Управление значениями безопасности по умолчанию для Azure Stack HCI версии 23H2
Область применения: Azure Stack HCI версии 23H2
В этой статье описывается, как управлять параметрами безопасности по умолчанию для кластера Azure Stack HCI. Вы также можете изменить параметры безопасности и параметры безопасности, определенные во время развертывания, чтобы устройство началось в известном хорошем состоянии.
Необходимые компоненты
Прежде чем начать, убедитесь, что у вас есть доступ к системе Azure Stack HCI версии 23H2, развернутой, зарегистрированной и подключенной к Azure.
Просмотр параметров безопасности по умолчанию в портал Azure
Чтобы просмотреть параметры безопасности по умолчанию в портал Azure, убедитесь, что вы применили инициативу MCSB. Дополнительные сведения см. в статье "Применение инициативы Microsoft Cloud Security Benchmark".
Параметры безопасности по умолчанию можно использовать для управления безопасностью кластера, элементом управления дрейфом и параметрами основного сервера secured в кластере.
Просмотрите состояние подписи SMB на вкладке "Защита сети" на вкладке "Защита>данных". Подписывание SMB позволяет подписывать трафик SMB между системой Azure Stack HCI и другими системами.
Просмотр соответствия базовых показателей безопасности в портал Azure
После регистрации системы Azure Stack HCI с помощью Microsoft Defender для облака или назначения встроенных компьютеров Windows политики должны соответствовать требованиям базового плана безопасности вычислений Azure, создается отчет о соответствии. Полный список правил, которые сравнивается с сервером Azure Stack HCI, см . в разделе "Базовые показатели безопасности Windows".
Для сервера Azure Stack HCI, если выполнены все требования к оборудованию для Secured-core, оценка соответствия составляет 281 из 288 правил, то есть 281 из 288 правил соответствуют требованиям.
В следующей таблице описываются правила, которые не соответствуют требованиям и обоснование текущего пробела:
| Имя правила | Ожидалось | Факт | Логика | Комментарии |
|---|---|---|---|---|
| Интерактивный вход в систему: текст сообщения для пользователей при входе в систему | Ожидаемый: | Действительный: | Оператор: NOTEQUALS |
Мы ожидаем, что вы определите это значение без элемента управления смещения. |
| Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему | Ожидаемый: | Действительный: | Оператор: NOTEQUALS |
Мы ожидаем, что вы определите это значение без элемента управления смещения. |
| Минимальная длина пароля | Ожидается: 14 | Фактический: 0 | Оператор: GREATEROREQUAL |
Мы ожидаем, что вы определите это значение без элемента управления смещением, которое соответствует политике вашей организации. |
| Запретить получение метаданных устройств из Интернета | Ожидается: 1 | Фактический: (null) | Оператор: EQUALS |
Этот элемент управления не применяется к Azure Stack HCI. |
| Не разрешать пользователям и приложениям доступ к опасным веб-сайтам | Ожидается: 1 | Фактический: (null) | Оператор: EQUALS |
Этот элемент управления является частью защиты Защитника Windows, не включенной по умолчанию. Вы можете оценить, хотите ли вы включить. |
| Защищенные UNC-пути — NETLOGON | Ожидаемый: RequireMutualAuthentication=1 RequireIntegrity=1 |
Фактический: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Оператор: EQUALS |
Azure Stack HCI является более строгим. Это правило можно безопасно игнорировать. |
| Защищенные UNC-пути — SYSVOL | Ожидаемый: RequireMutualAuthentication=1 RequireIntegrity=1 |
Действительный: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Оператор: EQUALS |
Azure Stack HCI является более строгим. Это правило можно безопасно игнорировать. |
Управление параметрами безопасности по умолчанию с помощью PowerShell
С включенной защитой смещения можно изменять только незащищенные параметры безопасности. Чтобы изменить защищенные параметры безопасности, которые формируют базовый план, необходимо сначала отключить защиту от смещения. Чтобы просмотреть и скачать полный список параметров безопасности, см. раздел "Базовые показатели безопасности".
Изменение значений по умолчанию безопасности
Начните с начальной базовой базы безопасности, а затем измените параметры смещения и защищенные параметры безопасности, определенные во время развертывания.
Включение элемента управления дрейфов
Чтобы включить элемент управления дрейфом, выполните следующие действия.
Подключитесь к узлу Azure Stack HCI.
Запустите следующий командлет:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local — влияет только на локальный узел.
- Кластер — влияет на все узлы в кластере с помощью оркестратора.
Отключение элемента управления дрейфов
Чтобы отключить элемент управления дрейфом, выполните следующие действия.
Подключитесь к узлу Azure Stack HCI.
Запустите следующий командлет:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local — влияет только на локальный узел.
- Кластер — влияет на все узлы в кластере с помощью оркестратора.
Внимание
При отключении элемента управления дрейфов можно изменить защищенные параметры. Если включить элемент управления дрейф снова, все изменения, внесенные в защищенные параметры, перезаписываются.
Настройка параметров безопасности во время развертывания
В рамках развертывания можно изменить элемент управления дрейфом и другие параметры безопасности, составляющие базовые показатели безопасности в кластере.
В следующей таблице описаны параметры безопасности, которые можно настроить в кластере Azure Stack HCI во время развертывания.
| Область функций | Функция | Description | Поддерживает управление смещением? |
|---|---|---|---|
| Система управления | Базовые средства безопасности | Поддерживает параметры безопасности по умолчанию на каждом сервере. Помогает защититься от изменений. | Да |
| Защита учетных данных | Credential Guard в Защитнике Windows | Использует безопасность на основе виртуализации для изоляции секретов от атак кражи учетных данных. | Да |
| Элемент управления приложениями | Элемент управления приложениями Защитника Windows | Определяет, какие драйверы и приложения разрешены запускать непосредственно на каждом сервере. | No |
| Шифрование неактивных данных | Загрузочный том BitLocker для ОС | Шифрует том запуска ОС на каждом сервере. | No |
| Шифрование неактивных данных | BitLocker для томов данных | Шифрование общих томов кластера (CSVs) в этом кластере | No |
| Защита от передачи данных | Подписывание внешнего трафика SMB | Подписывает трафик SMB между этой системой и другими пользователями, чтобы предотвратить атаки ретранслятора. | Да |
| Защита от передачи данных | Шифрование SMB для трафика в кластере | Шифрует трафик между серверами в кластере (в сети хранения). | No |
Изменение параметров безопасности после развертывания
После завершения развертывания можно использовать PowerShell для изменения параметров безопасности при сохранении управления смещением. Для некоторых функций требуется перезагрузка.
Свойства командлета PowerShell
Следующие свойства командлета предназначены для модуля AzureStackOSConfigAgent . Модуль устанавливается во время развертывания.
Get-AzsSecurity-Scope: <Local | PerNode | AllNodes | Гроздь>- Local — предоставляет логическое значение (true/False) на локальном узле. Можно запускать из обычного удаленного сеанса PowerShell.
- PerNode — предоставляет логическое значение (true/False) на узел.
- Отчет . Требуется CredSSP или сервер Azure Stack HCI с помощью подключения к протоколу удаленного рабочего стола (RDP).
- AllNodes — предоставляет логическое значение (true/False), вычисляемое на разных узлах.
- Кластер — предоставляет логическое значение из хранилища JSON. Взаимодействует с оркестратором и действует ко всем узлам в кластере.
Enable-AzsSecurity-Scope <Local | Гроздь>Disable-AzsSecurity-Scope <Local | Гроздь>- FeatureName — <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Элемент управления "Смещение"
- Credential Guard
- VBS (безопасность на основе виртуализации) — мы поддерживаем только команду enable.
- DRTM (динамический корень доверия для измерения)
- HVCI (гипервизор принудительно применяется, если целостность кода)
- Устранение рисков на стороне канала
- Подписывание SMB
- Шифрование кластера SMB
- FeatureName — <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
В следующей таблице перечислены поддерживаемые функции безопасности, поддерживаются ли они управление смещением и требуется ли перезагрузка для реализации функции.
| Имя. | Функция | Поддерживает элемент управления смещением | Требуется перезагрузка |
|---|---|---|---|
| Включите |
Безопасность на основе виртуализации (VBS) | Да | Да |
| Включите |
Credential Guard | Да | Да |
| Включите Отключить |
Динамический корень доверия для измерения (DRTM) | Да | Да |
| Включите Отключить |
Целостность кода, защищенного гипервизором (HVCI) | Да | Да |
| Включите Отключить |
Устранение рисков на стороне канала | Да | Да |
| Включите Отключить |
Подписывание SMB | Да | Да |
| Включите Отключить |
Шифрование кластера SMB | Нет, параметр кластера | No |
Следующие шаги
- Общие сведения о шифровании BitLocker.