Hantera standardinställningar för säkerhet för Azure Stack HCI, version 23H2
Gäller för: Azure Stack HCI, version 23H2
Den här artikeln beskriver hur du hanterar standardsäkerhetsinställningar för ditt Azure Stack HCI-kluster. Du kan också ändra driftkontroll och skyddade säkerhetsinställningar som definierats under distributionen så att enheten startar i ett känt bra tillstånd.
Förutsättningar
Innan du börjar kontrollerar du att du har åtkomst till ett Azure Stack HCI-system version 23H2 som distribueras, registreras och är anslutet till Azure.
Visa standardinställningar för säkerhet i Azure Portal
Om du vill visa standardinställningarna för säkerhet i Azure Portal kontrollerar du att du har tillämpat MCSB-initiativet. Mer information finns i Använda Microsoft Cloud Security Benchmark-initiativet.
Du kan använda standardinställningarna för säkerhet för att hantera klustersäkerhet, driftkontroll och säkra kärnserverinställningar i klustret.
Visa SMB-signeringsstatusen > under flikenDataskyddsnätverksskydd. Med SMB-signering kan du signera SMB-trafik digitalt mellan ett Azure Stack HCI-system och andra system.
Visa säkerhetsbaslinjeefterlevnad i Azure Portal
När du har registrerat ditt Azure Stack HCI-system med Microsoft Defender för molnet eller tilldelats den inbyggda principen genereras en rapport för dina servrar. Nu bör Windows-datorer uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen. En fullständig lista över regler som din Azure Stack HCI-server jämförs med finns i Säkerhetsbaslinje för Windows.
För Azure Stack HCI-servern är efterlevnadspoängen 281 av 288 när alla maskinvarukrav för Secured-core uppfylls. Den här poängen anger att 281 av 288 regler är kompatibla.
I följande tabell förklaras de regler som inte är kompatibla och logiken för det aktuella gapet:
| Regelnamn | Förväntade | Faktisk | Logik | Kommentarer |
|---|---|---|---|---|
| Interaktiv inloggning: Meddelandetext för användare som försöker logga in | Förväntade: | Faktiska: | Operatör: NOTEQUALS |
Vi förväntar oss att du definierar det här värdet utan driftkontroll på plats. |
| Interaktiv inloggning: Meddelanderubrik för användare som försöker logga in | Förväntade: | Faktiska: | Operatör: NOTEQUALS |
Vi förväntar oss att du definierar det här värdet utan driftkontroll på plats. |
| Minsta längd på lösenord | Förväntade: 14 | Faktisk: 0 | Operatör: GREATEROREQUAL |
Vi förväntar oss att du definierar det här värdet utan någon driftkontroll på plats som överensstämmer med organisationens princip. |
| Förhindra hämtning av enhetsmetadata från Internet | Förväntade: 1 | Faktiskt: (null) | Operatör: MOTSVARAR |
Den här kontrollen gäller inte för Azure Stack HCI. |
| Förhindra användare och appar från att komma åt farliga webbplatser | Förväntade: 1 | Faktiskt: (null) | Operatör: MOTSVARAR |
Den här kontrollen är en del av Windows Defender skydd, inte aktiverat som standard. Du kan utvärdera om du vill aktivera. |
| Härdade UNC-sökvägar – NETLOGON | Förväntade: RequireMutualAuthentication=1 RequireIntegrity=1 |
Faktiskt: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operatör: MOTSVARAR |
Azure Stack HCI är mer restriktivt. Den här regeln kan ignoreras på ett säkert sätt. |
| Härdade UNC-sökvägar – SYSVOL | Förväntade: RequireMutualAuthentication=1 RequireIntegrity=1 |
Faktiska: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operatör: MOTSVARAR |
Azure Stack HCI är mer restriktivt. Den här regeln kan ignoreras på ett säkert sätt. |
Hantera standardinställningar för säkerhet med PowerShell
Med driftskydd aktiverat kan du bara ändra oskyddade säkerhetsinställningar. Om du vill ändra skyddade säkerhetsinställningar som utgör baslinjen måste du först inaktivera driftskydd. Information om hur du visar och laddar ned den fullständiga listan över säkerhetsinställningar finns i SecurityBaseline.
Ändra standardinställningar för säkerhet
Börja med den första säkerhetsbaslinjen och ändra sedan driftkontroll och skyddade säkerhetsinställningar som definierats under distributionen.
Aktivera driftkontroll
Använd följande steg för att aktivera driftkontroll:
Anslut till din Azure Stack HCI-nod.
Kör följande cmdlet:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Lokalt – Påverkar endast den lokala noden.
- Kluster – Påverkar alla noder i klustret med hjälp av orchestrator.
Inaktivera driftkontroll
Använd följande steg för att inaktivera driftkontroll:
Anslut till din Azure Stack HCI-nod.
Kör följande cmdlet:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Lokalt – Påverkar endast den lokala noden.
- Kluster – Påverkar alla noder i klustret med hjälp av orchestrator.
Konfigurera säkerhetsinställningar under distributionen
Som en del av distributionen kan du ändra driftkontroll och andra säkerhetsinställningar som utgör säkerhetsbaslinjen i klustret.
I följande tabell beskrivs säkerhetsinställningar som kan konfigureras i ditt Azure Stack HCI-kluster under distributionen.
| Funktionsområde | Funktion | Beskrivning | Har du stöd för driftkontroll? |
|---|---|---|---|
| Styrning | Säkerhetsbaslinje | Underhåller standardinställningarna för säkerhet på varje server. Skyddar mot ändringar. | Yes |
| Skydd mot autentiseringsuppgifter | Windows Defender Credential Guard | Använder virtualiseringsbaserad säkerhet för att isolera hemligheter från stöld av autentiseringsuppgifter. | Yes |
| Programregleringstyp | Windows Defender programkontroll | Styr vilka drivrutiner och appar som tillåts köras direkt på varje server. | No |
| Kryptering av vilande data | BitLocker för OS-startvolym | Krypterar os-startvolymen på varje server. | No |
| Kryptering av vilande data | BitLocker för datavolymer | Krypterar klusterdelade volymer (CSV:er) i det här klustret | No |
| Skydd mot data under överföring | Signering för extern SMB-trafik | Signerar SMB-trafik mellan det här systemet och andra för att förhindra reläattacker. | Yes |
| Skydd mot data under överföring | SMB-kryptering för trafik i kluster | Krypterar trafik mellan servrar i klustret (i ditt lagringsnätverk). | No |
Ändra säkerhetsinställningar efter distributionen
När distributionen är klar kan du använda PowerShell för att ändra säkerhetsinställningarna samtidigt som du behåller driftkontrollen. Vissa funktioner kräver en omstart för att börja gälla.
Egenskaper för PowerShell-cmdlet
Följande cmdlet-egenskaper gäller för modulen AzureStackOSConfigAgent . Modulen installeras under distributionen.
Get-AzsSecurity-Omfattning: <Lokal | PerNode | AllNodes | Kluster>- Lokalt – Ger booleskt värde (sant/falskt) på den lokala noden. Kan köras från en vanlig PowerShell-fjärrsession.
- PerNode – ger booleskt värde (sant/falskt) per nod.
- Rapport – Kräver CredSSP eller en Azure Stack HCI-server med hjälp av en RDP-anslutning (Remote Desktop Protocol).
- AllNodes – tillhandahåller booleskt värde (sant/falskt) som beräknas mellan noder.
- Kluster – Ger booleskt värde från ECE Store. Interagerar med orchestrator och agerar till alla noder i klustret.
Enable-AzsSecurity-Omfång <lokalt | Kluster>Disable-AzsSecurity-Omfång <lokalt | Kluster>- FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Credential Guard
- Driftkontroll
- VBS (virtualiseringsbaserad säkerhet)– Vi stöder endast aktivera-kommando.
- DRTM (dynamisk rot av förtroende för mätning)
- HVCI (Hypervisor framtvingas om kodintegritet)
- Minskning av sidokanal
- SMB-kryptering
- SMB-signering
- FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
Följande tabell dokumenterar säkerhetsfunktioner som stöds, om de stöder driftkontroll och om en omstart krävs för att implementera funktionen.
| Name | Funktion | Stöder driftkontroll | Omstart krävs |
|---|---|---|---|
| Aktivera |
Virtualiseringsbaserad säkerhet (VBS) | Ja | Yes |
| Aktivera Inaktivera |
Dynamisk rot av förtroende för mätning (DRTM) | Ja | Yes |
| Aktivera Inaktivera |
Hypervisor-skyddad kodintegritet (HVCI) | Ja | Yes |
| Aktivera Inaktivera |
Minskning av sidokanal | Ja | Yes |
| Aktivera Inaktivera |
SMB-signering | Ja | Yes |
| Aktivera Inaktivera |
SMB-klusterkryptering | Nej, klusterinställning | Nej |
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för