Управление значениями безопасности по умолчанию для Azure Stack HCI версии 23H2

Область применения: Azure Stack HCI, версия 23H2

В этой статье описывается, как управлять параметрами безопасности по умолчанию для кластера Azure Stack HCI. Вы также можете изменить параметры управления смещением и защищенные параметры безопасности, определенные во время развертывания, чтобы устройство запускалось в известном работоспособном состоянии.

Предварительные требования

Прежде чем начать, убедитесь, что выполнены следующие предварительные требования.

  • У вас есть доступ к системе Azure Stack HCI версии 23H2, которая развернута, зарегистрирована и подключена к Azure.
  • Вы применили инициативу Microsoft Cloud Security Benchmark (MCSB). См. статью Применение инициативы Microsoft Cloud Security Benchmark.
  • У вас есть по крайней мере роли владельца или участника в подписке Azure для применения MCSB.

Применение инициативы Microsoft Cloud Security Benchmark

Чтобы просмотреть параметры безопасности с помощью портал Azure, необходимо применить инициативу MCSB одним из следующих методов:

  • (Рекомендуется) Включите план Microsoft Defender для cloud Foundational Cloud Security Security Management (CSPM) без дополнительных затрат и убедитесь, что применяется MCSB, как описано ниже.
  • Вручную примените базовый план безопасности вычислений Azure в политике Azure ко всем серверам кластера. См. раздел Базовые показатели безопасности Windows.

Выполните следующие действия, чтобы применить инициативу MCSB на уровне подписки.

  1. Войдите в портал Azure, найдите и выберите Microsoft Defender для облака.

    Снимок экрана: поиск Defender для облака в портал Azure.

  2. На левой панели прокрутите вниз до раздела Управление и выберите Параметры среды.

  3. На странице Параметры среды выберите используемую подписку в раскрывающемся списке.

    Снимок экрана: выбор подписки Azure.

  4. Выберите колонку Политики безопасности .

  5. Для microsoft Cloud Security Benchmark переключите кнопку Состояние в положение Вкл.

    Снимок экрана: переключение кнопки

  6. Подождите по крайней мере один час, пока инициатива политики Azure оценит включенные ресурсы.

Просмотр параметров безопасности по умолчанию в портал Azure

Используйте параметры безопасности по умолчанию для управления безопасностью кластера, управлением смещением и параметрами защищенного основного сервера в кластере.

Снимок экрана: страница

Просмотрите состояние подписи SMB на вкладке Защита>данных Защита сети . Подписывание SMB позволяет цифровой подписывать трафик SMB между системой Azure Stack HCI и другими системами.

Снимок экрана: состояние подписывания SMB в портал Azure.

Управление параметрами безопасности по умолчанию с помощью PowerShell

Если включена защита от смещения, вы можете изменять только незащищенные параметры безопасности. Чтобы изменить защищенные параметры безопасности, которые формируют базовые показатели, необходимо сначала отключить защиту от смещения. Чтобы просмотреть и скачать полный список параметров безопасности, см. раздел SecurityBaseline.

Изменение параметров безопасности по умолчанию

Начните с начального базового плана безопасности, а затем измените управление смещением и защищенные параметры безопасности, определенные во время развертывания.

Включение управления смещением

Чтобы включить управление смещением, выполните следующие действия.

  1. Подключитесь к узлу Azure Stack HCI.

  2. Выполните следующий командлет:

    Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    
    • Локальный — влияет только на локальный узел.
    • Кластер — влияет на все узлы в кластере с помощью оркестратора.

Отключение управления смещением

Чтобы отключить управление смещением, выполните следующие действия.

  1. Подключитесь к узлу Azure Stack HCI.

  2. Выполните следующий командлет:

    Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    
    • Локальный — влияет только на локальный узел.
    • Кластер — влияет на все узлы в кластере с помощью оркестратора.

Настройка параметров безопасности во время развертывания

В рамках развертывания можно изменить управление смещением и другие параметры безопасности, которые составляют базовые показатели безопасности в кластере.

В следующей таблице описаны параметры безопасности, которые можно настроить в кластере Azure Stack HCI во время развертывания.

Область применения компонента Компонент Описание Поддерживает управление смещением?
Система управления Базовые средства безопасности Поддерживает параметры безопасности по умолчанию на каждом сервере. Помогает защититься от изменений. Да
Защита учетных данных Credential Guard в Защитнике Windows Использует безопасность на основе виртуализации для изоляции секретов от атак на кражу учетных данных. Да
Управление приложением элемент управления приложениями Защитник Windows Определяет, какие драйверы и приложения разрешено запускать непосредственно на каждом сервере. Нет
Шифрование неактивных данных BitLocker для загрузочного тома ОС Шифрует начальный том ОС на каждом сервере. Нет
Шифрование неактивных данных BitLocker для томов данных Шифрует общие тома кластера (CSV) в этом кластере Нет
Защита передаваемых данных Подписывание для внешнего трафика SMB Подписывает трафик SMB между этой системой и другими пользователями, чтобы предотвратить атаки ретранслятора. Да
Защита передаваемых данных Шифрование SMB для трафика в кластере Шифрует трафик между серверами в кластере (в сети хранения данных). Нет

Изменение параметров безопасности после развертывания

После завершения развертывания можно использовать PowerShell для изменения параметров безопасности, сохраняя при этом управление смещением. Чтобы некоторые функции вступили в силу, требуется перезагрузка.

Свойства командлета PowerShell

Следующие свойства командлета предназначены для модуля AzureStackOSConfigAgent . Модуль устанавливается во время развертывания.

  • Get-AzsSecurity -Scope: <Local | PerNode | AllNodes | Кластера>

    • Local — предоставляет логическое значение (true/False) на локальном узле. Может выполняться из обычного удаленного сеанса PowerShell.
    • PerNode — предоставляет логическое значение (true/false) для каждого узла.
    • Отчет . Требуется CredSSP или сервер Azure Stack HCI с использованием подключения по протоколу удаленного рабочего стола (RDP).
      • AllNodes — предоставляет логическое значение (true или false), вычисляемое на разных узлах.
      • Кластер — предоставляет логическое значение из хранилища JSON. Взаимодействует с оркестратором и действует со всеми узлами в кластере.
  • Enable-AzsSecurity -Scope <Local | Кластера>

  • Disable-AzsSecurity -Scope <Local | Кластера>

    • FeatureName — <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
      • Credential Guard
      • Элемент управления смещением
      • VBS (безопасность на основе виртуализации). Мы поддерживаем только команду enable.
      • DRTM (динамический корень доверия для измерения)
      • HVCI (гипервизор принудительно применяется при целостности кода)
      • Устранение рисков бокового канала
      • Шифрование SMB
      • Подписывание SMB

В следующей таблице перечислены поддерживаемые функции безопасности, поддерживаются ли они управление смещением и требуется ли перезагрузка для реализации этой функции.

Имя Компонент Поддерживает управление смещением Требуется перезагрузка
Включить
Безопасность на основе виртуализации (VBS) Да Да
Включить
Отключить
Динамический корень доверия для измерения (DRTM) Да Да
Включить
Отключить
Целостность кода, защищенная гипервизором (HVCI) Да Да
Включить
Отключить
Устранение рисков бокового канала Да Да
Включить
Отключить
Подписывание SMB Да Да
Включить
Отключить
Шифрование кластера SMB Нет, параметр кластера Нет

Дальнейшие действия