管理 Azure Stack HCI 版本 23H2 的安全默认值
适用于:Azure Stack HCI 版本 23H2
本文介绍如何管理 Azure Stack HCI 群集的默认安全设置。 还可以修改部署期间定义的偏移控制和受保护的安全设置,以便设备以已知良好的状态启动。
先决条件
在开始之前,请确保有权访问已部署、注册和连接到 Azure 的 Azure Stack HCI 版本 23H2 系统。
在 Azure 门户中查看安全默认设置
若要在 Azure 门户中查看安全默认设置,请确保已应用 MCSB 计划。 有关详细信息,请参阅 应用 Microsoft 云安全基准计划。
可以使用安全默认设置来管理群集上的群集安全性、偏移控制和受保护的核心服务器设置。
在“ 数据保护>网络保护 ”选项卡下查看 SMB 签名状态。SMB 签名允许对 Azure Stack HCI 系统与其他系统之间的 SMB 流量进行数字签名。
在 Azure 门户中查看安全基线合规性
将 Azure Stack HCI 系统注册到 Microsoft Defender for Cloud 或分配内置策略后, Windows 计算机应满足 Azure 计算安全基线的要求,将生成合规性报告。 有关与 Azure Stack HCI 服务器进行比较的规则的完整列表,请参阅 Windows 安全基线。
对于 Azure Stack HCI 服务器,如果满足安全核心的所有硬件要求,则符合性分数为 281(即 288 个规则中的 281 个规则符合)。
下表解释了不符合的规则以及当前差距的基本原理:
| 规则名称 | Expected | Actual | 逻辑 | 注释 |
|---|---|---|---|---|
| 交互式登录:针对试图登录的用户的消息文本 | 预期结果: | 实际: | 运算符: NOTEQUALS |
我们希望你定义此值,且没有就地进行偏移控制。 |
| 交互式登录:针对试图登录的用户的消息标题 | 预期结果: | 实际: | 运算符: NOTEQUALS |
我们希望你定义此值,且没有就地进行偏移控制。 |
| 最短密码长度 | 预期:14 | 实际:0 | 运算符: GREATEROREQUAL |
我们希望你定义此值,且没有符合组织策略的偏移控制。 |
| 禁止从 Internet 进行设备元数据检索 | 预期:1 | 实际: (null) | 运算符: EQUALS |
此控件不适用于 Azure Stack HCI。 |
| 阻止用户和应用访问危险网站 | 预期:1 | 实际: (null) | 运算符: EQUALS |
此控件是 Windows Defender 保护的一部分,默认情况下不启用。 可以评估是否要启用。 |
| 强化的 UNC 路径 - NETLOGON | 预期结果: RequireMutualAuthentication=1 RequireIntegrity=1 |
实际:RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
运算符: EQUALS |
Azure Stack HCI 的限制更为严格。 可以安全地忽略此规则。 |
| 强化的 UNC 路径 - SYSVOL | 预期结果: RequireMutualAuthentication=1 RequireIntegrity=1 |
实际: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
运算符: EQUALS |
Azure Stack HCI 的限制更为严格。 可以安全地忽略此规则。 |
使用 PowerShell 管理安全默认值
启用偏移保护后,只能修改不受保护的安全设置。 若要修改构成基线的受保护安全设置,必须先禁用偏移保护。 若要查看和下载安全设置的完整列表,请参阅 安全基线。
修改安全默认值
从初始安全基线开始,然后修改部署期间定义的偏移控制和受保护的安全设置。
启用偏移控制
使用以下步骤启用偏移控制:
连接到 Azure Stack HCI 节点。
运行以下 cmdlet:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- 本地 - 仅影响本地节点。
- 群集 - 使用业务流程协调程序影响群集中的所有节点。
禁用偏移控制
使用以下步骤禁用偏移控制:
连接到 Azure Stack HCI 节点。
运行以下 cmdlet:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- 本地 - 仅影响本地节点。
- 群集 - 使用业务流程协调程序影响群集中的所有节点。
重要
如果禁用偏移控制,则可以修改受保护的设置。 如果再次启用偏移控制,则会覆盖对受保护设置所做的任何更改。
在部署期间配置安全设置
作为部署的一部分,可以修改构成群集安全基线的偏移控制和其他安全设置。
下表介绍了部署期间可在 Azure Stack HCI 群集上配置的安全设置。
| 功能区域 | 功能 | 说明 | 是否支持偏移控制? |
|---|---|---|---|
| 调控 | 安全基线 | 维护每台服务器上的安全默认值。 帮助防止更改。 | 是 |
| 凭据保护 | Windows Defender Credential Guard | 使用基于虚拟化的安全性将机密与凭据盗窃攻击隔离开来。 | 是 |
| 应用程序控制 | Windows Defender 应用程序控制 | 控制允许在每台服务器上直接运行的驱动程序和应用。 | 否 |
| 静态数据加密 | 适用于 OS 启动卷的 BitLocker | 加密每台服务器上的 OS 启动卷。 | 否 |
| 静态数据加密 | 用于数据卷的 BitLocker | (此群集上的 CSV) 加密群集共享卷 | 否 |
| 传输中数据保护 | 对外部 SMB 流量进行签名 | 为此系统与其他系统之间的 SMB 流量签名,以帮助防止中继攻击。 | 是 |
| 传输中数据保护 | 群集内流量的 SMB 加密 | 加密群集中的服务器之间的流量, (存储网络) 。 | 否 |
部署后修改安全设置
部署完成后,可以使用 PowerShell 修改安全设置,同时保持偏移控制。 某些功能需要重新启动才能生效。
PowerShell cmdlet 属性
以下 cmdlet 属性适用于 AzureStackOSConfigAgent 模块。 模块在部署期间安装。
Get-AzsSecurity-Scope: <Local |PerNode |AllNodes |集群>- Local - 在本地节点上提供 (true/False) 的布尔值。 可以从常规远程 PowerShell 会话运行。
- PerNode - 提供每个节点 (true/False) 的布尔值。
- 报告 - 要求使用远程桌面协议的 CredSSP 或 Azure Stack HCI 服务器 (RDP) 连接。
- AllNodes – 提供跨节点计算 (true/False) 布尔值。
- 群集 – 提供 ECE 存储中的布尔值。 与业务流程协调程序交互,并作用于群集中的所有节点。
Enable-AzsSecurity-Scope <Local |集群>Disable-AzsSecurity-Scope <Local |集群>- FeatureName - <CredentialGuard |DriftControl |DRTM |HVCI |SideChannelMitigation |SMBEncryption |SMBSigning |VBS>
- Credential Guard
- 偏移控件
- VBS (基于虚拟化的安全) - 我们仅支持 enable 命令。
- DRTM (度量) 的动态信任根
- 如果代码完整性) ,则强制执行 HVCI (虚拟机监控程序
- 侧通道缓解
- SMB 加密
- SMB 签名
- FeatureName - <CredentialGuard |DriftControl |DRTM |HVCI |SideChannelMitigation |SMBEncryption |SMBSigning |VBS>
下表介绍了受支持的安全功能、这些功能是否支持偏移控制,以及是否需要重新启动才能实现该功能。
| 名称 | 功能 | 支持偏移控制 | 需要重新启动 |
|---|---|---|---|
| 启用 |
基于虚拟化的安全 (VBS) | 是 | 是 |
| 启用 禁用 |
用于测量的动态信任根 (DRTM) | 是 | 是 |
| 启用 禁用 |
受虚拟机监控程序保护的代码完整性 (HVCI) | 是 | 是 |
| 启用 禁用 |
侧通道缓解 | 是 | 是 |
| 启用 禁用 |
SMB 签名 | 是 | 是 |
| 启用 禁用 |
SMB 群集加密 | 否,群集设置 | 否 |
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈