Azure Stack HCI, sürüm 23H2 için güvenlik varsayılanlarını yönetme
Şunlar için geçerlidir: Azure Stack HCI, sürüm 23H2
Bu makalede, Azure Stack HCI kümeniz için varsayılan güvenlik ayarlarının nasıl yönetileceğini açıklar. Ayrıca, cihazınızın bilinen iyi durumda başlaması için dağıtım sırasında tanımlanan kayma denetimini ve korumalı güvenlik ayarlarını değiştirebilirsiniz.
Önkoşullar
Başlamadan önce dağıtılan, kaydedilen ve Azure'a bağlı bir Azure Stack HCI, sürüm 23H2 sistemine erişiminiz olduğundan emin olun.
Azure portalında güvenlik varsayılan ayarlarını görüntüleme
Azure portalında güvenlik varsayılan ayarlarını görüntülemek için MCSB girişimini uyguladığınıza emin olun. Daha fazla bilgi için bkz . Microsoft Cloud Security Benchmark girişimini uygulama.
Kümenizdeki küme güvenliğini, kayma denetimini ve Güvenli çekirdek sunucu ayarlarını yönetmek için güvenlik varsayılan ayarlarını kullanabilirsiniz.
Veri korumaları>Ağ koruması sekmesinde SMB imzalama durumunu görüntüleyin. SMB imzalama, Azure Stack HCI sistemiyle diğer sistemler arasındaki SMB trafiğini dijital olarak imzalamanıza olanak tanır.
Azure portalında güvenlik temeli uyumluluğunu görüntüleme
Azure Stack HCI sisteminizi Bulut için Microsoft Defender kaydettikten veya yerleşik ilkeyi atadıktan sonra Windows makineleri Azure işlem güvenlik temelinin gereksinimlerini karşılamalıdır, bir uyumluluk raporu oluşturulur. Azure Stack HCI sunucunuzun karşılaştırılması gereken kuralların tam listesi için bkz . Windows güvenlik temeli.
Azure Stack HCI sunucusu için, Güvenli çekirdek için tüm donanım gereksinimleri karşılandığında uyumluluk puanı 288 kuraldan 281'idir; yani 288 kuraldan 281'i uyumludur.
Aşağıdaki tabloda uyumlu olmayan kurallar ve geçerli boşluğun mantığı açıklanmaktadır:
| Kural adı | Beklenen | Gerçek | Mantık | Açıklamalar |
|---|---|---|---|---|
| Etkileşimli oturum açma: Oturum açmaya çalışan kullanıcılar için ileti metni | Beklenen: | Gerçek: | İşleç: NOTQUALS |
Bu değeri hiçbir kayma denetimi olmadan tanımlamanızı bekliyoruz. |
| Etkileşimli oturum açma: Oturum açmaya çalışan kullanıcılar için ileti başlığı | Beklenen: | Gerçek: | İşleç: NOTQUALS |
Bu değeri hiçbir kayma denetimi olmadan tanımlamanızı bekliyoruz. |
| Parola uzunluğu alt sınırı | Beklenen: 14 | Gerçek: 0 | İşleç: GREATEROREQUAL |
Bu değeri kuruluşunuzun ilkesiyle uyumlu olan bir kayma denetimi olmadan tanımlamanızı bekliyoruz. |
| İnternet'ten cihaz meta verilerinin alınmasını engelleme | Beklenen: 1 | Gerçek: (null) | İşleç: EŞİT -TİR |
Bu denetim Azure Stack HCI için geçerli değildir. |
| Kullanıcıların ve uygulamaların tehlikeli web sitelerine erişmesini engelleme | Beklenen: 1 | Gerçek: (null) | İşleç: EŞİT -TİR |
Bu denetim, Windows Defender korumalarının bir parçasıdır ve varsayılan olarak etkinleştirilmez. Etkinleştirmek isteyip istemediğinizi değerlendirebilirsiniz. |
| Sağlamlaştırılmış UNC Yolları - NETLOGON | Beklenen: RequireMutualAuthentication=1 RequireIntegrity=1 |
Gerçek: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
İşleç: EŞİT -TİR |
Azure Stack HCI daha kısıtlayıcıdır. Bu kural güvenle yoksayılabilir. |
| Sağlamlaştırılmış UNC Yolları - SYSVOL | Beklenen: RequireMutualAuthentication=1 RequireIntegrity=1 |
Gerçek: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
İşleç: EŞİT -TİR |
Azure Stack HCI daha kısıtlayıcıdır. Bu kural güvenle yoksayılabilir. |
PowerShell ile güvenlik varsayılanlarını yönetme
Kayma koruması etkinleştirildiğinde, yalnızca korumasız güvenlik ayarlarını değiştirebilirsiniz. Temeli oluşturan korumalı güvenlik ayarlarını değiştirmek için önce kayma korumasını devre dışı bırakmanız gerekir. Güvenlik ayarlarının tam listesini görüntülemek ve indirmek için bkz . Güvenlik Temeli.
Güvenlik varsayılanlarını değiştirme
İlk güvenlik temeli ile başlayın ve dağıtım sırasında tanımlanan kayma denetimini ve korumalı güvenlik ayarlarını değiştirin.
Kayma denetimini etkinleştirme
Kayma denetimini etkinleştirmek için aşağıdaki adımları kullanın:
Azure Stack HCI düğümünüze bağlanın.
Aşağıdaki cmdlet'i çalıştırın:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Yerel - Yalnızca yerel düğümü etkiler.
- Küme - Düzenleyiciyi kullanarak kümedeki tüm düğümleri etkiler.
Kayma denetimini devre dışı bırakma
Kayma denetimini devre dışı bırakmak için aşağıdaki adımları kullanın:
Azure Stack HCI düğümünüze bağlanın.
Aşağıdaki cmdlet'i çalıştırın:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Yerel - Yalnızca yerel düğümü etkiler.
- Küme - Düzenleyiciyi kullanarak kümedeki tüm düğümleri etkiler.
Önemli
Kayma denetimini devre dışı bırakırsanız, korumalı ayarlar değiştirilebilir. Sürüklenme denetimini yeniden etkinleştirirseniz, korumalı ayarlarda yaptığınız tüm değişikliklerin üzerine yazılır.
Dağıtım sırasında güvenlik ayarlarını yapılandırma
Dağıtımın bir parçası olarak, kümenizdeki güvenlik temelini oluşturan kayma denetimini ve diğer güvenlik ayarlarını değiştirebilirsiniz.
Aşağıdaki tabloda, dağıtım sırasında Azure Stack HCI kümenizde yapılandırabileceğiniz güvenlik ayarları açıklanmaktadır.
| Özellik alanı | Özellik | Açıklama | Kayma denetimini destekliyor mu? |
|---|---|---|---|
| İdare | Güvenlik temeli | Her sunucuda güvenlik varsayılanlarını korur. Değişikliklere karşı korumaya yardımcı olur. | Yes |
| Kimlik bilgisi koruması | Windows Defender Credential Guard | Gizli dizileri kimlik bilgisi hırsızlığı saldırılarından yalıtmak için sanallaştırma tabanlı güvenliği kullanır. | Yes |
| Uygulama denetimi | Windows Defender Uygulaması denetimi | Hangi sürücülerin ve uygulamaların her sunucuda doğrudan çalışmasına izin verilip verilmiyor olduğunu denetler. | Hayır |
| Bekleyen veriler şifrelemesi | İşletim sistemi için BitLocker önyükleme birimi | Her sunucudaki işletim sistemi başlangıç birimini şifreler. | Hayır |
| Bekleyen veriler şifrelemesi | Veri birimleri için BitLocker | Bu kümedeki küme paylaşılan birimlerini (CSV) şifreler | Hayır |
| Aktarım sırasında veri koruması | Dış SMB trafiği için imzalama | Geçiş saldırılarını önlemeye yardımcı olmak için bu sistem ve diğerleri arasındaki SMB trafiğini imzalar. | Yes |
| Aktarım sırasında veri koruması | Küme içi trafik için SMB Şifrelemesi | Kümedeki sunucular (depolama ağınızda) arasındaki trafiği şifreler. | Hayır |
Dağıtımdan sonra güvenlik ayarlarını değiştirme
Dağıtım tamamlandıktan sonra, kayma denetimini korurken güvenlik ayarlarını değiştirmek için PowerShell'i kullanabilirsiniz. Bazı özelliklerin etkili olması için yeniden başlatma gerekir.
PowerShell cmdlet özellikleri
Aşağıdaki cmdlet özellikleri AzureStackOSConfigAgent modülüne yöneliktir . Modül dağıtım sırasında yüklenir.
Get-AzsSecurity-Kapsam: <Yerel | PerNode | AllNodes | Küme>- Local - Yerel düğümde boole değeri (true/False) sağlar. Normal bir uzak PowerShell oturumundan çalıştırılabilir.
- PerNode - Düğüm başına boole değeri (true/False) sağlar.
- Rapor - Uzak masaüstü protokolü (RDP) bağlantısı kullanarak CredSSP veya Azure Stack HCI sunucusu gerektirir.
- AllNodes : Düğümler arasında hesaplanan boole değeri (true/False) sağlar.
- Küme – ECE deposundan boole değeri sağlar. Düzenleyiciyle etkileşim kurar ve kümedeki tüm düğümlere göre hareket eder.
Enable-AzsSecurity-Kapsam <Yerel | Küme>Disable-AzsSecurity-Kapsam <Yerel | Küme>- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Kayma Denetimi
- Credential Guard
- VBS (Sanallaştırma Tabanlı Güvenlik)- Yalnızca enable komutunu destekliyoruz.
- DRTM (Ölçüm için Dinamik Güven Kökü)
- HVCI (Kod Bütünlüğü varsa Hiper Yönetici Zorlandı)
- Yan Kanal Risk Azaltma
- SMB İmzalama
- SMB Kümesi şifrelemesi
- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
Aşağıdaki tabloda desteklenen güvenlik özellikleri, kayma denetimini destekleyip desteklemedikleri ve özelliği uygulamak için yeniden başlatma gerekip gerekmediği belgelenmiştir.
| Veri Akışı Adı | Özellik | Kayma denetimini destekler | Yeniden başlatma gerekiyor |
|---|---|---|---|
| öğesini etkinleştirin |
Sanallaştırma Tabanlı Güvenlik (VBS) | Yes | Yes |
| öğesini etkinleştirin |
Credential Guard | Yes | Yes |
| öğesini etkinleştirin Devre Dışı Bırak |
Ölçüm için Dinamik Güven Kökü (DRTM) | Yes | Yes |
| öğesini etkinleştirin Devre Dışı Bırak |
Hiper yönetici korumalı Kod Bütünlüğü (HVCI) | Yes | Yes |
| öğesini etkinleştirin Devre Dışı Bırak |
Yan kanal risk azaltma | Yes | Yes |
| öğesini etkinleştirin Devre Dışı Bırak |
SMB imzalama | Yes | Yes |
| öğesini etkinleştirin Devre Dışı Bırak |
SMB kümesi şifrelemesi | Hayır, küme ayarı | Hayır |
Sonraki adımlar
- BitLocker şifrelemeyi anlama.