Udostępnij za pośrednictwem


Funkcje zabezpieczeń usługi Azure Stack HCI w wersji 23H2

Dotyczy: Azure Stack HCI, wersja 23H2

Azure Stack HCI to domyślnie bezpieczny produkt z włączonymi od początku ponad 300 ustawieniami zabezpieczeń. Domyślne ustawienia zabezpieczeń zapewniają spójny punkt odniesienia zabezpieczeń, aby upewnić się, że urządzenia zaczynają się w znanym dobrym stanie.

Ten artykuł zawiera krótkie omówienie pojęć dotyczących różnych funkcji zabezpieczeń skojarzonych z klastrem usługi Azure Stack HCI. Funkcje obejmują wartości domyślne zabezpieczeń, Windows Defender dla kontroli aplikacji (WDAC), szyfrowanie woluminów za pośrednictwem funkcji BitLocker, rotacja wpisów tajnych, lokalne wbudowane konta użytkowników, Microsoft Defender dla chmury i nie tylko.

Domyślne ustawienia zabezpieczeń

Usługa Azure Stack HCI ma domyślnie włączone ustawienia zabezpieczeń, które zapewniają spójny punkt odniesienia zabezpieczeń, system zarządzania punktami odniesienia i mechanizm kontroli dryfu.

Podczas wdrażania i środowiska uruchomieniowego można monitorować ustawienia punktu odniesienia zabezpieczeń i zabezpieczonego rdzenia. Podczas wdrażania można również wyłączyć kontrolę dryfu podczas konfigurowania ustawień zabezpieczeń.

Po zastosowaniu kontroli dryfu ustawienia zabezpieczeń są odświeżane co 90 minut. Ten interwał odświeżania zapewnia korygowanie wszelkich zmian z żądanego stanu. Ciągłe monitorowanie i autoremediation umożliwiają spójny i niezawodny stan zabezpieczeń w całym cyklu życia urządzenia.

Bezpieczny punkt odniesienia w usłudze Azure Stack HCI:

  • Poprawia stan zabezpieczeń, wyłączając starsze protokoły i szyfry.
  • Zmniejsza poziom OPEX z wbudowanym mechanizmem ochrony dryfu, który umożliwia spójne monitorowanie na dużą skalę za pośrednictwem punktu odniesienia usługi Azure Arc Hybrid Edge.
  • Umożliwia spełnienie wymagań dotyczących testów porównawczych usługi Center for Internet Security (CIS) i Defense Information System Agency (DISA) Technical Implementation Guide (STIG) dla systemu operacyjnego i zalecanych punktów odniesienia zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Zarządzanie wartościami domyślnymi zabezpieczeń w usłudze Azure Stack HCI.

Kontrola aplikacji usługi Windows Defender

WDAC to oparta na oprogramowaniu warstwa zabezpieczeń, która zmniejsza obszar ataków, wymuszając jawną listę oprogramowania, które może być uruchamiane. Usługa WDAC jest domyślnie włączona i ogranicza aplikacje i kod, które można uruchamiać na platformie podstawowej. Aby uzyskać więcej informacji, zobacz Zarządzanie kontrolą aplikacji Windows Defender dla usługi Azure Stack HCI w wersji 23H2.

Funkcja WDAC zapewnia dwa główne tryby operacji, tryb wymuszania i tryb inspekcji. W trybie wymuszania niezaufany kod jest blokowany, a zdarzenia są rejestrowane. W trybie inspekcji niezaufany kod może być uruchamiany, a zdarzenia są rejestrowane. Aby dowiedzieć się więcej na temat zdarzeń związanych z programem WDAC, zobacz Lista zdarzeń.

Ważne

Aby zminimalizować ryzyko bezpieczeństwa, należy zawsze uruchomić funkcję WDAC w trybie wymuszania.

Informacje o projekcie zasad WDAC

Firma Microsoft udostępnia podstawowe podpisane zasady w usłudze Azure Stack HCI dla trybu wymuszania i trybu inspekcji. Ponadto zasady obejmują wstępnie zdefiniowany zestaw reguł zachowania platformy i reguły blokowania stosowane do warstwy kontroli aplikacji.

Kompozycja zasad podstawowych

Podstawowe zasady usługi Azure Stack HCI obejmują następujące sekcje:

  • Metadane: metadane definiują unikatowe właściwości zasad, takie jak nazwa zasad, wersja, identyfikator GUID i inne.
  • Reguły opcji: Te reguły definiują zachowanie zasad. Zasady uzupełniające mogą się różnić tylko od małego zestawu reguł opcji powiązanych z zasadami podstawowymi.
  • Reguły zezwalania i odmowy: te reguły definiują granice zaufania kodu. Reguły mogą być oparte na wydawcach, osoby podpisujących, skrótach plików i nie tylko.

Reguły opcji

W tej sekcji omówiono reguły opcji włączone przez zasady podstawowe.

W przypadku wymuszanych zasad domyślnie są włączone następujące reguły opcji:

Reguła opcji Wartość
Enabled (Włączony) UMCI
Wymagane WHQL
Enabled (Włączony) Zezwalaj na zasady uzupełniające
Enabled (Włączony) Odwołano wygasło jako niepodpisane
Disabled Podpisywanie lotu
Enabled (Włączony) Niepodpisane zasady integralności systemu (ustawienie domyślne)
Enabled (Włączony) Zabezpieczenia kodu dynamicznego
Enabled (Włączony) Menu Zaawansowane opcje rozruchu
Disabled Wymuszanie skryptu
Enabled (Włączony) Instalator zarządzany
Enabled (Włączony) Aktualizowanie zasad bez ponownego uruchomienia

Zasady inspekcji dodają następujące reguły opcji do zasad podstawowych:

Reguła opcji Wartość
Enabled (Włączony) Tryb inspekcji (ustawienie domyślne)

Aby uzyskać więcej informacji, zobacz pełną listę reguł opcji.

Reguły zezwalania i odrzucania

Zezwalaj na reguły w zasadach podstawowych zezwalaj na zaufanie wszystkim składnikom firmy Microsoft dostarczanym przez system operacyjny i wdrożenia w chmurze. Reguły odmowy blokują aplikacje trybu użytkownika i składniki jądra uważane za niebezpieczne dla stanu zabezpieczeń rozwiązania.

Uwaga

Reguły zezwalania i odmowy w zasadach podstawowych są regularnie aktualizowane w celu poprawy funtów produktu i zmaksymalizowania ochrony rozwiązania.

Aby dowiedzieć się więcej o regułach odmowy, zobacz:

Szyfrowanie funkcją BitLocker

Szyfrowanie danych magazynowanych jest włączone na woluminach danych utworzonych podczas wdrażania. Te woluminy danych obejmują zarówno woluminy infrastruktury, jak i woluminy obciążenia. Podczas wdrażania klastra można modyfikować ustawienia zabezpieczeń.

Domyślnie szyfrowanie danych magazynowanych jest włączone podczas wdrażania. Zalecamy zaakceptowanie ustawienia domyślnego.

Po pomyślnym wdrożeniu rozwiązania Azure Stack HCI można pobrać klucze odzyskiwania funkcji BitLocker. Klucze odzyskiwania funkcji BitLocker należy przechowywać w bezpiecznej lokalizacji poza systemem.

Aby uzyskać więcej informacji na temat szyfrowania funkcją BitLocker, zobacz:

Lokalne wbudowane konta użytkowników

W tej wersji następujący lokalni wbudowani użytkownicy skojarzeni z RID 500RID 501 systemem i są dostępni w systemie Azure Stack HCI:

Nazwa w początkowym obrazie systemu operacyjnego Nazwa po wdrożeniu Domyślnie włączone Opis
Administrator ASBuiltInAdmin Prawda Wbudowane konto do administrowania komputerem/domeną.
Gość ASBuiltInGuest Fałsz Wbudowane konto dostępu gościa do komputera/domeny chronione przez mechanizm kontroli dryfu linii bazowej zabezpieczeń.

Ważne

Zalecamy utworzenie własnego konta administratora lokalnego i wyłączenie dobrze znanego RID 500 konta użytkownika.

Tworzenie i rotacja wpisów tajnych

Orkiestrator w usłudze Azure Stack HCI wymaga wielu składników do zapewnienia bezpiecznej komunikacji z innymi zasobami i usługami infrastruktury. Wszystkie usługi uruchomione w klastrze mają skojarzone certyfikaty uwierzytelniania i szyfrowania.

Aby zapewnić bezpieczeństwo, implementujemy wewnętrzne możliwości tworzenia i rotacji wpisów tajnych. Podczas przeglądania węzłów klastra w ścieżce LocalMachine/Personal certificate store () zostanie wyświetlonych kilka certyfikatów utworzonych w ścieżce LocalMachine/Personal certificate store (Cert:\LocalMachine\My).

W tej wersji są włączone następujące możliwości:

  • Możliwość tworzenia certyfikatów podczas wdrażania i po operacjach skalowania klastra.
  • Automatyczna autorotacja przed wygaśnięciem certyfikatów oraz opcja rotacji certyfikatów w okresie istnienia klastra.
  • Możliwość monitorowania i powiadamiania, czy certyfikaty są nadal prawidłowe.

Uwaga

Tworzenie i rotacja wpisów tajnych trwa około dziesięciu minut, w zależności od rozmiaru klastra.

Aby uzyskać więcej informacji, zobacz Zarządzanie rotacją wpisów tajnych.

Przekazywanie dziennika systemowego zdarzeń zabezpieczeń

W przypadku klientów i organizacji, które wymagają własnego lokalnego systemu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), usługa Azure Stack HCI w wersji 23H2 zawiera zintegrowany mechanizm, który umożliwia przekazywanie zdarzeń związanych z zabezpieczeniami do rozwiązania SIEM.

Usługa Azure Stack HCI ma zintegrowany moduł przesyłania dalej dziennika systemowego, który po skonfigurowaniu generuje komunikaty dziennika systemowego zdefiniowane w RFC3164 z ładunkiem w formacie Common Event Format (CEF).

Na poniższym diagramie przedstawiono integrację rozwiązania Azure Stack HCI z rozwiązaniem SIEM. Wszystkie inspekcje, dzienniki zabezpieczeń i alerty są zbierane na każdym hoście i udostępniane za pośrednictwem dziennika systemowego z ładunkiem CEF.

Na poniższym diagramie opisano integrację rozwiązania Azure Stack HCI z zewnętrznym systemem zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).

Agenci przekazujący dziennik systemowy są wdrażani na każdym hoście usługi Azure Stack HCI w celu przekazywania komunikatów dziennika systemowego do serwera dziennika systemowego skonfigurowanego przez klienta. Agenci przekazujący dziennik systemowy działają niezależnie od siebie, ale mogą być zarządzani razem na jednym z hostów.

Usługa przesyłania dalej dziennika systemu w usłudze Azure Stack HCI obsługuje różne konfiguracje na podstawie tego, czy przekazywanie dziennika systemowego jest z protokołem TCP, czy UDP, czy szyfrowanie jest włączone, czy nie, oraz czy istnieje uwierzytelnianie jednokierunkowe, czy dwukierunkowe.

Aby uzyskać więcej informacji, zobacz Zarządzanie przekazywaniem dziennika systemowego.

Microsoft Defender dla chmury (wersja zapoznawcza)

Microsoft Defender dla chmury to rozwiązanie do zarządzania stanem zabezpieczeń z zaawansowanymi funkcjami ochrony przed zagrożeniami. Udostępnia ona narzędzia do oceny stanu zabezpieczeń infrastruktury, ochrony obciążeń, zgłaszania alertów zabezpieczeń i śledzenia określonych zaleceń w celu korygowania ataków i rozwiązywania przyszłych zagrożeń. Wykonuje ona wszystkie te usługi z dużą szybkością w chmurze dzięki automatycznej aprowizacji i ochronie za pomocą usług platformy Azure bez narzutów związanych z wdrażaniem.

Dzięki podstawowemu planowi usługi Defender for Cloud uzyskasz zalecenia dotyczące poprawy stanu zabezpieczeń systemu Azure Stack HCI bez dodatkowych kosztów. Dzięki płatnemu planowi usługi Defender for Servers można uzyskać ulepszone funkcje zabezpieczeń, w tym alerty zabezpieczeń dla poszczególnych serwerów i maszyn wirtualnych usługi Arc.

Aby uzyskać więcej informacji, zobacz Zarządzanie zabezpieczeniami systemu za pomocą Microsoft Defender dla chmury (wersja zapoznawcza).

Następne kroki