Konfigurera Azure Stack Hub-säkerhetskontroller
Den här artikeln förklarar de säkerhetskontroller som kan ändras i Azure Stack Hub och belyser kompromisserna där det är tillämpligt.
Azure Stack Hub-arkitekturen bygger på två grundpelare för säkerhetsprinciper: anta intrång och förstärkt som standard. Mer information om säkerhet i Azure Stack Hub finns i Säkerhetsstatus för Azure Stack Hub-infrastruktur. Standardsäkerhetsstatusen för Azure Stack Hub är produktionsklar, men det finns vissa distributionsscenarier som kräver ytterligare härdning.
Princip för TLS-version
TLS-protokollet (Transport Layer Security) är ett allmänt antaget kryptografiskt protokoll för att upprätta krypterad kommunikation över nätverket. TLS har utvecklats med tiden och flera versioner har släppts. Azure Stack Hub-infrastrukturen använder uteslutande TLS 1.2 för all kommunikation. För externa gränssnitt använder Azure Stack Hub för närvarande TLS 1.2 som standard. Men för bakåtkompatibilitet stöder det också förhandlingar ned till TLS 1.1. och 1.0. När en TLS-klient begär att få kommunicera via TLS 1.1 eller TLS 1.0 godkänner Azure Stack Hub begäran genom att förhandla till en lägre TLS-version. Om klienten begär TLS 1.2 upprättar Azure Stack Hub en TLS-anslutning med TLS 1.2.
Eftersom TLS 1.0 och 1.1 stegvis blir inaktuella eller förbjudna av organisationer och efterlevnadsstandarder kan du nu konfigurera TLS-principen i Azure Stack Hub. Du kan tillämpa en princip för endast TLS 1.2 om alla försök att upprätta en TLS-session med en version som är lägre än 1.2 inte tillåts och avvisas.
Viktigt
Microsoft rekommenderar att du använder principen endast TLS 1.2 för Azure Stack Hub-produktionsmiljöer.
Hämta TLS-princip
Använd den privilegierade slutpunkten (PEP) för att visa TLS-principen för alla Azure Stack Hub-slutpunkter:
Get-TLSPolicy
Exempel på utdata:
TLS_1.2
Ange TLS-princip
Använd den privilegierade slutpunkten (PEP) för att ange TLS-principen för alla Azure Stack Hub-slutpunkter:
Set-TLSPolicy -Version <String>
Parametrar för Cmdleten Set-TLSPolicy :
Parameter | Beskrivning | Typ | Obligatorisk |
---|---|---|---|
Version | Tillåtna versioner av TLS i Azure Stack Hub | Sträng | ja |
Använd något av följande värden för att konfigurera de tillåtna TLS-versionerna för alla Azure Stack Hub-slutpunkter:
Versionsvärde | Description |
---|---|
TLS_All | Azure Stack Hub TLS-slutpunkter stöder TLS 1.2, men nedförhandling till TLS 1.1 och TLS 1.0 tillåts. |
TLS_1.2 | Azure Stack Hub TLS-slutpunkter stöder endast TLS 1.2. |
Det tar några minuter att uppdatera TLS-principen.
Använd TLS 1.2-konfigurationsexempel
I det här exemplet anges TLS-principen så att endast TLS 1.2 tillämpas.
Set-TLSPolicy -Version TLS_1.2
Exempel på utdata:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
Tillåt alla versioner av TLS-konfigurationsexempel (1.2, 1.1 och 1.0)
I det här exemplet anges din TLS-princip så att alla versioner av TLS (1.2, 1.1 och 1.0 tillåts).
Set-TLSPolicy -Version TLS_All
Exempel på utdata:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Juridiskt meddelande för PEP-sessioner
Det finns scenarier där det är användbart att visa ett juridiskt meddelande vid inloggning till en PEP-session (Privileged Endpoint ). Cmdletarna Set-AzSLegalNotice och Get-AzSLegalNotice används för att hantera bildtext och brödtexten i sådan juridisk meddelandetext.
Information om hur du anger bildtext och text finns i cmdleten Set-AzSLegalNotice. Om det juridiska meddelandet bildtext och text har angetts tidigare kan du granska dem med hjälp av cmdleten Get-AzSLegalNotice.