Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunlar için geçerlidir: Azure Yerel'in hiper yakınsanmış dağıtımları
Bu makalede, Azure Yerel örneğiniz için varsayılan güvenlik ayarlarının nasıl yönetileceğini açıklar. Ayrıca, cihazınızın bilinen iyi durumda başlaması için dağıtım sırasında tanımlanan kayma denetimini ve korumalı güvenlik ayarlarını değiştirebilirsiniz.
Önkoşullar
Başlamadan önce dağıtılan, kaydedilen ve Azure'a bağlı bir Azure Yerel sistemine erişiminiz olduğundan emin olun.
Azure portalında güvenlik varsayılan ayarlarını görüntüleme
Azure portalında güvenlik varsayılan ayarlarını görüntülemek için MCSB girişimini uyguladığınıza emin olun. Daha fazla bilgi için bkz. Microsoft Cloud Security Benchmark girişimini uygulama.
Sisteminizde sistem güvenliğini, kayma denetimini ve Güvenli çekirdek ayarlarını yönetmek için güvenlik varsayılan ayarlarını kullanabilirsiniz.
Veri korumaları>Ağ koruması sekmesinde SMB imzalama durumunu görüntüleyin. SMB imzalama, Azure Yerel örneğiyle diğer sistemler arasında SMB trafiğini dijital olarak imzalamanıza olanak tanır.
Azure portalında güvenlik temeli uyumluluğunu görüntüleme
Azure Yerel örneğinizi Bulut için Microsoft Defender'a kaydettikten veya windows makinelerinin Azure işlem güvenlik temelinin gereksinimlerini karşılaması gereken yerleşik ilkeyi atadıktan sonra bir uyumluluk raporu oluşturulur. Azure Yerel örneğinizin karşılaştırılması gereken kuralların tam listesi için bkz. Windows güvenlik temeli.
Azure Yerel konak makinesinde, Güvenli çekirdek için gerekli olan tüm donanım gereksinimleri karşılandığında, uyumluluk kurallarının %99'unun uyumlu olması varsayılan beklenen uyumluluk puanıdır.
Aşağıdaki tabloda uyumlu olmayan kurallar ve geçerli boşluğun mantığı açıklanmaktadır:
| Kural adı | Uyumluluk durumu | Nedeni | Açıklamalar |
|---|---|---|---|
| Etkileşimli oturum açma: Oturum açmaya çalışan kullanıcılar için ileti metni | Uyumlu değil | Uyarı - ""eşittir"" | Bu, müşteri tarafından tanımlanmalıdır, sürüklenme denetimi etkin değildir. |
| Etkileşimli oturum açma: Oturum açmaya çalışan kullanıcılar için ileti başlığı | Uyumlu Değil | Uyarı - "" eşittir "" | Bu, müşteri tarafından tanımlanmalıdır, sürüklenme denetimi etkin değildir. |
| Parola uzunluğu alt sınırı | Uyumlu Değil | Kritik - Yedi, 14'ün minum değerinden küçüktür. | Bunun müşteri tarafından tanımlanması gerekir, bu ayarın kuruluşunuzun ilkeleriyle uyumlu olmasını sağlamak için sürüklenme denetimi etkinleştirilmez. |
Kurallara uyumu düzenleme
Kuralların uyumluluğunu düzeltmek için aşağıdaki komutları çalıştırın veya tercih ettiğiniz başka bir aracı kullanın:
Yasal bildirim: Kuruluşunuzun ihtiyaçlarına ve ilkelerine bağlı olarak yasal bildirim için özel bir değer oluşturun. Aşağıdaki komutları çalıştırın:
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice" Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"En düşük parola uzunluğu: Azure Yerel makinesinde en düşük parola uzunluğu ilkesini 14 karakter olarak ayarlayın. Varsayılan değer 7'dir ve 14'in altındaki tüm değerler izleme temel ilkesi tarafından işaretlenir. Aşağıdaki komutları çalıştırın:
net accounts /minpwlen:14
PowerShell ile güvenlik varsayılanlarını yönetme
Kayma koruması etkinleştirildiğinde, yalnızca korumasız güvenlik ayarlarını değiştirebilirsiniz. Temeli oluşturan korumalı güvenlik ayarlarını değiştirmek için önce kayma korumasını devre dışı bırakmanız gerekir.
Güvenlik ayarlarını görüntüleme ve indirme
Çalıştırdığınız yazılım sürümüne göre güvenlik ayarlarının tam listesini görüntülemek ve indirmek için aşağıdaki tabloyu kullanın.
| Azure Yerel çözüm sürümü | Azure Yerel İşletim Sistemi sürümünü çalıştırma | Ayarlar csv dosyası için indirme bağlantısı |
|---|---|---|
| v 2505 ve önceki sürümleri çalıştıran dağıtımlar | İşletim sistemi derlemesi 25398.xxxx çalıştırılıyor ve etki alanına bağlı. | Güvenlik temel ayarları indir |
| v 2506 ve üzerini çalıştıran dağıtımlar | Çalıştırılan işletim sistemi derlemesi 26100.xxxx ve etki alanına katılmıştır | Güvenlik temel ayarları indir |
| v 2506 ve üzerini çalıştıran dağıtımlar | İşletim sistemi sürümü 26100.xxxx çalıştırılıyor ve etki alanına dahil edilmemiş (AD'siz olarak da bilinir) | Güvenlik temel ayarları indir |
Güvenlik varsayılanlarını değiştirme
İlk güvenlik temeli ile başlayın ve dağıtım sırasında tanımlanan kayma denetimini ve korumalı güvenlik ayarlarını değiştirin.
Kayma denetimini etkinleştirme
Kayma denetimini etkinleştirmek için aşağıdaki adımları kullanın:
Azure Yerel makinenize bağlanın.
Aşağıdaki cmdlet'i çalıştırın:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Yerel - Yalnızca yerel düğümü etkiler.
- Küme - Düzenleyiciyi kullanarak kümedeki tüm düğümleri etkiler.
Kayma denetimini devre dışı bırakma
Kayma denetimini devre dışı bırakmak için aşağıdaki adımları kullanın:
Azure Yerel makinenize bağlanın.
Aşağıdaki cmdlet'i çalıştırın:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Yerel - Yalnızca yerel düğümü etkiler.
- Küme - Düzenleyiciyi kullanarak kümedeki tüm düğümleri etkiler.
Önemli
Kayma denetimini devre dışı bırakırsanız, korumalı ayarlar değiştirilebilir. Sürüklenme denetimini yeniden etkinleştirirseniz, korumalı ayarlarda yaptığınız tüm değişiklikler geçersiz kılınır.
Dağıtım sırasında güvenlik ayarlarını yapılandırma
Dağıtımın bir parçası olarak, kümenizdeki güvenlik temelini oluşturan kayma denetimini ve diğer güvenlik ayarlarını değiştirebilirsiniz.
Aşağıdaki tabloda, dağıtım sırasında Azure Yerel örneğinizde yapılandırabileceğiniz güvenlik ayarları açıklanmaktadır.
| Özellik alanı | Özellik | Açıklama | Kayma denetimini destekliyor mu? |
|---|---|---|---|
| İdare | Güvenlik temeli | Her düğümde güvenlik varsayılanlarını korur. Değişikliklere karşı korumaya yardımcı olur. | Evet |
| Kimlik bilgisi koruması | Windows Defender Credential Guard | Gizli bilgileri kimlik bilgisi hırsızlığı saldırılarından korumak için sanallaştırmaya dayalı güvenlik kullanır. | Evet |
| Uygulama denetimi | Windows Defender Uygulaması denetimi | Hangi sürücülerin ve uygulamaların her düğümde doğrudan çalışmasına izin verilip verilmiyor olduğunu denetler. | Hayır |
| Duran veri şifrelemesi | İşletim sistemi önyükleme birimi için BitLocker | Her düğümdeki işletim sistemi başlangıç birimini şifreler. | Hayır |
| Duran veri şifrelemesi | Veri birimleri için BitLocker | Bu sistemdeki küme paylaşılan birimlerini (CSV) şifreler | Hayır |
| Aktarım sırasında veri koruması | Dış SMB trafiği için imzalama | Geçiş saldırılarını önlemeye yardımcı olmak için bu sistem ve diğer sistemler arasındaki SMB trafiğini imzalar. | Evet |
| Aktarım sırasında veri koruması | Küme içi trafik için SMB Şifrelemesi | Sistemdeki düğümler (depolama ağınızda) arasındaki trafiği şifreler. | Hayır |
Dağıtımdan sonra güvenlik ayarlarını değiştirme
Dağıtım tamamlandıktan sonra, kayma denetimini korurken güvenlik ayarlarını değiştirmek için PowerShell'i kullanabilirsiniz. Bazı özelliklerin etkili olması için yeniden başlatma gerekir.
PowerShell cmdlet özellikleri
Aşağıdaki cmdlet özellikleri AzureStackOSConfigAgent modülüne yöneliktir . Modül dağıtım sırasında yüklenir.
Get-AzsSecurity-Kapsam: <Yerel | HerDüğüm | TümDüğümler | Küme>- Yerel - Yerel düğümde boole değeri (doğru/yanlış) sağlar. Normal bir uzak PowerShell oturumundan çalıştırılabilir.
- PerNode - Düğüm başına boole değeri (doğru/yanlış) sağlar.
-
Rapor - CredSSP veya bir uzak masaüstü protokolü (RDP) bağlantısı kullanan Azure yerel makinesi gerektirir.
- AllNodes – Düğümler arasında hesaplanan boole değeri (true/false) sağlar.
- Küme – ECE deposundan boolean değeri döndürür. Düzenleyiciyle etkileşim kurar ve kümedeki tüm düğümlere göre hareket eder.
Enable-AzsSecurity-Kapsam <Yerel | Küme>Disable-AzsSecurity-Kapsam <Yerel | Küme>ÖzellikAdı - <Kimlik Koruma | Kayma Kontrolü | DRTM | HVCI | Yan Kanal Azaltma | SMB Şifreleme | SMB İmzalama | VBS>
- Kayma Kontrolü
- Credential Guard (Kimlik Bilgisi Koruması)
- VBS (Sanallaştırma Tabanlı Güvenlik)- Yalnızca enable komutunu destekliyoruz.
- DRTM (Ölçüm için Dinamik Güven Kökü)
- HVCI (Kod Bütünlüğü Hiper Yönetici Tarafından Sağlanır)
- Yan Kanal Azaltımı
- SMB İmzalama
- SMB Kümesi şifrelemesi
Önemli
Enable AzsSecurityveDisable AzsSecuritycmdlet'leri yalnızca yeni dağıtımlarda veya güvenlik temelleri düğümlere düzgün uygulandıktan sonra yükseltilen dağıtımlarda kullanılabilir. Daha fazla bilgi için bkz. Azure Local'ı yükselttikten sonra güvenliği yönetme.
Aşağıdaki tabloda desteklenen güvenlik özellikleri, kayma denetimini destekleyip desteklemedikleri ve özelliği uygulamak için yeniden başlatma gerekip gerekmediği belgelenmiştir.
| Veri Akışı Adı | Özellik | Kayma denetimini destekler | Yeniden başlatma gerekiyor |
|---|---|---|---|
| Etkinleştir |
Sanallaştırma Tabanlı Güvenlik (VBS) | Evet | Evet |
| Etkinleştir |
Credential Guard (Kimlik Bilgisi Koruması) | Evet | Evet |
| Etkinleştir Devre Dışı Bırak |
Ölçüm için Dinamik Güven Kökü (DRTM) | Evet | Evet |
| Etkinleştir Devre Dışı Bırak |
Hiperdenetleyici Korumalı Kod Bütünlüğü (HVCI) | Evet | Evet |
| Etkinleştir Devre Dışı Bırak |
Yan kanal risk azaltma | Evet | Evet |
| Etkinleştir Devre Dışı Bırak |
SMB imzalama | Evet | Evet |
| Etkinleştir Devre Dışı Bırak |
SMB kümesi şifrelemesi | Hayır, küme ayarı | Hayır |