Azure Stack HCI 版本 23H2 的安全功能
适用于:Azure Stack HCI 版本 23H2
Azure Stack HCI 是一种默认安全产品,从一开始就启用了 300 多个安全设置。 默认安全设置提供一致的安全基线,以确保设备启动处于已知良好的状态。
本文简要概述了与 Azure Stack HCI 群集关联的各种安全功能。 功能包括安全默认值、应用程序控制 (WDAC) Windows Defender、通过 BitLocker 进行卷加密、机密轮换、本地内置用户帐户、Microsoft Defender for Cloud 等。
安全默认值
默认情况下,Azure Stack HCI 具有启用的安全设置,可提供一致的安全基线、基线管理系统和偏移控制机制。
可以在部署和运行时期间监视安全基线和安全核心设置。 配置安全设置时,还可以在部署期间禁用偏移控制。
应用偏移控制后,安全设置每 90 分钟刷新一次。 此刷新间隔可确保修正来自所需状态的任何更改。 持续监视和自动修复可在整个设备的生命周期内实现一致且可靠的安全态势。
Azure Stack HCI 上的安全基线:
- 通过禁用旧协议和密码来改善安全状况。
- 通过内置的偏移保护机制减少 OPEX,该机制通过 Azure Arc 混合 Edge 基线实现一致的大规模监视。
- 使你能够满足 INTERNET 安全中心 (CIS) 基准和国防信息系统机构 (DISA) 安全技术实施指南 (STIG) OS 和建议的安全基线的要求。
有关详细信息,请参阅 管理 Azure Stack HCI 上的安全默认值。
Windows Defender 应用程序控制
WDAC 是基于软件的安全层,它通过强制实施允许运行的软件的显式列表来减少攻击面。 WDAC 默认启用,并限制可在核心平台上运行的应用程序和代码。 有关详细信息,请参阅管理 Azure Stack HCI Windows Defender应用程序控制版本 23H2。
WDAC 提供两种main操作模式:强制模式和审核模式。 在强制模式下,将阻止不受信任的代码并记录事件。 在审核模式下,允许运行不受信任的代码并记录事件。 若要详细了解 WDAC 相关事件,请参阅 事件列表。
重要
若要最大程度地降低安全风险,请始终在强制模式下运行 WDAC。
关于 WDAC 策略设计
Microsoft 在 Azure Stack HCI 上为强制模式和审核模式提供基本签名策略。 此外,策略包括一组预定义的平台行为规则和要应用于应用程序控制层的块规则。
基本策略的构成
Azure Stack HCI 基本策略包括以下部分:
- 元数据:元数据定义策略的唯一属性,例如策略名称、版本、GUID 等。
- 选项规则:这些规则定义策略行为。 补充策略只能与与其基本策略绑定的一小部分选项规则不同。
- 允许和拒绝规则:这些规则定义代码信任边界。 规则可以基于发布者、签名者、文件哈希等。
选项规则
本部分讨论了由基本策略启用的选项规则。
对于强制执行的策略,默认启用以下选项规则:
选项规则 | 值 |
---|---|
已启用 | UMCI |
必需 | WHQL |
已启用 | 允许补充策略 |
已启用 | 吊销已过期为无符号 |
已禁用 | 外部测试版签名 |
已启用 | 未签名的系统完整性策略 (默认) |
已启用 | 动态代码安全性 |
已启用 | “高级启动选项”菜单 |
已禁用 | 脚本强制实施 |
已启用 | 托管安装程序 |
已启用 | 更新策略不重启 |
审核策略将以下选项规则添加到基本策略:
选项规则 | 值 |
---|---|
已启用 | 审核模式 (默认) |
有关详细信息,请参阅 选项规则的完整列表。
允许和拒绝规则
允许基本策略中的规则允许信任 OS 和云部署提供的所有 Microsoft 组件。 拒绝规则会阻止认为对解决方案的安全状况不安全的用户模式应用程序和内核组件。
注意
基策略中的“允许”和“拒绝”规则会定期更新,以提高产品功能并最大程度地保护解决方案。
若要详细了解拒绝规则,请参阅:
BitLocker 加密
对部署期间创建的数据卷启用静态数据加密。 这些数据卷包括基础结构卷和工作负载卷。 部署群集时,可以修改安全设置。
默认情况下,在部署期间启用静态数据加密。 建议接受默认设置。
成功部署 Azure Stack HCI 后,可以检索 BitLocker 恢复密钥。 必须将 BitLocker 恢复密钥存储在系统外部的安全位置。
有关 BitLocker 加密的详细信息,请参阅:
本地内置用户帐户
在此版本中,Azure Stack HCI 系统上提供与 和 关联的 RID 500
以下 RID 501
本地内置用户:
初始 OS 映像中的名称 | 部署后的名称 | 默认情况下启用 | 说明 |
---|---|---|---|
Administrator | ASBuiltInAdmin | True | 用于管理计算机/域的内置帐户。 |
来宾 | ASBuiltInGuest | False | 用于来宾访问计算机/域的内置帐户,受安全基线偏移控制机制保护。 |
重要
建议创建自己的本地管理员帐户,并禁用已知 RID 500
用户帐户。
机密创建和轮换
Azure Stack HCI 中的业务流程协调程序需要多个组件来保持与其他基础结构资源和服务的安全通信。 群集上运行的所有服务都具有与之关联的身份验证和加密证书。
为了确保安全性,我们实现了内部机密创建和轮换功能。 查看群集节点时,会看到在 localMachine/Personal 证书存储路径下创建了多个证书, (Cert:\LocalMachine\My
) 。
在此版本中,启用了以下功能:
- 能够在部署期间和群集缩放操作后创建证书。
- 证书过期前自动轮换,以及用于在群集生存期内轮换证书的选项。
- 监视证书是否仍然有效并发出警报的功能。
注意
机密创建和轮换操作大约需要 10 分钟才能完成,具体取决于群集的大小。
有关详细信息,请参阅 管理机密轮换。
安全事件的 Syslog 转发
对于需要自己的本地安全信息和事件管理 (SIEM) 系统的客户和组织,Azure Stack HCI 版本 23H2 包含一个集成机制,使你能够将与安全相关的事件转发到 SIEM。
Azure Stack HCI 具有集成的 syslog 转发器,配置后,该转发器将生成 RFC3164 中定义的 syslog 消息,有效负载采用通用事件格式 (CEF) 。
下图演示了 Azure Stack HCI 与 SIEM 的集成。 所有审核、安全日志和警报都会在每个主机上收集,并通过带有 CEF 有效负载的 syslog 公开。
Syslog 转发代理部署在每个 Azure Stack HCI 主机上,用于将 syslog 消息转发到客户配置的 syslog 服务器。 Syslog 转发代理彼此独立工作,但可以在任何一个主机上一起管理。
Azure Stack HCI 中的 syslog 转发器支持各种配置,具体取决于 syslog 转发是使用 TCP 还是 UDP,是否启用加密,以及是否存在单向或双向身份验证。
有关详细信息,请参阅 管理 syslog 转发。
Microsoft Defender for Cloud (预览版)
Microsoft Defender for Cloud 是一种具有高级威胁防护功能的安全态势管理解决方案。 它提供的工具可用于评估基础结构的安全状态、保护工作负载、引发安全警报,并遵循特定建议来修正攻击和应对未来威胁。 它通过 Azure 服务的自动预配和保护,在云中高速执行所有这些服务,且无部署开销。
使用基本的 Defender for Cloud 计划,你可以获得有关如何改善 Azure Stack HCI 系统安全状况的建议,而无需额外付费。 使用付费 Defender for Servers 计划,可以获得增强的安全功能,包括针对单个服务器和 Arc VM 的安全警报。
有关详细信息,请参阅使用 Microsoft Defender for Cloud (预览版) 管理系统安全性。