Udostępnij za pośrednictwem


Zarządzanie wartościami domyślnymi zabezpieczeń dla usługi Azure Stack HCI w wersji 23H2

Dotyczy: Azure Stack HCI, wersja 23H2

W tym artykule opisano sposób zarządzania domyślnymi ustawieniami zabezpieczeń klastra rozwiązania Azure Stack HCI. Możesz również zmodyfikować ustawienia kontroli dryfu i chronionych zabezpieczeń zdefiniowanych podczas wdrażania, aby urządzenie było uruchamiane w znanym dobrym stanie.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz dostęp do systemu Azure Stack HCI w wersji 23H2, który jest wdrażany, zarejestrowany i połączony z platformą Azure.

Wyświetlanie ustawień domyślnych zabezpieczeń w witrynie Azure Portal

Aby wyświetlić ustawienia domyślne zabezpieczeń w witrynie Azure Portal, upewnij się, że zastosowano inicjatywę MCSB. Aby uzyskać więcej informacji, zobacz Apply Microsoft Cloud Security Benchmark initiative (Stosowanie inicjatywy testu porównawczego zabezpieczeń w chmurze firmy Microsoft).

Ustawienia domyślne zabezpieczeń umożliwiają zarządzanie zabezpieczeniami klastra, kontrolą dryfu i ustawieniami zabezpieczonego serwera podstawowego w klastrze.

Zrzut ekranu przedstawiający stronę Ustawienia domyślne zabezpieczeń w witrynie Azure Portal.

Wyświetl stan podpisywania SMB na karcie Ochrona danych>Ochrona sieci. Podpisywanie protokołu SMB umożliwia cyfrowe podpisywanie ruchu SMB między systemem Azure Stack HCI i innymi systemami.

Zrzut ekranu przedstawiający stan podpisywania protokołu SMB w witrynie Azure Portal.

Wyświetlanie zgodności punktów odniesienia zabezpieczeń w witrynie Azure Portal

Po zarejestrowaniu systemu Azure Stack HCI przy użyciu Microsoft Defender dla Chmury lub przypisaniu wbudowanych zasad maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure, zostanie wygenerowany raport zgodności. Aby uzyskać pełną listę reguł, z których jest porównywany serwer Azure Stack HCI, zobacz Punkt odniesienia zabezpieczeń systemu Windows.

W przypadku serwera Azure Stack HCI, gdy zostaną spełnione wszystkie wymagania sprzętowe dla zabezpieczonego rdzenia, wynik zgodności to 281 na 288 reguł — czyli 281 na 288 reguł jest zgodnych.

W poniższej tabeli opisano reguły, które nie są zgodne, oraz uzasadnienie bieżącej luki:

Nazwa reguły Oczekiwano Rzeczywiste Logika Komentarze
Logowanie interakcyjne: tekst komunikatu dla użytkowników próbujących się zalogować Expected: Faktyczny: Operator:
UWAGAQUALS
Oczekujemy, że ta wartość zostanie zdefiniowana bez kontrolki dryfu.
Logowanie interakcyjne: tytuł komunikatu dla użytkowników próbujących się zalogować Expected: Faktyczny: Operator:
UWAGAQUALS
Oczekujemy, że ta wartość zostanie zdefiniowana bez kontrolki dryfu.
Minimalna długość hasła Oczekiwano: 14 Wartość rzeczywista: 0 Operator:
GREATEROREQUAL
Oczekujemy, że zdefiniujesz tę wartość bez kontroli dryfu, która jest zgodna z zasadami organizacji.
Zapobieganie pobieraniu metadanych urządzenia z Internetu Oczekiwano: 1 Wartość rzeczywista: (null) Operator:
EQUALS
Ta kontrolka nie ma zastosowania do usługi Azure Stack HCI.
Uniemożliwianie użytkownikom i aplikacjom uzyskiwania dostępu do niebezpiecznych witryn internetowych Oczekiwano: 1 Wartość rzeczywista: (null) Operator:
EQUALS
Ta kontrolka jest częścią ochrony usługi Windows Defender, która nie jest domyślnie włączona.
Możesz ocenić, czy chcesz włączyć.
Ścieżki UNC ze wzmocnionym zabezpieczeniami — NETLOGON Oczekiwany:
RequireMutualAuthentication=1
RequireIntegrity=1
Wartość rzeczywista: RequireMutualAuthentication=1
RequireIntegrity=1
WymagajPrywatność=1
Operator:
EQUALS
Rozwiązanie Azure Stack HCI jest bardziej restrykcyjne.
Tę regułę można bezpiecznie zignorować.
Ścieżki UNC ze wzmocnionym zabezpieczeniami — SYSVOL Oczekiwany:
RequireMutualAuthentication=1
RequireIntegrity=1
Faktyczny:
RequireMutualAuthentication=1
RequireIntegrity=1
WymagajPrywatność=1
Operator:
EQUALS
Rozwiązanie Azure Stack HCI jest bardziej restrykcyjne.
Tę regułę można bezpiecznie zignorować.

Zarządzanie wartościami domyślnymi zabezpieczeń za pomocą programu PowerShell

Po włączeniu ochrony dryfu można modyfikować tylko niechronione ustawienia zabezpieczeń. Aby zmodyfikować chronione ustawienia zabezpieczeń, które tworzą punkt odniesienia, należy najpierw wyłączyć ochronę dryfu. Aby wyświetlić i pobrać pełną listę ustawień zabezpieczeń, zobacz Punkt odniesienia zabezpieczeń.

Modyfikowanie wartości domyślnych zabezpieczeń

Rozpocznij od początkowego punktu odniesienia zabezpieczeń, a następnie zmodyfikuj kontrolę dryfu i chronione ustawienia zabezpieczeń zdefiniowane podczas wdrażania.

Włączanie kontrolki dryfu

Aby włączyć kontrolę dryfu, wykonaj następujące czynności:

  1. Połącz się z węzłem azure Stack HCI.

  2. Uruchom następujące polecenia cmdlet:

    Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    
    • Lokalne — dotyczy tylko węzła lokalnego.
    • Klaster — wpływa na wszystkie węzły w klastrze przy użyciu orkiestratora.

Wyłączanie kontrolki dryfu

Aby wyłączyć kontrolkę dryfu, wykonaj następujące czynności:

  1. Połącz się z węzłem azure Stack HCI.

  2. Uruchom następujące polecenia cmdlet:

    Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    
    • Lokalne — dotyczy tylko węzła lokalnego.
    • Klaster — wpływa na wszystkie węzły w klastrze przy użyciu orkiestratora.

Ważne

Jeśli wyłączysz kontrolkę dryfu, ustawienia chronione można modyfikować. Jeśli ponownie włączysz kontrolkę dryfu, wszelkie zmiany wprowadzone w ustawieniach chronionych zostaną zastąpione.

Konfigurowanie ustawień zabezpieczeń podczas wdrażania

W ramach wdrażania można modyfikować kontrolę dryfu i inne ustawienia zabezpieczeń, które stanowią punkt odniesienia zabezpieczeń w klastrze.

W poniższej tabeli opisano ustawienia zabezpieczeń, które można skonfigurować w klastrze usługi Azure Stack HCI podczas wdrażania.

Obszar funkcji Funkcja opis Obsługuje kontrolę dryfu?
Ład korporacyjny Punkt odniesienia zabezpieczeń Zachowuje wartości domyślne zabezpieczeń na każdym serwerze. Pomaga chronić przed zmianami. Tak
Ochrona poświadczeń Windows Defender Credential Guard Używa zabezpieczeń opartych na wirtualizacji, aby odizolować wpisy tajne od ataków polegających na kradzieży poświadczeń. Tak
Sterowanie aplikacjami Kontrola aplikacji usługi Windows Defender Określa, które sterowniki i aplikacje mogą być uruchamiane bezpośrednio na każdym serwerze. Nie.
Szyfrowanie danych magazynowanych Funkcja BitLocker dla woluminu rozruchowego systemu operacyjnego Szyfruje wolumin uruchamiania systemu operacyjnego na każdym serwerze. Nie.
Szyfrowanie danych magazynowanych Funkcja BitLocker dla woluminów danych Szyfruje udostępnione woluminy klastra (CSV) w tym klastrze Nie.
Ochrona danych przesyłanych Podpisywanie dla zewnętrznego ruchu SMB Podpisuje ruch SMB między tym systemem a innymi, aby zapobiec atakom przekazywania. Tak
Ochrona danych przesyłanych Szyfrowanie SMB dla ruchu w klastrze Szyfruje ruch między serwerami w klastrze (w sieci magazynu). Nie.

Modyfikowanie ustawień zabezpieczeń po wdrożeniu

Po zakończeniu wdrażania można użyć programu PowerShell do modyfikowania ustawień zabezpieczeń przy zachowaniu kontroli dryfu. Niektóre funkcje wymagają ponownego uruchomienia, aby zaczęły obowiązywać.

Właściwości polecenia cmdlet programu PowerShell

Następujące właściwości polecenia cmdlet dotyczą modułu AzureStackOSConfigAgent . Moduł jest instalowany podczas wdrażania.

  • Get-AzsSecurity -Scope: <Local | PerNode | AllNodes | Klaster>

    • Local — udostępnia wartość logiczną (true/False) w węźle lokalnym. Można uruchomić z poziomu regularnej zdalnej sesji programu PowerShell.
    • PerNode — udostępnia wartość logiczną (prawda/fałsz) na węzeł.
    • Raport — wymaga protokołu CredSSP lub serwera Azure Stack HCI przy użyciu połączenia protokołu RDP(Remote Desktop Protocol).
      • AllNodes — udostępnia wartość logiczną (prawda/fałsz) obliczoną między węzłami.
      • Cluster — udostępnia wartość logiczną z magazynu ECE. Współdziała z orkiestratorem i działa we wszystkich węzłach w klastrze.
  • Enable-AzsSecurity -Scope <Local | Klaster>

  • Disable-AzsSecurity -Scope <Local | Klaster>

    • FeatureName — <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
      • Drift, kontrolka
      • Credential Guard
      • VBS (Zabezpieczenia oparte na wirtualizacji) — obsługujemy tylko polecenie enable.
      • DRTM (dynamiczny katalog zaufania dla miary)
      • HVCI (funkcja Hypervisor wymuszana, jeśli integralność kodu)
      • Środki zaradcze kanału bocznego
      • Podpisywanie protokołu SMB
      • Szyfrowanie klastra SMB

Poniższa tabela zawiera dokumenty dotyczące obsługiwanych funkcji zabezpieczeń, niezależnie od tego, czy obsługują kontrolę dryfu oraz czy do zaimplementowania funkcji jest wymagany ponowny rozruch.

Nazwisko Funkcja Obsługuje kontrolkę dryfu Wymagany ponowny rozruch
Włącz funkcję
Zabezpieczenia oparte na wirtualizacji (VBS) Tak Tak
Włącz funkcję
Credential Guard Tak Tak
Włącz funkcję
Wyłącz
Dynamiczny katalog zaufania dla pomiaru (DRTM) Tak Tak
Włącz funkcję
Wyłącz
Integralność kodu chronionego przez funkcję Hypervisor (HVCI) Tak Tak
Włącz funkcję
Wyłącz
Środki zaradcze kanału bocznego Tak Tak
Włącz funkcję
Wyłącz
Podpisywanie protokołu SMB Tak Tak
Włącz funkcję
Wyłącz
Szyfrowanie klastra SMB Nie, ustawienie klastra Nie.

Następne kroki