Управление значениями безопасности по умолчанию для Azure Stack HCI версии 23H2
Область применения: Azure Stack HCI, версия 23H2
В этой статье описывается, как управлять параметрами безопасности по умолчанию для кластера Azure Stack HCI. Вы также можете изменить параметры управления смещением и защищенные параметры безопасности, определенные во время развертывания, чтобы устройство запускалось в известном работоспособном состоянии.
Предварительные требования
Прежде чем начать, убедитесь, что у вас есть доступ к системе Azure Stack HCI версии 23H2, которая развернута, зарегистрирована и подключена к Azure.
Просмотр параметров безопасности по умолчанию в портал Azure
Чтобы просмотреть параметры безопасности по умолчанию в портал Azure, убедитесь, что вы применили инициативу MCSB. Дополнительные сведения см. в статье Применение инициативы Microsoft Cloud Security Benchmark.
Параметры безопасности по умолчанию можно использовать для управления безопасностью кластера, контролем смещения и параметрами защищенного основного сервера в кластере.
Просмотрите состояние подписи SMB на вкладке Защита>данных Защита сети . Подписывание SMB позволяет цифровой подписывать трафик SMB между системой Azure Stack HCI и другими системами.
Просмотр соответствия базовым показателям безопасности в портал Azure
После регистрации системы Azure Stack HCI с помощью Microsoft Defender для облака или назначения встроенной политики для серверов создается отчет. На этом этапе компьютеры с Windows должны соответствовать требованиям базовых показателей безопасности вычислений Azure. Полный список правил, с которые сравнивается сервер Azure Stack HCI, см. в статье Базовые показатели безопасности Windows.
Для сервера Azure Stack HCI при выполнении всех требований к оборудованию для secured-core оценка соответствия составляет 281 из 288. Эта оценка указывает, что 281 из 288 правил соответствуют требованиям.
В следующей таблице описаны правила, которые не соответствуют требованиям, и обоснование текущего разрыва.
| Имя правила | Ожидаемые | Actual | Логика | Комментарии |
|---|---|---|---|---|
| Интерактивный вход в систему: текст сообщения для пользователей при входе в систему | Ожидается: | Фактическое: | Оператор: NOTEQUALS |
Мы ожидаем, что вы определите это значение без элемента управления смещением. |
| Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему | Ожидается: | Фактическое: | Оператор: NOTEQUALS |
Мы ожидаем, что вы определите это значение без элемента управления смещением. |
| Минимальная длина пароля | Ожидается: 14 | Фактический: 0 | Оператор: GREATEROREQUAL |
Мы ожидаем, что вы определите это значение без контроля смещения, соответствующего политике вашей организации. |
| Запретить получение метаданных устройств из Интернета | Ожидается: 1 | Фактический: (null) | Оператор: EQUALS |
Этот элемент управления не применяется к Azure Stack HCI. |
| Не разрешать пользователям и приложениям доступ к опасным веб-сайтам | Ожидается: 1 | Фактический: (null) | Оператор: EQUALS |
Этот элемент управления является частью Защитник Windows защиты, не включенной по умолчанию. Вы можете оценить, хотите ли вы включить. |
| Защищенные UNC-пути — NETLOGON | Ожидается: RequireMutualAuthentication=1 RequireIntegrity=1 |
Фактический: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Оператор: EQUALS |
Azure Stack HCI является более строгим. Это правило можно спокойно игнорировать. |
| Защищенные UNC-пути — SYSVOL | Ожидается: RequireMutualAuthentication=1 RequireIntegrity=1 |
Фактическое: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Оператор: EQUALS |
Azure Stack HCI является более строгим. Это правило можно спокойно игнорировать. |
Управление параметрами безопасности по умолчанию с помощью PowerShell
При включенной защите от смещения можно изменять только незащищенные параметры безопасности. Чтобы изменить защищенные параметры безопасности, которые формируют базовые показатели, необходимо сначала отключить защиту от смещения. Чтобы просмотреть и скачать полный список параметров безопасности, см. раздел SecurityBaseline.
Изменение параметров безопасности по умолчанию
Начните с начального базового плана безопасности, а затем измените управление смещением и защищенные параметры безопасности, определенные во время развертывания.
Включение управления смещением
Чтобы включить управление смещением, выполните следующие действия.
Подключитесь к узлу Azure Stack HCI.
Выполните следующий командлет:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Локальный — влияет только на локальный узел.
- Кластер — влияет на все узлы в кластере с помощью оркестратора.
Отключение управления смещением
Чтобы отключить управление смещением, выполните следующие действия.
Подключитесь к узлу Azure Stack HCI.
Выполните следующий командлет:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Локальный — влияет только на локальный узел.
- Кластер — влияет на все узлы в кластере с помощью оркестратора.
Настройка параметров безопасности во время развертывания
В рамках развертывания можно изменить управление смещением и другие параметры безопасности, которые составляют базовые показатели безопасности в кластере.
В следующей таблице описаны параметры безопасности, которые можно настроить в кластере Azure Stack HCI во время развертывания.
| Область применения компонента | Компонент | Описание | Поддерживает управление смещением? |
|---|---|---|---|
| Система управления | Базовые средства безопасности | Поддерживает параметры безопасности по умолчанию на каждом сервере. Помогает защититься от изменений. | Да |
| Защита учетных данных | Credential Guard в Защитнике Windows | Использует безопасность на основе виртуализации для изоляции секретов от атак на кражу учетных данных. | Да |
| Управление приложением | элемент управления приложениями Защитник Windows | Определяет, какие драйверы и приложения разрешено запускать непосредственно на каждом сервере. | Нет |
| Шифрование неактивных данных | BitLocker для загрузочного тома ОС | Шифрует начальный том ОС на каждом сервере. | Нет |
| Шифрование неактивных данных | BitLocker для томов данных | Шифрует общие тома кластера (CSV) в этом кластере | Нет |
| Защита передаваемых данных | Подписывание для внешнего трафика SMB | Подписывает трафик SMB между этой системой и другими пользователями, чтобы предотвратить атаки ретранслятора. | Да |
| Защита передаваемых данных | Шифрование SMB для трафика в кластере | Шифрует трафик между серверами в кластере (в сети хранения данных). | Нет |
Изменение параметров безопасности после развертывания
После завершения развертывания можно использовать PowerShell для изменения параметров безопасности, сохраняя при этом управление смещением. Чтобы некоторые функции вступили в силу, требуется перезагрузка.
Свойства командлета PowerShell
Следующие свойства командлета предназначены для модуля AzureStackOSConfigAgent . Модуль устанавливается во время развертывания.
Get-AzsSecurity-Scope: <Local | PerNode | AllNodes | Кластера>- Local — предоставляет логическое значение (true/False) на локальном узле. Может выполняться из обычного удаленного сеанса PowerShell.
- PerNode — предоставляет логическое значение (true/false) для каждого узла.
- Отчет . Требуется CredSSP или сервер Azure Stack HCI с использованием подключения по протоколу удаленного рабочего стола (RDP).
- AllNodes — предоставляет логическое значение (true или false), вычисляемое на разных узлах.
- Кластер — предоставляет логическое значение из хранилища JSON. Взаимодействует с оркестратором и действует со всеми узлами в кластере.
Enable-AzsSecurity-Область <локальной | Кластера>Disable-AzsSecurity-Область <локальной | Кластера>- FeatureName — <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Credential Guard
- Управление смещением
- VBS (безопасность на основе виртуализации). Мы поддерживаем только команду enable.
- DRTM (динамический корень доверия для измерения)
- HVCI (гипервизор, применяемый при целостности кода)
- Устранение рисков бокового канала
- Шифрование SMB
- Подписывание SMB
- FeatureName — <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
В следующей таблице перечислены поддерживаемые функции безопасности, поддерживаются ли они управление смещением и требуется ли перезагрузка для реализации функции.
| Имя | Компонент | Поддерживает управление смещением | Требуется перезагрузка |
|---|---|---|---|
| Включить |
Безопасность на основе виртуализации (VBS) | Да | Да |
| Включить Отключить |
Динамический корень доверия для измерения (DRTM) | Да | Да |
| Включить Отключить |
Целостность кода, защищенная гипервизором (HVCI) | Да | Да |
| Включить Отключить |
Устранение рисков по боковому каналу | Да | Да |
| Включить Отключить |
Подписывание SMB | Да | Да |
| Включить Отключить |
Шифрование кластера SMB | Нет, параметр кластера | Нет |
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по