Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Azure Local 2311.2 e posterior
Este artigo descreve como gerenciar as configurações de segurança padrão para sua instância do Local do Azure. Você também pode modificar o controle de descompasso e as configurações de segurança protegidas estabelecidas durante a implementação para que seu dispositivo inicie em um estado estável e conhecido.
Pré-requisitos
Antes de começar, verifique se você tem acesso a um sistema local do Azure implantado, registrado e conectado ao Azure.
Exibir as configurações padrão de segurança no portal do Azure
Para visualizar as configurações padrão de segurança no portal do Azure, certifique-se de que você aplicou a iniciativa MCSB. Para obter mais informações, consulte Aplicar a iniciativa Microsoft Cloud Security Benchmark.
Você pode usar as configurações padrão de segurança para gerenciar a segurança do sistema, o controle de deriva e as configurações do núcleo protegido no seu sistema.
Exiba o status de assinatura SMB na guiaProteção de Rede das > de Dados. A assinatura SMB permite que você assine digitalmente o tráfego SMB entre uma instância local do Azure e outros sistemas.
Exibir a conformidade da linha de base de segurança no portal do Azure
Depois de registrar sua instância local do Azure no Microsoft Defender para Nuvem ou atribuir a política interna, os computadores Windows deverão atender aos requisitos da linha de base de segurança de computação do Azure, um relatório de conformidade será gerado. Para obter a lista completa de regras à qual sua instância local do Azure é comparada, consulte a linha de base de segurança do Windows.
Para uma máquina Local do Azure, quando todos os requisitos de hardware para o Secured-core são atendidos, a pontuação de conformidade padrão esperada é 321 de 324 regras, ou seja, 99% das regras estão em conformidade.
A tabela a seguir explica as regras que não estão em conformidade e a lógica da lacuna atual:
| Nome da regra | Estado de conformidade | Motivo | Comentários |
|---|---|---|---|
| Logon interativo: texto de mensagem para usuários tentando fazer logon | Não conformidade | Aviso - ""é igual a"" | Isso deve ser definido pelo cliente, não possui controle de descompasso habilitado. |
| Logon interativo: Título da mensagem para usuários tentando fazer logon | Não está em conformidade | Aviso - "" é igual a "" | Isso deve ser definido pelo cliente, não possui controle de descompasso habilitado. |
| Comprimento mínimo da senha | Não está em conformidade | Crítico - Sete é menor que o valor mínimo de 14. | Isso deve ser definido pelo cliente, não tem controle de descompasso habilitado para permitir que essa configuração se alinhe com as políticas da sua organização. |
Corrigir o cumprimento das regras
Para corrigir a conformidade das regras, execute os seguintes comandos ou use qualquer outra ferramenta de sua preferência:
Aviso legal: crie um valor personalizado para aviso legal, dependendo das necessidades e políticas da sua organização. Execute os comandos a seguir:
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice" Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"Tamanho mínimo da senha: defina a política mínima de comprimento de senha como 14 caracteres no computador local do Azure. O valor padrão é 7, e qualquer valor abaixo de 14 ainda é sinalizado pela política de linha de base de monitoramento. Execute os comandos a seguir:
net accounts /minpwlen:14
Gerencie os padrões de segurança com o PowerShell
Com a proteção contra descompasso habilitada, você só pode modificar as configurações de segurança não protegidas. Para modificar as configurações de segurança protegidas que formam a linha de base, você deve primeiro desabilitar a proteção contra descompasso.
Exibir e baixar configurações de segurança
Use a tabela a seguir para exibir e baixar a lista completa de configurações de segurança com base na versão de software que você está executando.
| Versão da solução local do Azure | Executando a versão do sistema operacional local do Azure | Baixar link para o arquivo csv de configurações |
|---|---|---|
| 2505 implantações existentes | Executar o build 25398.xxxx do sistema operacional e conectado ao domínio | Download da linha de base de segurança |
| 2506 novas implantações | Executar o build 26100.xxxx do sistema operacional e conectado ao domínio | Download da linha de base de segurança |
| 2506 implantações existentes | Executando o build 26100.xxxx do sistema operacional e não conectado ao domínio (também conhecido como AD-less) | Download da linha de base de segurança |
Modificar padrões de segurança
Comece com a linha de base de segurança inicial e, em seguida, modifique o controle de descompasso e as configurações de segurança protegida definidas durante a implantação.
Habilitar controle de descompasso
Use as seguintes etapas para habilitar o controle de descompasso:
Conecte-se à sua máquina do Local do Azure.
Execute o cmdlet a seguir:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local – Afeta somente o nó local.
- Cluster – Afeta todos os nós no cluster que usam o orquestrador.
Desabilitar o controle de descompasso
Use as etapas a seguir para desabilitar o controle de descompasso:
Conecte-se à sua máquina do Local do Azure.
Execute o cmdlet a seguir:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local – Afeta somente o nó local.
- Cluster – Afeta todos os nós no cluster que usam o orquestrador.
Importante
Se você desabilitar o controle de descompasso, as configurações protegidas poderão ser modificadas. Se você habilitar o controle de descompasso novamente, todas as alterações feitas nas configurações protegidas serão substituídas.
Configurar as definições de segurança durante a implantação
Como parte da implantação, você pode modificar o controle de descompasso e outras configurações de segurança que constituem a linha de base de segurança no cluster.
A tabela a seguir descreve as configurações de segurança que podem ser definidas em sua instância local do Azure durante a implantação.
| Área do recurso | Recurso | Descrição | Suporta controle de descompasso? |
|---|---|---|---|
| Governança | Linha de base de segurança | Mantém os padrões de segurança em cada nó. Ajuda a proteger contra alterações. | Sim |
| Proteção de credenciais | Windows Defender Credential Guard | Usa segurança baseada em virtualização para isolar segredos de ataques de roubo de credenciais. | Sim |
| Controle do aplicativo | Controle de aplicativo do Windows Defender | Controla quais drivers e aplicativos podem ser executados diretamente em cada nó. | Não |
| Criptografia de dados em repouso | BitLocker para volume de inicialização do sistema operacional | Criptografa o volume de inicialização do SO em cada nó. | Não |
| Criptografia de dados em repouso | BitLocker para volumes de dados | Criptografa volumes compartilhados de cluster (CSVs) neste sistema | Não |
| Proteção de dados em trânsito | Assinatura do tráfego SMB externo | Assina o tráfego SMB entre este sistema e outros para ajudar a evitar ataques de retransmissão. | Sim |
| Proteção de dados em trânsito | Criptografia SMB para tráfego no cluster | Criptografa o tráfego entre os nós do sistema (em sua rede de armazenamento). | Não |
Modificar as configurações de segurança após a implantação
Após a conclusão da implantação, você pode usar o PowerShell para modificar as configurações de segurança, mantendo o controle de desvio. Alguns recursos exigem uma reinicialização para entrar em vigor.
Propriedades do cmdlet do PowerShell
As propriedades de cmdlet a seguir são para o módulo AzureStackOSConfigAgent . O módulo é instalado durante a implantação.
Get-AzsSecurity-Escopo: <Local | PerNode | AllNodes | Cluster>- Local – Fornece um valor booliano (true/false) no nó local. Pode ser executado em uma sessão remota regular do PowerShell.
- PerNode – Fornece um valor booliano (true/false) por nó.
- Relatório – Requer CredSSP ou um computador local do Azure usando uma conexão RDP (protocolo de área de trabalho remota).
- AllNodes – Fornece valor booliano (verdadeiro/falso) calculado entre nós.
- Cluster – Fornece valor booliano do repositório ECE. Interage com o orquestrador e atua em todos os nós do cluster.
Enable-AzsSecurity-Escopo <Local | Cluster>Disable-AzsSecurity-Escopo <Local | Cluster>FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Controle de descompasso
- Guarda de Credenciais
- VBS (Segurança baseada em virtualização) - Oferecemos suporte apenas ao comando habilitar.
- DRTM (raiz dinâmica de confiança para medição)
- HVCI (integridade de código if imposta pelo hipervisor)
- Mitigação de canal lateral
- Assinatura SMB
- Criptografia de cluster SMB
Importante
Os cmdlets
Enable AzsSecurityeDisable AzsSecuritysó são disponibilizados em novas implantações ou em implantações atualizadas depois que as linhas de base de segurança são aplicadas corretamente aos nós. Para obter mais informações, consulte Gerenciar a segurança depois de atualizar o Azure Local.
A tabela a seguir documenta os recursos de segurança suportados, se eles suportam o controle de descompasso e se é necessário reinicializar para implementar o recurso.
| Nome | Recurso | Suporta controle de descompasso | Reinicialização necessária |
|---|---|---|---|
| Habilitar |
Segurança Baseada em Virtualização (VBS) | Sim | Sim |
| Habilitar |
Guarda de Credenciais | Sim | Sim |
| Habilitar Desabilitar |
DRTM (raiz dinâmica de confiança para medição) | Sim | Sim |
| Habilitar Desabilitar |
Integridade de código protegida por hipervisor (HVCI) | Sim | Sim |
| Habilitar Desabilitar |
Mitigação de canal lateral | Sim | Sim |
| Habilitar Desabilitar |
Assinatura SMB | Sim | Sim |
| Habilitar Desabilitar |
Criptografia de cluster SMB | Não, configuração de cluster | Não |