Что такое элемент управления posture Windows SSH (частная предварительная версия) с политикой Azure и PowerShell?

Элемент управления posture SSH позволяет использовать знакомые рабочие процессы политики Azure и конфигурации компьютера для:

• Обеспечение соответствия стандартам в отрасли или организации
• Уменьшение области атак функций удаленного управления
• Обеспечение согласованной настройки в вашем флоте для обеспечения безопасности и производительности

Элемент управления posture SSH также содержит подробные причины , описывающие способ определения соответствия или несоответствия. Эти причины упрощают выполнение действий или полное соответствие документам.

SSH Posture Control анализирует и применяет приблизительно 20 параметров сервера SSH (sshd). Вы также можете настроить определенные параметры в соответствии с вашей средой. Например, можно настроить доступ пользователей и групп SSH, а также номер порта и многое другое.

Вы можете развернуть SSH Posture Control в режиме аудита или аудита и настройки для аудита парка устройств, отслеживать результаты, а затем автоматически исправлять парк в соответствии с стандартами sshd.

Ограничения частной предварительной версии

Это важно

Элемент управления posture SSH находится в закрытой предварительной версии, предназначенный для активации диалога между вами и Корпорацией Майкрософт.

• Предварительная версия предназначена для использования с изолированными компьютерами разработки и тестирования , где любая проблема (включая непреднамеренно блокировку доступа SSH) не будет иметь важных последствий.
• Предварительная версия включает импорт определения политики, а не выбор его из встроенного списка политик Azure.
• Для этого мы предоставим как аудит, так и рабочий процесс аудита и настройки.
• Поддерживаемые номера SKU Windows в настоящее время доступны только для Windows Server 2025

Начало работы с политикой Azure

Этот пример посвящен быстрому началу работы в политике Azure. Это делает упрощение предположений и не изучает все возможное. Например, он использует параметры SSH по умолчанию из PolicyDefinition, а не настраивает такие параметры, как разрешенные пользователи и группы. Более подробная информация о элементе управления posture SSH, включая параметры и поведение, ожидается в ближайшем будущем. Обратите внимание, что раздел PowerShell находится в разделе к концу статьи.

Подсказка

В этой статье используются следующая ментальная модель и терминология.

• PolicyDefinition : определение и метаданные элемента управления posture SSH, представленные в службе политик Azure.
• PolicyAssignment : связывает политику управления posture SSH с областью, в которой должна применяться эта политика, например группу ресурсов.
• Компьютер : конечная точка, которая может управляться политикой Azure и конфигурацией компьютера (ака гостевая конфигурация). Другими словами, компьютер с поддержкой Arc или виртуальная машина Azure.

А. Предварительные требования

1. Учетная запись Azure с разрешением на создание группы ресурсов, виртуальной машины (или компьютера Arc), определения политики и назначения политики.
2. Для получения дополнительных предварительных требований выберите предпочтительный интерфейс:

Портал

1. С помощью веб-браузера войдите на портал Azure или в свой локальный эквивалент.

PowerShell

1. Среда PowerShell со следующими модулями:
   1. Az.ResourceGraph
   2. Az.Учетные записи
   3. Аз.Ресурсы
2. Используйте Get-AzContext и (или) Set-AzContext командлеты, чтобы обеспечить целевую среду Azure.

Подсказка

Azure Cloud Shell в режиме PowerShell — это среда, готовая к использованию, и это простой способ начать работу.

Azure CLI

В настоящее время недоступно. Ожидающие https:// github.com/Azure/azure-cli/issues/28377. Используйте инструкции портала или PowerShell.

В. Создайте группу ресурсов

Портал

1. Создайте группу ресурсов. В предстоящих шагах будет использоваться для области политики и для хранения нового тестового компьютера.

PowerShell

$myResourceGroupName = "ssh_demo_resource_group" 
$myAzureLocation = "eastus" ## Modify as needed

$myResourceGroup = New-AzResourceGroup -Name $myResourceGroupName -Location $myAzureLocation

Azure CLI

В настоящее время недоступно. Ожидается https://github.com/Azure/azure-cli/issues/28377. Используйте инструкции портала или PowerShell.

С. Создание PolicyDefinition

Замечание

Этот дополнительный шаг (создание, а не просто выбор PolicyDefinition) требуется во время частной предварительной версии.

Портал

1. Перейдите на страницу обзора политики Azure . Например, можно использовать универсальный код ресурса (URI): https://portal.azure.com/#view/Microsoft_Azure_Policy/PolicyMenuBlade/~/Overview
2. Перейдите к представлению "Определения ".
3. Нажмите кнопку "+ Определение политики ", чтобы создать новую политикуDefinition, введя в качестве входных данных следующие данные.
   1. Расположение определения. Выберите подписку Azure, в которой будет жить PolicyDefinition.
   2. Имя: [предварительная версия] Аудит политики управления постурами SSH или [предварительная версия] Настройка политики управления постуре SSH
   3. Категория. Использование существующей конфигурации и выбор гостевой конфигурации
   4. Правило политики. Удаление существующего JSON и вставка json PolicyDefinition JSON из предварительной версии аудита определения политики posture Control SSHилипредварительного просмотра определения политики управления posture SSH и настройки определения политики SSH Posture Control
4. Щелкните Сохранить.

PowerShell

Политика только аудита:

$sshPolicyDefinitionJsonUri = "https://github.com/microsoft/osconfig/releases/download/ppe-ssh/SecureShell_Preview_AuditIfNotExists.json"
$localFilePath = "AuditSSHPolicy.json"
Invoke-WebRequest -Uri $sshPolicyDefinitionJsonUri -OutFile $localFilePath
$sshPolicyDefinitionJson = Get-Content $localFilePath -Raw
$sshPolicyDefinitionName = "[Preview] Audit SSH Posture Control policy"

$sshPolicyDefinition = New-AzPolicyDefinition -Name $sshPolicyDefinitionName -Policy $sshPolicyDefinitionJson

Политика аудита и настройки:

$sshPolicyDefinitionJsonUri = "https://github.com/microsoft/osconfig/releases/download/ppe-ssh/SetSecureShell_Preview_DeployIfNotExists.json"
$localFilePath = "ConfigureSSHPolicy.json"
Invoke-WebRequest -Uri $sshPolicyDefinitionJsonUri -OutFile $localFilePath
$sshPolicyDefinitionJson = Get-Content $localFilePath -Raw
$sshPolicyDefinitionName = "[Preview] Configure SSH Posture Control policy"

$sshPolicyDefinition = New-AzPolicyDefinition -Name $sshPolicyDefinitionName -Policy $sshPolicyDefinitionJson

Azure CLI

В настоящее время недоступно. Ожидается https://github.com/Azure/azure-cli/issues/28377. Используйте инструкции портала или PowerShell.

Д. Использование policyAssignment для применения PolicyDefinition к группе ресурсов

Осторожность

Эта политика изменяет конфигурацию sshd на компьютерах в области. Эти инструкции помогут вам назначить ее первоначально пустой группе ресурсов, где позже вы создадите тестовый компьютер. Обратите внимание, если вы решили назначить любой более широкой области.

Портал

1. Перейдите к политике | Страница определений , в которой перечислены все доступные определения политики.
2. Выберите политику политики управления posture SSH [предварительная версия] PolicyDefinition, созданную ранее
3. Щелкните Назначить.
4. Для области выберите группу ресурсов, в которой вы создадите новый тестовый компьютер.
5. Перейдите на вкладку "Параметры ".
   1. Выберите значение true для включения подключенных компьютеров Arc, если только вы не хотите исключить подключенные компьютеры Arc.
   2. ПРИМЕЧАНИЕ. Если вы хотите настроить параметры SSH, например разрешенные группы, снимите флажок "Только показать параметры", чтобы отобразить все доступные параметры. Если вы решили указать разрешенных или запрещенных пользователей или групп, обратите внимание, что вы введете строку с разделителями пробелов, например userA userB.
6. Перейдите на вкладку "Исправление ".
   1. ПРИМЕЧАНИЕ. Хотя эта демонстрация фокусируется на новом компьютере, в других сценариях, где необходимо применить PolicyAssignment к существующим компьютерам, можно установить флажок для создания задачи исправления.
   2. Выберите "Создать управляемое удостоверение " с назначенным системой и расположением удостоверения.
7. Перейдите к просмотру и созданию
   1. Нажмите кнопку "Создать" , чтобы завершить политикуAssignment.

PowerShell

Политика только аудита:

$myResourceGroupName = "ssh_demo_resource_group"
$myAzureLocation = "eastus"
$sshPolicyDefinitionName = "[Preview] Audit SSH Posture Control policy"
$sshPolicyAssignmentName = "[Preview] Audit SSH Posture Control assignment"

$myResourceGroup = Get-AzResourceGroup -Name $myResourceGroupName
$sshPolicyDefinition = Get-AzPolicyDefinition -Name $sshPolicyDefinitionName

## Assign our new SSH policy to the resource group
$sshPolicyAssignment = New-AzPolicyAssignment -Name $sshPolicyAssignmentName -PolicyDefinition $sshPolicyDefinition -Scope $myResourceGroup.ResourceId -Location $myAzureLocation -IdentityType SystemAssigned

Политика аудита и настройки:

$myResourceGroupName = "ssh_demo_resource_group"
$myAzureLocation = "eastus"
$sshPolicyDefinitionName = "[Preview] Configure SSH Posture Control policy"
$sshPolicyAssignmentName = "[Preview] Configure SSH Posture Control assignment"

$myResourceGroup = Get-AzResourceGroup -Name $myResourceGroupName
$sshPolicyDefinition = Get-AzPolicyDefinition -Name $sshPolicyDefinitionName

## Assign our new SSH policy to the resource group
$sshPolicyAssignment = New-AzPolicyAssignment -Name $sshPolicyAssignmentName -PolicyDefinition $sshPolicyDefinition -Scope $myResourceGroup.ResourceId -Location $myAzureLocation -IdentityType SystemAssigned

Azure CLI

В настоящее время недоступно. Ожидается https://github.com/Azure/azure-cli/issues/28377. Используйте инструкции портала или PowerShell.

Е. Создание компьютера

Хотя новые политикиAssignments могут применяться к существующим компьютерам, процесс может занять до 24 часов. Для этого краткого руководства мы сосредоточимся на оценке нового компьютера. В этом примере мы создадим виртуальную машину Azure, но при желании можно создать компьютер с поддержкой Arc.

Портал

1. Перейдите к интерфейсу виртуальных машин Azure .
2. Создайте новую виртуальную машину, обеспечивая следующие свойства:
   1. Подписка и группа ресурсов должны совпадать с областью действия PolicyAssignment.
   2. Изображение должно быть "Windows Server 2025".
   3. Архитектура виртуальной машины должна быть x64.
   4. Другие свойства, такие как имя виртуальной машины, размер и т. д., могут быть любым, что вы предпочитаете.
3. Дождитесь завершения создания виртуальной машины и нажмите кнопку "Перейти к ресурсу ", чтобы перейти на страницу обзора компьютера
4. В области навигации слева выберите удостоверение и убедитесь, что компьютер имеет системное управляемое удостоверение.
5. В области навигации слева выберите "Расширения + приложения", а затем + "Добавить"
6. Выберите расширение конфигурации компьютера Azure для расширения Windows и нажмите кнопку "Далее"
7. Выберите "Рецензирование и создание", а затем создайте

PowerShell

$myResourceGroupName = "ssh_demo_resource_group"
$myNameForNewVM = "sshdemovm01"

## Creates a new VM which is prepped to work with MachineConfiguration
## by having a system assigned identity and the GuestConfiguration extension
New-AzVM -Name $myNameForNewVM -ResourceGroupName $myResourceGroupName -SystemAssignedIdentity -Image "MicrosoftWindowsServer:WindowsServer:2025-datacenter:latest"
Set-AzVMExtension -ResourceGroupName $myResourceGroupName -VMName $myNameForNewVM -ExtensionType "ConfigurationforWindows" -Publisher "Microsoft.GuestConfiguration" -Name "AzurePolicyforWindows" -TypeHandlerVersion 1.0

Azure CLI

В настоящее время недоступно. Ожидается https://github.com/Azure/azure-cli/issues/28377. Используйте инструкции портала или PowerShell.

F. Сделайте перерыв перед продолжением

Когда используются новые политики PolicyDefinitions, PolicyAssignments и компьютеры, может потребоваться несколько минут, чтобы достичь постоянного состояния. Попробуйте ждать не менее 30 минут , прежде чем перейти к следующему шагу.

G. Наблюдение за результатами соответствия

Следующие шаги позволяют просматривать свертки соответствия на разных высотах:

• Соответствие по policyAssignment
  • Количество компьютеров, соответствующих требованиям и несоответствующих требованиям
  • Самая высокая высота, особенно полезная для крупных флотов
• Соответствие по компьютеру
  • Список компьютеров с да/нет на компьютере
• Соответствие по параметру для определенного компьютера
  • Самый глубокий уровень детализации, например снимок экрана в верхней части этой статьи.

Подсказка

Новый компьютер, скорее всего, будет рассматриваться как несоответствующий, когда он сталкивается с политикой впервые. Параметры SSH по умолчанию в политике более строги, чем многие образы ОС, настроенные по умолчанию. После дополнительных 20 минут или около того, вы должны обнаружить, что компьютер становится совместимым благодаря логике исправления, встроенной в SSH Posture Control.

Портал

1. Перейдите к политике | Страница соответствия требованиям.
2. Выберите [предварительная версия] Политика SSH Posture Control.
3. Обратите внимание, что сообщается количество совместимых или несоответствующих компьютеров
4. В разделе "Соответствие ресурсам " можно просмотреть состояние отдельных компьютеров
5. Чтобы выполнить детализацию до сведений о параметрах для конкретного компьютера, выполните следующие действия.
   1. Щелкните ... рядом с компьютером и выберите "Просмотреть ресурс ", чтобы перейти на страницу обзора компьютера
   2. В области навигации слева в разделе "Операции" щелкните "Управление конфигурацией " (а не "Конфигурация" в разделе "Параметры")
   3. Щелкните SecureShell
   4. На результирующей странице показаны все параметры в конфигурации с подробными сведениями о соответствии, а также о том, как было определено соответствие.

PowerShell

Для наблюдения за состоянием на наибольшей высоте (только количество компьютеров) можно использовать следующее:

$machineCountsQuery = @'
guestconfigurationresources
| where name contains "SecureShell"
| extend complianceStatus = tostring(properties.complianceStatus)
| summarize machineCount = count() by complianceStatus
'@

Search-AzGraph -Query $machineCountsQuery

<#
Sample output from an environment with two machines:

complianceStatus machineCount
---------------- ------------
Pending                     1
Compliant                   1
#>

Чтобы просмотреть соответствие по компьютеру, можно использовать следующее:

$machinePerRowQuery = @'
guestconfigurationresources
| where name contains "SecureShell"
| project 
    machine = split(properties.targetResourceId,'/')[-1],
    complianceStatus = properties.complianceStatus,
    lastComplianceStatusChecked = properties.lastComplianceStatusChecked
'@

Search-AzGraph -Query $machinePerRowQuery

<#
Sample output:

machine     complianceStatus lastComplianceStatusChecked
-------     ---------------- ---------------------------
sshdemovm01 Compliant        2/15/2024 11:07:21 PM
sshdemovm02 Pending          1/1/0001 12:00:00 AM
#>

Чтобы просмотреть сведения о параметрах по параметрам, можно использовать следующее:

$settingPerRowQuery = @'
guestconfigurationresources
| where name contains "SecureShell"
| extend machine = split(properties.targetResourceId,'/')[-1]
| mvexpand properties.latestAssignmentReport.resources
| mvexpand properties_latestAssignmentReport_resources.reasons
| project machine,
    complianceCheck = tostring(properties_latestAssignmentReport_resources.resourceId),
    complianceStatus = tostring(properties.complianceStatus),
    complianceReason = tostring(properties_latestAssignmentReport_resources_reasons.phrase)
'@

Search-AzGraph $settingPerRowQuery

<#
   Sample output:
   
   machine     complianceCheck                                                  complianceStatus     complianceReason
   -------     ---------------                                                  ------               ------
   sshdemovm01 Ensure that the allowed groups for SSH are configured            Compliant            ["administrators","openssh users"] contains the expected values: ["administrators","openssh users"]
   sshdemovm01 Ensure that appropriate ciphers are used for SSH                 Compliant            ["aes128-ctr","aes192-ctr","aes256-ctr"] contains the expected values: ["aes128-ctr","aes192-ctr","aes256-ctr"]
   sshdemovm01 Ensure that the authorized key file for SSH is configured        Compliant            "%programdata%/ssh/administrators_authorized_keys" is equal to "%programdata%/ssh/administrators_authorized_keys"
   sshdemovm01 Ensure that the SSH ClientAliveInterval is configured            Compliant            3600 is equal to 3600
   sshdemovm01 Ensure that the SSH PermitEmptyPasswords is configured           Compliant            false is equal to false
   sshdemovm01 Ensure that the SSH port is configured                           Compliant            22 is equal to 22
   sshdemovm01 Ensure that the SSH MaxAuthTries is configured                   Compliant            6 is equal to 6
   sshdemovm01 Ensure that only approved MAC algorithms are used                Compliant            ["hmac-sha2-256"] contains the expected values: ["hmac-sha2-256"]
   sshdemovm01 Ensure that the SSH HostKey is configured                        Compliant            "__PROGRAMDATA__/ssh/ssh_host_ecdsa_key" is equal to "__PROGRAMDATA__/ssh/ssh_host_ecdsa_key"
   sshdemovm01 Ensure that the SSH LoginGraceTime is configured                 Compliant            60 is equal to 60
   #>

Azure CLI

В настоящее время недоступно. Ожидается https://github.com/Azure/azure-cli/issues/28377. Используйте инструкции портала или PowerShell.

Начало работы с локальным интерфейсом (PowerShell)

Предпосылки

• Необходимо запустить рабочую сборку Windows Server 2025 на устройстве.
• Модуль OSConfig PowerShell должен быть установлен на серверном устройстве. Дополнительные сведения см. в разделе "Установка модуля PowerShell OSConfig ".
• Необходимо установить и запустить службу sshd, выполнив следующую инструкцию: https://aka.ms/windows-openssh-install

Чтобы применить базовый план, убедитесь, что базовые показатели применены, удалите базовый план или просмотрите подробные сведения о соответствии для OSConfig в PowerShell, используйте команды на следующих вкладках.

Настройка

Чтобы применить сценарий SSH, выполните следующую команду:

Set-OSConfigDesiredConfiguration -Scenario SSH -Default

Проверьте

Чтобы проверить правильность применения сценария SSH, выполните следующую команду:

Get-OSConfigDesiredConfiguration -Scenario SSH

Проверка соответствия требованиям

Чтобы получить необходимые сведения о конфигурации для указанного сценария, используйте следующие команды. Выходные данные отображаются в формате таблицы, включающую имя элемента конфигурации, его состояние соответствия и причину несоответствия.

Чтобы проверить сведения о соответствии для SSH scenairo, выполните следующую команду:

Get-OSConfigDesiredConfiguration -Scenario SSH | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Настраиваемая конфигурация

Чтобы настроить параметр в сценарии SSH, можно настроить параметр с параметром "-Name" и "-Value":

Set-OSConfigDesiredConfiguration -Scenario SSH -Name Banner -Value "Custom Banner"

---

Следующий шаг

Обратитесь в группу корпорации Майкрософт, чтобы предоставить отзывы, запросы функций и т. д.

Свяжитесь с нами