Hantera standardinställningar för säkerhet för Azure Stack HCI, version 23H2
Gäller för: Azure Stack HCI, version 23H2
I den här artikeln beskrivs hur du hanterar standardsäkerhetsinställningar för ditt Azure Stack HCI-kluster. Du kan också ändra driftkontroll och skyddade säkerhetsinställningar som definierats under distributionen så att enheten startar i ett fungerande tillstånd.
Förutsättningar
Innan du börjar kontrollerar du att du har åtkomst till ett Azure Stack HCI- version 23H2-system som distribueras, registreras och är anslutet till Azure.
Visa standardinställningar för säkerhet i Azure-portalen
Om du vill visa standardinställningarna för säkerhet i Azure-portalen kontrollerar du att du har tillämpat MCSB-initiativet. Mer information finns i Apply Microsoft Cloud Security Benchmark initiative (Använd Microsoft Cloud Security Benchmark-initiativ).
Du kan använda standardinställningarna för säkerhet för att hantera klustersäkerhet, driftkontroll och inställningar för skyddad kärnserver i klustret.
Visa SMB-signeringsstatus> under fliken DataskyddNätverksskydd. Med SMB-signering kan du signera SMB-trafik digitalt mellan ett Azure Stack HCI-system och andra system.
Visa kompatibilitet för säkerhetsbaslinje i Azure-portalen
När du har registrerat ditt Azure Stack HCI-system med Microsoft Defender för molnet eller tilldelat den inbyggda principen som Windows-datorer ska uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen genereras en efterlevnadsrapport. En fullständig lista över regler som din Azure Stack HCI-server jämförs med finns i Säkerhetsbaslinje för Windows.
För Azure Stack HCI-servern är efterlevnadspoängen 281 av 288 regler när alla maskinvarukrav för Skyddad kärna är uppfyllda – 281 av 288 regler är kompatibla.
I följande tabell förklaras de regler som inte är kompatibla och orsaken till det aktuella gapet:
| Regelnamn | Förväntade | Faktisk | Logik | Kommentarer |
|---|---|---|---|---|
| Interaktiv inloggning: Meddelandetext för användare som försöker logga in | Förväntade: | Faktiska: | Operatör: NOTEQUALS |
Vi förväntar oss att du definierar det här värdet utan driftkontroll på plats. |
| Interaktiv inloggning: Meddelanderubrik för användare som försöker logga in | Förväntade: | Faktiska: | Operatör: NOTEQUALS |
Vi förväntar oss att du definierar det här värdet utan driftkontroll på plats. |
| Minsta längd på lösenord | Förväntat: 14 | Faktiskt: 0 | Operatör: GREATEROREQUAL |
Vi förväntar oss att du definierar det här värdet utan driftkontroll på plats som överensstämmer med organisationens princip. |
| Förhindra hämtning av enhetsmetadata från Internet | Förväntat: 1 | Faktiskt: (null) | Operatör: MOTSVARAR |
Den här kontrollen gäller inte för Azure Stack HCI. |
| Förhindra användare och appar från att komma åt farliga webbplatser | Förväntat: 1 | Faktiskt: (null) | Operatör: MOTSVARAR |
Den här kontrollen är en del av Windows Defender-skydd, inte aktiverat som standard. Du kan utvärdera om du vill aktivera. |
| Härdade UNC-sökvägar – NETLOGON | Förväntade: RequireMutualAuthentication=1 RequireIntegrity=1 |
Faktiskt: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operatör: MOTSVARAR |
Azure Stack HCI är mer restriktivt. Den här regeln kan ignoreras på ett säkert sätt. |
| Härdade UNC-sökvägar – SYSVOL | Förväntade: RequireMutualAuthentication=1 RequireIntegrity=1 |
Faktiska: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operatör: MOTSVARAR |
Azure Stack HCI är mer restriktivt. Den här regeln kan ignoreras på ett säkert sätt. |
Hantera standardinställningar för säkerhet med PowerShell
När driftskydd är aktiverat kan du bara ändra icke-skyddade säkerhetsinställningar. Om du vill ändra skyddade säkerhetsinställningar som utgör baslinjen måste du först inaktivera driftskydd. Om du vill visa och ladda ned den fullständiga listan över säkerhetsinställningar läser du Säkerhetsbaslinje.
Ändra standardinställningar för säkerhet
Börja med den första säkerhetsbaslinjen och ändra sedan driftkontroll och skyddade säkerhetsinställningar som definierats under distributionen.
Aktivera driftkontroll
Använd följande steg för att aktivera driftkontroll:
Anslut till din Azure Stack HCI-nod.
Kör följande cmdlet:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Lokal – Påverkar endast den lokala noden.
- Kluster – Påverkar alla noder i klustret med hjälp av orchestrator.
Inaktivera driftkontroll
Använd följande steg för att inaktivera driftkontroll:
Anslut till din Azure Stack HCI-nod.
Kör följande cmdlet:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Lokal – Påverkar endast den lokala noden.
- Kluster – Påverkar alla noder i klustret med hjälp av orchestrator.
Viktigt
Om du inaktiverar driftkontroll kan de skyddade inställningarna ändras. Om du aktiverar avvikelsekontroll igen skrivs alla ändringar som du har gjort i de skyddade inställningarna över.
Konfigurera säkerhetsinställningar under distributionen
Som en del av distributionen kan du ändra driftkontroll och andra säkerhetsinställningar som utgör säkerhetsbaslinjen i klustret.
I följande tabell beskrivs säkerhetsinställningar som kan konfigureras i ditt Azure Stack HCI-kluster under distributionen.
| Funktionsområde | Funktion | Beskrivning | Har du stöd för driftkontroll? |
|---|---|---|---|
| Styrning | Säkerhetsbaslinje | Underhåller standardinställningarna för säkerhet på varje server. Skyddar mot ändringar. | Yes |
| Skydd mot autentiseringsuppgifter | Windows Defender Credential Guard | Använder virtualiseringsbaserad säkerhet för att isolera hemligheter från stöld av autentiseringsuppgifter. | Yes |
| Programregleringstyp | Windows Defender-programkontroll | Styr vilka drivrutiner och appar som tillåts köras direkt på varje server. | No |
| Kryptering av vilande data | BitLocker för OS-startvolym | Krypterar os-startvolymen på varje server. | No |
| Kryptering av vilande data | BitLocker för datavolymer | Krypterar klusterdelade volymer (CSV:er) i det här klustret | No |
| Skydd mot data under överföring | Signering för extern SMB-trafik | Signerar SMB-trafik mellan det här systemet och andra för att förhindra reläattacker. | Yes |
| Skydd mot data under överföring | SMB-kryptering för trafik i kluster | Krypterar trafik mellan servrar i klustret (i ditt lagringsnätverk). | No |
Ändra säkerhetsinställningar efter distributionen
När distributionen är klar kan du använda PowerShell för att ändra säkerhetsinställningarna samtidigt som du behåller driftkontrollen. Vissa funktioner kräver en omstart för att börja gälla.
Egenskaper för PowerShell-cmdlet
Följande cmdlet-egenskaper gäller för modulen AzureStackOSConfigAgent . Modulen installeras under distributionen.
Get-AzsSecurity-Omfattning: <Lokal | PerNode | AllNodes | Kluster>- Lokalt – Ger booleskt värde (sant/falskt) på den lokala noden. Kan köras från en vanlig PowerShell-fjärrsession.
- PerNode – ger booleskt värde (sant/falskt) per nod.
- Rapport – Kräver CredSSP eller en Azure Stack HCI-server med hjälp av en RDP-anslutning (Remote Desktop Protocol).
- AllNodes – tillhandahåller booleskt värde (sant/falskt) som beräknas mellan noder.
- Kluster – Ger booleskt värde från ECE Store. Interagerar med orchestrator och agerar till alla noder i klustret.
Enable-AzsSecurity-Omfång <lokalt | Kluster>Disable-AzsSecurity-Omfång <lokalt | Kluster>- FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Credential Guard
- Driftkontroll
- VBS (virtualiseringsbaserad säkerhet)– Vi stöder endast aktivera-kommando.
- DRTM (dynamisk rot av förtroende för mätning)
- HVCI (Hypervisor framtvingas om kodintegritet)
- Minskning av sidokanal
- SMB-kryptering
- SMB-signering
- FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
Följande tabell dokumenterar säkerhetsfunktioner som stöds, om de stöder driftkontroll och om en omstart krävs för att implementera funktionen.
| Name | Funktion | Stöder driftkontroll | Omstart krävs |
|---|---|---|---|
| Aktivera |
Virtualiseringsbaserad säkerhet (VBS) | Ja | Yes |
| Aktivera Inaktivera |
Dynamisk rot av förtroende för mätning (DRTM) | Ja | Yes |
| Aktivera Inaktivera |
Hypervisor-skyddad kodintegritet (HVCI) | Ja | Yes |
| Aktivera Inaktivera |
Minskning av sidokanal | Ja | Yes |
| Aktivera Inaktivera |
SMB-signering | Ja | Yes |
| Aktivera Inaktivera |
SMB-klusterkryptering | Nej, klusterinställning | Nej |