóság dinamikus gyökere a méréshez)
- HVCI (A hipervizor érvényesítve, ha a kód integritása)
- Oldalcsatorna-kockázatcsökkentés
- SMB-titkosítás
- SMB-aláírás
- FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
Az alábbi táblázat ismerteti a támogatott biztonsági funkciókat, hogy támogatják-e az eltolódás-vezérlést, és hogy szükség van-e újraindításra a funkció implementálásához.
| Name | Szolgáltatás | Támogatja az eltolódás-vezérlést | Újraindítás szükséges |
|---|---|---|---|
| Engedélyezés |
Virtualizálásalapú biztonság (VBS) | Igen | Yes |
| Engedélyezés Letiltás |
A mérési megbízhatóság dinamikus gyökere (DRTM) | Igen | Yes |
| Engedélyezés Letiltás |
Hipervizor által védett kódintegritás (HVCI) | Igen | Yes |
| Engedélyezés Letiltás |
Oldalcsatorna-kockázatcsökkentés | Igen | Yes |
| Engedélyezés Letiltás |
SMB-aláírás | Igen | Yes |
| Engedélyezés Letiltás |
SMB-fürttitkosítás | Nem, fürtbeállítás | Nem |
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: