Поделиться через


Что такое элемент управления posture Windows SSH (частная предварительная версия) с политикой Azure и PowerShell?

Элемент управления posture SSH позволяет использовать знакомые рабочие процессы политики Azure и конфигурации компьютера для:

  • Обеспечение соответствия стандартам в отрасли или организации
  • Уменьшение области атак функций удаленного управления
  • Обеспечение согласованной настройки в вашем флоте для обеспечения безопасности и производительности

Элемент управления posture SSH также содержит подробные причины , описывающие способ определения соответствия или несоответствия. Эти причины упрощают выполнение действий или полное соответствие документам.

Снимок экрана: список соответствующих проверок SSH

SSH Posture Control анализирует и применяет приблизительно 20 параметров сервера SSH (sshd). Вы также можете настроить определенные параметры в соответствии с вашей средой. Например, можно настроить доступ пользователей и групп SSH, а также номер порта и многое другое.

Вы можете развернуть SSH Posture Control в режиме аудита или аудита и настройки для аудита парка устройств, отслеживать результаты, а затем автоматически исправлять парк в соответствии с стандартами sshd.

Ограничения частной предварительной версии

Это важно

Элемент управления posture SSH находится в закрытой предварительной версии, предназначенный для активации диалога между вами и Корпорацией Майкрософт.

  • Предварительная версия предназначена для использования с изолированными компьютерами разработки и тестирования , где любая проблема (включая непреднамеренно блокировку доступа SSH) не будет иметь важных последствий.
  • Предварительная версия включает импорт определения политики, а не выбор его из встроенного списка политик Azure.
  • Для этого мы предоставим как аудит, так и рабочий процесс аудита и настройки.
  • Поддерживаемые номера SKU Windows в настоящее время доступны только для Windows Server 2025

Начало работы с политикой Azure

Этот пример посвящен быстрому началу работы в политике Azure. Это делает упрощение предположений и не изучает все возможное. Например, он использует параметры SSH по умолчанию из PolicyDefinition, а не настраивает такие параметры, как разрешенные пользователи и группы. Более подробная информация о элементе управления posture SSH, включая параметры и поведение, ожидается в ближайшем будущем. Обратите внимание, что раздел PowerShell находится в разделе к концу статьи.

Подсказка

В этой статье используются следующая ментальная модель и терминология.

Схема, показывающая, что наша подписка Azure будет содержать PolicyDefinition, которая связана с PolicyAssignment с ресурсной группой, содержащей компьютеры

  • PolicyDefinition : определение и метаданные элемента управления posture SSH, представленные в службе политик Azure.
  • PolicyAssignment : связывает политику управления posture SSH с областью, в которой должна применяться эта политика, например группу ресурсов.
  • Компьютер : конечная точка, которая может управляться политикой Azure и конфигурацией компьютера (ака гостевая конфигурация). Другими словами, компьютер с поддержкой Arc или виртуальная машина Azure.

А. Предварительные требования

  1. Учетная запись Azure с разрешением на создание группы ресурсов, виртуальной машины (или компьютера Arc), определения политики и назначения политики.
  2. Для получения дополнительных предварительных требований выберите предпочтительный интерфейс:
  1. С помощью веб-браузера войдите на портал Azure или в свой локальный эквивалент.

В. Создайте группу ресурсов

  1. Создайте группу ресурсов. В предстоящих шагах будет использоваться для области политики и для хранения нового тестового компьютера.

Снимок экрана создания группы ресурсов

С. Создание PolicyDefinition

Замечание

Этот дополнительный шаг (создание, а не просто выбор PolicyDefinition) требуется во время частной предварительной версии.

  1. Перейдите на страницу обзора политики Azure . Например, можно использовать универсальный код ресурса (URI): https://portal.azure.com/#view/Microsoft_Azure_Policy/PolicyMenuBlade/~/Overview
  2. Перейдите к представлению "Определения ".
  3. Нажмите кнопку "+ Определение политики ", чтобы создать новую политикуDefinition, введя в качестве входных данных следующие данные.
    1. Расположение определения. Выберите подписку Azure, в которой будет жить PolicyDefinition.
    2. Имя: [предварительная версия] Аудит политики управления постурами SSH или [предварительная версия] Настройка политики управления постуре SSH
    3. Категория. Использование существующей конфигурации и выбор гостевой конфигурации
    4. Правило политики. Удаление существующего JSON и вставка json PolicyDefinition JSON из предварительной версии аудита определения политики posture Control SSHилипредварительного просмотра определения политики управления posture SSH и настройки определения политики SSH Posture Control
  4. Щелкните Сохранить.

Снимок экрана, демонстрирующий предыдущие шаги

Д. Использование policyAssignment для применения PolicyDefinition к группе ресурсов

Осторожность

Эта политика изменяет конфигурацию sshd на компьютерах в области. Эти инструкции помогут вам назначить ее первоначально пустой группе ресурсов, где позже вы создадите тестовый компьютер. Обратите внимание, если вы решили назначить любой более широкой области.

  1. Перейдите к политике | Страница определений , в которой перечислены все доступные определения политики.
  2. Выберите политику политики управления posture SSH [предварительная версия] PolicyDefinition, созданную ранее
  3. Щелкните Назначить.
  4. Для области выберите группу ресурсов, в которой вы создадите новый тестовый компьютер.
  5. Перейдите на вкладку "Параметры ".
    1. Выберите значение true для включения подключенных компьютеров Arc, если только вы не хотите исключить подключенные компьютеры Arc.
    2. ПРИМЕЧАНИЕ. Если вы хотите настроить параметры SSH, например разрешенные группы, снимите флажок "Только показать параметры", чтобы отобразить все доступные параметры. Если вы решили указать разрешенных или запрещенных пользователей или групп, обратите внимание, что вы введете строку с разделителями пробелов, например userA userB.
  6. Перейдите на вкладку "Исправление ".
    1. ПРИМЕЧАНИЕ. Хотя эта демонстрация фокусируется на новом компьютере, в других сценариях, где необходимо применить PolicyAssignment к существующим компьютерам, можно установить флажок для создания задачи исправления.
    2. Выберите "Создать управляемое удостоверение " с назначенным системой и расположением удостоверения.
  7. Перейдите к просмотру и созданию
    1. Нажмите кнопку "Создать" , чтобы завершить политикуAssignment.

Снимок экрана, показывающий пример предыдущих шагов PolicyAssignment

Е. Создание компьютера

Хотя новые политикиAssignments могут применяться к существующим компьютерам, процесс может занять до 24 часов. Для этого краткого руководства мы сосредоточимся на оценке нового компьютера. В этом примере мы создадим виртуальную машину Azure, но при желании можно создать компьютер с поддержкой Arc.

  1. Перейдите к интерфейсу виртуальных машин Azure .
  2. Создайте новую виртуальную машину, обеспечивая следующие свойства:
    1. Подписка и группа ресурсов должны совпадать с областью действия PolicyAssignment.
    2. Изображение должно быть "Windows Server 2025".
    3. Архитектура виртуальной машины должна быть x64.
    4. Другие свойства, такие как имя виртуальной машины, размер и т. д., могут быть любым, что вы предпочитаете.
  3. Дождитесь завершения создания виртуальной машины и нажмите кнопку "Перейти к ресурсу ", чтобы перейти на страницу обзора компьютера
  4. В области навигации слева выберите удостоверение и убедитесь, что компьютер имеет системное управляемое удостоверение.
  5. В области навигации слева выберите "Расширения + приложения", а затем + "Добавить"
  6. Выберите расширение конфигурации компьютера Azure для расширения Windows и нажмите кнопку "Далее"
  7. Выберите "Рецензирование и создание", а затем создайте

Снимок экрана, показывающий пример предыдущих шагов

F. Сделайте перерыв перед продолжением

Когда используются новые политики PolicyDefinitions, PolicyAssignments и компьютеры, может потребоваться несколько минут, чтобы достичь постоянного состояния. Попробуйте ждать не менее 30 минут , прежде чем перейти к следующему шагу.

G. Наблюдение за результатами соответствия

Следующие шаги позволяют просматривать свертки соответствия на разных высотах:

  • Соответствие по policyAssignment
    • Количество компьютеров, соответствующих требованиям и несоответствующих требованиям
    • Самая высокая высота, особенно полезная для крупных флотов
  • Соответствие по компьютеру
    • Список компьютеров с да/нет на компьютере
  • Соответствие по параметру для определенного компьютера
    • Самый глубокий уровень детализации, например снимок экрана в верхней части этой статьи.

Подсказка

Новый компьютер, скорее всего, будет рассматриваться как несоответствующий, когда он сталкивается с политикой впервые. Параметры SSH по умолчанию в политике более строги, чем многие образы ОС, настроенные по умолчанию. После дополнительных 20 минут или около того, вы должны обнаружить, что компьютер становится совместимым благодаря логике исправления, встроенной в SSH Posture Control.

  1. Перейдите к политике | Страница соответствия требованиям.
  2. Выберите [предварительная версия] Политика SSH Posture Control.
  3. Обратите внимание, что сообщается количество совместимых или несоответствующих компьютеров
  4. В разделе "Соответствие ресурсам " можно просмотреть состояние отдельных компьютеров
  5. Чтобы выполнить детализацию до сведений о параметрах для конкретного компьютера, выполните следующие действия.
    1. Щелкните ... рядом с компьютером и выберите "Просмотреть ресурс ", чтобы перейти на страницу обзора компьютера
    2. В области навигации слева в разделе "Операции" щелкните "Управление конфигурацией " (а не "Конфигурация" в разделе "Параметры")
    3. Щелкните SecureShell
    4. На результирующей странице показаны все параметры в конфигурации с подробными сведениями о соответствии, а также о том, как было определено соответствие.

Снимок экрана, показывающий предыдущие шаги

Начало работы с локальным интерфейсом (PowerShell)

Предпосылки

  • Необходимо запустить рабочую сборку Windows Server 2025 на устройстве.
  • Модуль OSConfig PowerShell должен быть установлен на серверном устройстве. Дополнительные сведения см. в разделе "Установка модуля PowerShell OSConfig ".
  • Необходимо установить и запустить службу sshd, выполнив следующую инструкцию: https://aka.ms/windows-openssh-install

Чтобы применить базовый план, убедитесь, что базовые показатели применены, удалите базовый план или просмотрите подробные сведения о соответствии для OSConfig в PowerShell, используйте команды на следующих вкладках.

Настройка

Чтобы применить сценарий SSH, выполните следующую команду:

Set-OSConfigDesiredConfiguration -Scenario SSH -Default

Проверьте

Чтобы проверить правильность применения сценария SSH, выполните следующую команду:

Get-OSConfigDesiredConfiguration -Scenario SSH

Проверка соответствия требованиям

Чтобы получить необходимые сведения о конфигурации для указанного сценария, используйте следующие команды. Выходные данные отображаются в формате таблицы, включающую имя элемента конфигурации, его состояние соответствия и причину несоответствия.

Чтобы проверить сведения о соответствии для SSH scenairo, выполните следующую команду:

Get-OSConfigDesiredConfiguration -Scenario SSH | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Настраиваемая конфигурация

Чтобы настроить параметр в сценарии SSH, можно настроить параметр с параметром "-Name" и "-Value":

Set-OSConfigDesiredConfiguration -Scenario SSH -Name Banner -Value "Custom Banner"

Следующий шаг

Обратитесь в группу корпорации Майкрософт, чтобы предоставить отзывы, запросы функций и т. д.