Gerenciar padrões de segurança para o Azure Stack HCI, versão 23H2
Aplica-se a: Azure Stack HCI, versão 23H2
Este artigo descreve como gerenciar as configurações de segurança padrão para seu cluster HCI do Azure Stack. Você também pode modificar o controle de desvio e as configurações de segurança protegidas definidas durante a implantação para que seu dispositivo seja iniciado em um bom estado.
Pré-requisitos
Antes de começar, certifique-se de que tem acesso a um sistema Azure Stack HCI, versão 23H2 que está implementado, registado e ligado ao Azure.
Exibir configurações padrão de segurança no portal do Azure
Para exibir as configurações padrão de segurança no portal do Azure, verifique se você aplicou a iniciativa MCSB. Para obter mais informações, consulte Aplicar a iniciativa Microsoft Cloud Security Benchmark.
Você pode usar as configurações padrão de segurança para gerenciar a segurança do cluster, o controle de desvio e as configurações do servidor núcleo seguro no cluster.
Exiba o status de assinatura SMB na guia Proteção de rede Proteção de> dados. A assinatura SMB permite que você assine digitalmente o tráfego SMB entre um sistema HCI do Azure Stack e outros sistemas.
Exibir a conformidade da linha de base de segurança no portal do Azure
Depois de registrar seu sistema Azure Stack HCI com o Microsoft Defender for Cloud ou atribuir a política interna que as máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure, um relatório de conformidade é gerado. Para obter a lista completa de regras com as quais seu servidor HCI do Azure Stack é comparado, consulte Linha de base de segurança do Windows.
Para o servidor HCI do Azure Stack, quando todos os requisitos de hardware para Secured-core são atendidos, a pontuação de conformidade é 281 de 288 regras - ou seja, 281 de 288 regras são compatíveis.
A tabela a seguir explica as regras que não estão em conformidade e a lógica da lacuna atual:
| Nome da regra | Esperado | Valor Real | Lógica | Comentários |
|---|---|---|---|---|
| Início de sessão interativo: mensagem de texto para os utilizadores a tentar iniciar a sessão | Esperado: | Real: | Operador: OBSERVAÇÕES |
Esperamos que você defina esse valor sem nenhum controle de deriva. |
| Início de sessão interativo: título de mensagem para os utilizadores a tentar iniciar a sessão | Esperado: | Real: | Operador: OBSERVAÇÕES |
Esperamos que você defina esse valor sem nenhum controle de deriva. |
| Comprimento mínimo da palavra-passe | Esperado: 14 | Real: 0 | Operador: GREATEROREQUAL |
Esperamos que você defina esse valor sem nenhum controle de desvio em vigor que esteja alinhado com a política da sua organização. |
| Impedir a recuperação de metadados do dispositivo da Internet | Esperado: 1 | Real: (nulo) | Operador: IGUAL |
Esse controle não se aplica ao Azure Stack HCI. |
| Impedir que utilizadores e aplicações acedam a Web sites perigosos | Esperado: 1 | Real: (nulo) | Operador: IGUAL |
Esse controle faz parte das proteções do Windows Defender, não habilitadas por padrão. Você pode avaliar se deseja habilitar. |
| Caminhos UNC protegidos - NETLOGON | Esperado: RequireMutualAuthentication=1 RequireIntegrity=1 |
Real: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operador: IGUAL |
O Azure Stack HCI é mais restritivo. Esta regra pode ser ignorada com segurança. |
| Caminhos UNC endurecidos - SYSVOL | Esperado: RequireMutualAuthentication=1 RequireIntegrity=1 |
Real: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operador: IGUAL |
O Azure Stack HCI é mais restritivo. Esta regra pode ser ignorada com segurança. |
Gerenciar padrões de segurança com o PowerShell
Com a proteção contra desvio ativada, você só pode modificar configurações de segurança não protegidas. Para modificar as configurações de segurança protegidas que formam a linha de base, você deve primeiro desabilitar a proteção contra desvio. Para visualizar e transferir a lista completa de definições de segurança, consulte Linha de base de segurança.
Modificar padrões de segurança
Comece com a linha de base de segurança inicial e, em seguida, modifique o controle de desvio e as configurações de segurança protegidas definidas durante a implantação.
Ativar o controle de desvio
Use as seguintes etapas para habilitar o controle de deriva:
Conecte-se ao nó HCI do Azure Stack.
Execute o seguinte cmdlet:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local - Afeta apenas o nó local.
- Cluster - Afeta todos os nós do cluster usando o orquestrador.
Desativar o controle de desvio
Use as seguintes etapas para desativar o controle de deriva:
Conecte-se ao nó HCI do Azure Stack.
Execute o seguinte cmdlet:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local - Afeta apenas o nó local.
- Cluster - Afeta todos os nós do cluster usando o orquestrador.
Importante
Se você desativar o controle de deriva, as configurações protegidas poderão ser modificadas. Se você habilitar o controle de desvio novamente, todas as alterações feitas nas configurações protegidas serão substituídas.
Definir configurações de segurança durante a implantação
Como parte da implantação, você pode modificar o controle de desvio e outras configurações de segurança que constituem a linha de base de segurança em seu cluster.
A tabela a seguir descreve as configurações de segurança que podem ser definidas em seu cluster HCI do Azure Stack durante a implantação.
| Área de funcionalidades | Caraterística | Description | Suporta controlo de deriva? |
|---|---|---|---|
| Governação | Linha de base de segurança | Mantém os padrões de segurança em cada servidor. Ajuda a proteger contra alterações. | Sim |
| Proteção de credenciais | Proteção de credenciais do Windows Defender | Usa segurança baseada em virtualização para isolar segredos de ataques de roubo de credenciais. | Sim |
| Controlo de aplicações | Controle de aplicativo do Windows Defender | Controla quais drivers e aplicativos podem ser executados diretamente em cada servidor. | Não |
| Criptografia de dados em repouso | Volume de inicialização do BitLocker para SO | Encripta o volume de arranque do SO em cada servidor. | Não |
| Criptografia de dados em repouso | BitLocker para volumes de dados | Criptografa volumes compartilhados de cluster (CSVs) neste cluster | Não |
| Proteção de dados em trânsito | Assinatura para tráfego SMB externo | Sinaliza o tráfego SMB entre este sistema e outros para ajudar a evitar ataques de retransmissão. | Sim |
| Proteção de dados em trânsito | Criptografia SMB para tráfego em cluster | Criptografa o tráfego entre servidores no cluster (na rede de armazenamento). | Não |
Modificar configurações de segurança após a implantação
Após a conclusão da implantação, você pode usar o PowerShell para modificar as configurações de segurança, mantendo o controle de desvio. Alguns recursos exigem uma reinicialização para entrar em vigor.
Propriedades do cmdlet do PowerShell
As propriedades do cmdlet a seguir são para o módulo AzureStackOSConfigAgent . O módulo é instalado durante a implantação.
Get-AzsSecurity-Âmbito: <Local | PerNode | AllNodes - Portugal | Aglomeração>- Local - Fornece valor booleano (true/False) no nó local. Pode ser executado a partir de uma sessão remota regular do PowerShell.
- PerNode - Fornece valor booleano (true/False) por nó.
- Relatório - Requer CredSSP ou um servidor HCI do Azure Stack usando uma conexão RDP (protocolo de área de trabalho remota).
- AllNodes – Fornece valor booleano (true/False) computado entre nós.
- Cluster – Fornece valor booleano do armazenamento ECE. Interage com o orquestrador e atua para todos os nós do cluster.
Enable-AzsSecurity-Âmbito <Local | Aglomeração>Disable-AzsSecurity-Âmbito <Local | Aglomeração>- FeatureName - <CredentialGuard | Controlo de Deriva | DRTM | AVCI | SideChannelMitigation | SMBEncryption - Brasil | SMBSigning | VBS>
- Controlo de deriva
- Credential Guard
- VBS (Virtualization Based Security)- Suportamos apenas o comando enable .
- DRTM (Raiz Dinâmica de Confiança para Medição)
- HVCI (Hypervisor Enforced if Code Integrity)
- Mitigação de canal lateral
- Assinatura SMB
- Criptografia de cluster SMB
- FeatureName - <CredentialGuard | Controlo de Deriva | DRTM | AVCI | SideChannelMitigation | SMBEncryption - Brasil | SMBSigning | VBS>
A tabela a seguir documenta os recursos de segurança suportados, se eles suportam controle de desvio e se uma reinicialização é necessária para implementar o recurso.
| Nome | Caraterística | Suporta controle de deriva | Reinício necessário |
|---|---|---|---|
| Ativar |
Segurança baseada em virtualização (VBS) | Sim | Sim |
| Ativar |
Credential Guard | Sim | Sim |
| Ativar Desativar |
Raiz dinâmica de confiança para medição (DRTM) | Sim | Sim |
| Ativar Desativar |
Integridade de código protegida por hipervisor (HVCI) | Sim | Sim |
| Ativar Desativar |
Atenuação do canal lateral | Sim | Sim |
| Ativar Desativar |
Assinatura SMB | Sim | Sim |
| Ativar Desativar |
Criptografia de cluster SMB | Não, configuração de cluster | Não |
Próximos passos
- Entenda a criptografia BitLocker.