Управление значениями безопасности по умолчанию для Azure Stack HCI версии 23H2
Применимо к: Azure Stack HCI версии 23H2
В этой статье описывается управление параметрами безопасности по умолчанию для кластера Azure Stack HCI. Вы также можете изменить управление смещением и защищенные параметры безопасности, определенные во время развертывания, чтобы устройство запускалось в известном работоспособном состоянии.
Предварительные требования
Перед началом работы убедитесь, что у вас есть доступ к системе Azure Stack HCI версии 23H2, которая развернута, зарегистрирована и подключена к Azure.
Просмотр параметров безопасности по умолчанию на портале Azure
Чтобы просмотреть параметры безопасности по умолчанию на портале Azure, убедитесь, что вы применили инициативу MCSB. Дополнительные сведения см. в статье Применение инициативы Microsoft Cloud Security Benchmark.
Параметры безопасности по умолчанию можно использовать для управления безопасностью кластера, смещением и параметрами защищенного основного сервера в кластере.
Просмотрите состояние подписывания SMB на вкладке Защита> данныхЗащита сети. Подписывание SMB позволяет цифровой подписывать трафик SMB между системой Azure Stack HCI и другими системами.
Просмотр соответствия базовым показателям безопасности на портале Azure
После регистрации системы Azure Stack HCI в Microsoft Defender для облака или назначения встроенной политики компьютеры Windows должны соответствовать требованиям базовых показателей безопасности вычислений Azure, создается отчет о соответствии. Полный список правил, с чем сравнивается сервер Azure Stack HCI, см. в статье Базовые показатели безопасности Windows.
Для сервера Azure Stack HCI при выполнении всех требований к оборудованию для secured-core оценка соответствия составляет 281 из 288 правил, то есть 281 из 288 правил соответствуют требованиям.
В следующей таблице приведены правила, которые не соответствуют требованиям, и обоснование текущего пробела.
| Имя правила | Ожидаемые | Actual | Логика | Комментарии |
|---|---|---|---|---|
| Интерактивный вход в систему: текст сообщения для пользователей при входе в систему | Ожидается: | Фактическое: | Оператор: ПРИМЕЧАНИЕQUALS |
Мы ожидаем, что вы определите это значение без элемента управления смещением. |
| Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему | Ожидается: | Фактическое: | Оператор: ПРИМЕЧАНИЕQUALS |
Мы ожидаем, что вы определите это значение без элемента управления смещением. |
| Минимальная длина пароля | Ожидается: 14 | Фактический: 0 | Оператор: GREATEROREQUAL |
Мы ожидаем, что вы определите это значение без контроля смещения, соответствующего политике вашей организации. |
| Запретить получение метаданных устройств из Интернета | Ожидается: 1 | Фактический: (null) | Оператор: EQUALS |
Этот элемент управления не применяется к Azure Stack HCI. |
| Не разрешать пользователям и приложениям доступ к опасным веб-сайтам | Ожидается: 1 | Фактический: (null) | Оператор: EQUALS |
Этот элемент управления является частью защиты Защитника Windows и не включен по умолчанию. Вы можете оценить, хотите ли вы включить. |
| Защищенные UNC-пути — NETLOGON | Ожидается: RequireMutualAuthentication=1 RequireIntegrity=1 |
Фактический: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Оператор: EQUALS |
Azure Stack HCI является более строгим. Это правило можно спокойно игнорировать. |
| Защищенные UNC-пути — SYSVOL | Ожидается: RequireMutualAuthentication=1 RequireIntegrity=1 |
Фактическое: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Оператор: EQUALS |
Azure Stack HCI является более строгим. Это правило можно спокойно игнорировать. |
Управление параметрами безопасности по умолчанию с помощью PowerShell
При включенной защите от смещения можно изменять только незащищенные параметры безопасности. Чтобы изменить защищенные параметры безопасности, которые формируют базовые показатели, необходимо сначала отключить защиту от смещения. Чтобы просмотреть и скачать полный список параметров безопасности, см. статью Базовые показатели безопасности.
Изменение параметров безопасности по умолчанию
Начните с начального базового плана безопасности, а затем измените параметры управления смещением и защищенные параметры безопасности, определенные во время развертывания.
Включение элемента управления смещением
Чтобы включить управление смещением, выполните следующие действия.
Подключитесь к узлу Azure Stack HCI.
Выполните следующий командлет:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local — влияет только на локальный узел.
- Кластер — влияет на все узлы в кластере с помощью оркестратора.
Отключение элемента управления смещением
Чтобы отключить управление смещением, выполните следующие действия.
Подключитесь к узлу Azure Stack HCI.
Выполните следующий командлет:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local — влияет только на локальный узел.
- Кластер — влияет на все узлы в кластере с помощью оркестратора.
Важно!
Если отключить управление смещением, защищенные параметры можно изменить. Если снова включить управление смещением, все изменения, внесенные в защищенные параметры, будут перезаписаны.
Настройка параметров безопасности во время развертывания
В рамках развертывания можно изменить элемент управления смещением и другие параметры безопасности, составляющие базовые показатели безопасности в кластере.
В следующей таблице описаны параметры безопасности, которые можно настроить в кластере Azure Stack HCI во время развертывания.
| Область применения компонента | Компонент | Описание | Поддерживает управление смещением? |
|---|---|---|---|
| Система управления | Базовые средства безопасности | Поддерживает параметры безопасности по умолчанию на каждом сервере. Помогает защититься от изменений. | Да |
| Защита учетных данных | Credential Guard в Защитнике Windows | Использует безопасность на основе виртуализации, чтобы изолировать секреты от атак с кражей учетных данных. | Да |
| Управление приложением | Элемент управления приложениями в Защитнике Windows | Определяет, какие драйверы и приложения разрешено запускать непосредственно на каждом сервере. | Нет |
| Шифрование неактивных данных | BitLocker для загрузочного тома ОС | Шифрует том запуска ОС на каждом сервере. | Нет |
| Шифрование неактивных данных | BitLocker для томов данных | Шифрует общие тома кластера в этом кластере. | Нет |
| Защита передаваемых данных | Подписывание для внешнего трафика SMB | Подписывает трафик SMB между этой системой и другими пользователями, чтобы предотвратить атаки ретранслятора. | Да |
| Защита передаваемых данных | Шифрование SMB для трафика в кластере | Шифрует трафик между серверами в кластере (в сети хранения). | Нет |
Изменение параметров безопасности после развертывания
После завершения развертывания можно использовать PowerShell для изменения параметров безопасности, сохраняя при этом управление смещением. Для того чтобы некоторые функции вступили в силу, требуется перезагрузка.
Свойства командлета PowerShell
Следующие свойства командлета предназначены для модуля AzureStackOSConfigAgent . Модуль устанавливается во время развертывания.
Get-AzsSecurity-Scope: <Local | PerNode | AllNodes | Кластера>- Local — предоставляет логическое значение (true или False) на локальном узле. Может выполняться из обычного удаленного сеанса PowerShell.
- PerNode — предоставляет логическое значение (true/False) для каждого узла.
- Отчет — требуется CredSSP или сервер Azure Stack HCI, использующий подключение по протоколу удаленного рабочего стола (RDP).
- AllNodes — предоставляет логическое значение (true/False), вычисленное на разных узлах.
- Кластер — предоставляет логическое значение из хранилища ECE. Взаимодействует с оркестратором и работает со всеми узлами в кластере.
Enable-AzsSecurity-Scope <Local | Кластера>Disable-AzsSecurity-Scope <Local | Кластера>- FeatureName — <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Credential Guard
- Элемент управления смещением
- VBS (безопасность на основе виртуализации). Мы поддерживаем только команду enable.
- DRTM (динамический корень доверия для измерения)
- HVCI (гипервизор принудительно применяется при целостности кода)
- Устранение рисков бокового канала
- Шифрование SMB
- Подписывание SMB
- FeatureName — <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
В следующей таблице перечислены поддерживаемые функции безопасности, поддерживаются ли они управление смещением и требуется ли перезагрузка для реализации этой функции.
| Имя | Компонент | Поддерживает управление смещением | Требуется перезагрузка |
|---|---|---|---|
| Включить |
Безопасность на основе виртуализации (VBS) | Да | Да |
| Включить Отключить |
Динамический корень доверия для измерения (DRTM) | Да | Да |
| Включить Отключить |
Целостность кода, защищенная гипервизором (HVCI) | Да | Да |
| Включить Отключить |
Устранение рисков бокового канала | Да | Да |
| Включить Отключить |
Подписывание SMB | Да | Да |
| Включить Отключить |
Шифрование кластера SMB | Нет, параметр кластера | Нет |
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по