Gerir as predefinições de segurança do Azure Stack HCI, versão 23H2
Aplica-se a: Azure Stack HCI, versão 23H2
Este artigo descreve como gerir as predefinições de segurança do cluster do Azure Stack HCI. Também pode modificar o controlo de desfasamento e as definições de segurança protegidas definidas durante a implementação para que o dispositivo comece num bom estado conhecido.
Pré-requisitos
Antes de começar, certifique-se de que tem acesso a um sistema do Azure Stack HCI, versão 23H2 implementado, registado e ligado ao Azure.
Ver as predefinições de segurança no portal do Azure
Para ver as predefinições de segurança no portal do Azure, certifique-se de que aplicou a iniciativa MCSB. Para obter mais informações, veja Apply Microsoft Cloud Security Benchmark initiative (Aplicar a iniciativa Referência de Segurança da Cloud da Microsoft).
Pode utilizar as predefinições de segurança para gerir a segurança do cluster, o controlo de desfasamento e as definições do servidor de núcleo protegido no cluster.
Veja o estado de assinatura SMB no separadorProteção de rede Proteção de rede >proteção de dados. A assinatura SMB permite-lhe assinar digitalmente o tráfego SMB entre um sistema HCI do Azure Stack e outros sistemas.
Ver a conformidade da linha de base de segurança no portal do Azure
Depois de inscrever o sistema Azure Stack HCI com o Microsoft Defender para Cloud ou atribuir a política incorporada, as máquinas windows devem cumprir os requisitos da linha de base de segurança de computação do Azure, é gerado um relatório de conformidade. Para obter a lista completa de regras com as quais o servidor do Azure Stack HCI é comparado, veja Linha de base de segurança do Windows.
Para o servidor Azure Stack HCI, quando todos os requisitos de hardware do Secured-core são cumpridos, a classificação de conformidade é 281 em 288 regras, ou seja, 281 em 288 regras estão em conformidade.
A tabela seguinte explica as regras que não estão em conformidade e a lógica da lacuna atual:
| Nome da regra | Esperado | Atual | Lógica | Comentários |
|---|---|---|---|---|
| Início de sessão interativo: mensagem de texto para os utilizadores a tentar iniciar a sessão | Esperado: | Real: | Operador: NOTEQUALS |
Esperamos que defina este valor sem controlo de deriva. |
| Início de sessão interativo: título de mensagem para os utilizadores a tentar iniciar a sessão | Esperado: | Real: | Operador: NOTEQUALS |
Esperamos que defina este valor sem controlo de deriva. |
| Comprimento mínimo da palavra-passe | Esperado: 14 | Real: 0 | Operador: GREATEROREQUAL |
Esperamos que defina este valor sem controlo de desfasagem no local que se alinhe com a política da sua organização. |
| Impedir a obtenção de metadados de dispositivos a partir da Internet | Esperado: 1 | Real: (nulo) | Operador: É IGUAL A |
Este controlo não se aplica ao Azure Stack HCI. |
| Impedir que utilizadores e aplicações acedam a sites perigosos | Esperado: 1 | Real: (nulo) | Operador: É IGUAL A |
Este controlo faz parte das proteções do Windows Defender, não ativadas por predefinição. Pode avaliar se pretende ativar. |
| Caminhos UNC Protegidos - NETLOGON | Esperado: RequireMutualAuthentication=1 Exigir Integridade=1 |
Real: RequireMutualAuthentication=1 Exigir Integridade=1 RequirePrivacy=1 |
Operador: É IGUAL A |
O Azure Stack HCI é mais restritivo. Esta regra pode ser ignorada em segurança. |
| Caminhos UNC Protegidos - SYSVOL | Esperado: RequireMutualAuthentication=1 Exigir Integridade=1 |
Real: RequireMutualAuthentication=1 Exigir Integridade=1 RequirePrivacy=1 |
Operador: É IGUAL A |
O Azure Stack HCI é mais restritivo. Esta regra pode ser ignorada em segurança. |
Gerir predefinições de segurança com o PowerShell
Com a proteção de desfasamento ativada, só pode modificar definições de segurança não protegidas. Para modificar as definições de segurança protegidas que formam a linha de base, primeiro tem de desativar a proteção contra desvios. Para ver e transferir a lista completa de definições de segurança, veja Linha de Base de Segurança.
Modificar predefinições de segurança
Comece com a linha de base de segurança inicial e, em seguida, modifique o controlo de desfasamento e as definições de segurança protegidas definidas durante a implementação.
Ativar o controlo de desfasamento
Utilize os seguintes passos para ativar o controlo de desfasamento:
Ligue-se ao nó do Azure Stack HCI.
Execute o seguinte cmdlet:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local – afeta apenas o nó local.
- Cluster – afeta todos os nós no cluster com o orquestrador.
Desativar o controlo de desfasado
Utilize os seguintes passos para desativar o controlo de desfasado:
Ligue-se ao nó do Azure Stack HCI.
Execute o seguinte cmdlet:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local – afeta apenas o nó local.
- Cluster – afeta todos os nós no cluster com o orquestrador.
Importante
Se desativar o controlo de desfasamento, as definições protegidas podem ser modificadas. Se ativar novamente o controlo de desfasamento, as alterações efetuadas nas definições protegidas serão substituídas.
Configurar definições de segurança durante a implementação
Como parte da implementação, pode modificar o controlo de desfasamento e outras definições de segurança que constituem a linha de base de segurança no cluster.
A tabela seguinte descreve as definições de segurança que podem ser configuradas no cluster do Azure Stack HCI durante a implementação.
| Área de funcionalidades | Funcionalidade | Descrição | Suporta o controlo de desfasar? |
|---|---|---|---|
| Governação | Linha de base de segurança | Mantém as predefinições de segurança em cada servidor. Ajuda a proteger contra alterações. | Yes |
| Proteção de credenciais | Windows Defender Credential Guard | Utiliza a segurança baseada na virtualização para isolar segredos de ataques de roubo de credenciais. | Yes |
| Controlo da aplicação | Controlo da Aplicação do Windows Defender | Controla que controladores e aplicações podem ser executados diretamente em cada servidor. | No |
| Encriptação inativa de dados | BitLocker para o volume de arranque do SO | Encripta o volume de arranque do SO em cada servidor. | No |
| Encriptação inativa de dados | BitLocker para volumes de dados | Encripta volumes partilhados de cluster (CSVs) neste cluster | No |
| Proteção de dados em trânsito | Iniciar sessão para tráfego SMB externo | Assina o tráfego SMB entre este sistema e outros para ajudar a evitar ataques de reencaminhamento. | Yes |
| Proteção de dados em trânsito | Encriptação SMB para tráfego no cluster | Encripta o tráfego entre servidores no cluster (na sua rede de armazenamento). | No |
Modificar as definições de segurança após a implementação
Após a conclusão da implementação, pode utilizar o PowerShell para modificar as definições de segurança enquanto mantém o controlo de desfasamento. Algumas funcionalidades requerem um reinício para entrar em vigor.
Propriedades do cmdlet do PowerShell
As seguintes propriedades do cmdlet destinam-se ao módulo AzureStackOSConfigAgent . O módulo é instalado durante a implementação.
Get-AzsSecurity-Âmbito: <Local | PerNode | AllNodes | Cluster>- Local - Fornece valor booleano (verdadeiro/Falso) no nó local. Pode ser executado a partir de uma sessão remota regular do PowerShell.
- PerNode – fornece valor booleano (verdadeiro/Falso) por nó.
- Relatório – requer CredSSP ou um servidor do Azure Stack HCI através de uma ligação rdp (remote desktop protocol).
- AllNodes – fornece um valor booleano (verdadeiro/Falso) calculado entre nós.
- Cluster – fornece valor booleano a partir do arquivo ECE. Interage com o orquestrador e atua em todos os nós do cluster.
Enable-AzsSecurity-Âmbito <Local | Cluster>Disable-AzsSecurity-Âmbito <Local | Cluster>- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Credential Guard
- Controlo de Desfasar
- VBS (Virtualization Based Security)- Só suportamos o comando ativar.
- DRTM (Raiz Dinâmica de Confiança para Medição)
- HVCI (Hipervisor Imposto se Integridade do Código)
- Mitigação do Canal Lateral
- Encriptação SMB
- Assinatura SMB
- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
Os documentos de tabela seguintes suportavam funcionalidades de segurança, quer suportem o controlo de desfasado e se é necessário reiniciar para implementar a funcionalidade.
| Name | Funcionalidade | Suporta o controlo de desfasar | Reinício necessário |
|---|---|---|---|
| Ativar |
Virtualization Based Security (VBS) | Yes | Yes |
| Ativar Desativar |
Raiz Dinâmica de Confiança para Medição (DRTM) | Yes | Yes |
| Ativar Desativar |
Integridade do Código (HVCI) protegida pelo hipervisor | Yes | Yes |
| Ativar Desativar |
Mitigação do canal lateral | Yes | Yes |
| Ativar Desativar |
Assinatura SMB | Yes | Yes |
| Ativar Desativar |
Encriptação de cluster SMB | Não, definição de cluster | Não |
Próximos passos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários