管理 Azure Stack HCI 版本 23H2 的安全性預設值

發行項
05/29/2024

適用於：Azure Stack HCI 版本 23H2

本文說明如何管理 Azure Stack HCI 叢集的預設安全性設定。您也可以修改部署期間定義的漂移控制和受保護的安全性設定，讓您的裝置以已知的良好狀態啟動。

必要條件

開始之前，請確定您可以存取已部署、註冊及連線至 Azure 的 Azure Stack HCI 版本 23H2 系統。

在 Azure 入口網站中檢視安全性預設設定

若要在 Azure 入口網站中檢視安全性預設設定，請確定您已套用 MCSB 方案。如需詳細資訊，請參閱套用 Microsoft Cloud Security Benchmark 方案。

您可以使用安全性預設設定來管理叢集上的叢集安全性、漂移控制和安全核心伺服器設定。

在 [ 數據保護>網路保護 ] 索引標籤下檢視 SMB 簽署狀態。SMB 簽署可讓您以數位方式簽署 Azure Stack HCI 系統與其他系統之間的 SMB 流量。

在 Azure 入口網站中檢視安全性基準合規性

使用適用於雲端的 Microsoft Defender 註冊 Azure Stack HCI 系統，或指派內建原則 Windows 機器應符合 Azure 計算安全性基準的需求之後，會產生合規性報告。如需 Azure Stack HCI 伺服器所比較之規則的完整清單，請參閱 Windows 安全性基準。

針對 Azure Stack HCI 伺服器，當符合安全核心的所有硬體需求時，合規性分數在 288 個規則中為 281，也就是 288 個規則中有 281 個符合規範。

下表說明不符合規範的規則，以及目前差距的理由：

規則名稱	預期	實際	邏輯	註解
互動式登入：給登入使用者的訊息本文	必須是：	實際:	運算子： NOTEQUALS	我們預期您會定義此值，且沒有任何漂移控制。
互動式登入：給登入使用者的訊息標題	必須是：	實際:	運算子： NOTEQUALS	我們預期您會定義此值，且沒有任何漂移控制。
密碼長度下限	預期：14	實際：0	運算子： GREATEROREQUAL	我們預期您會定義此值，且沒有任何漂移控件可配合貴組織的原則。
防止從網際網路擷取裝置中繼資料	預期：1	實際： (null)	運算子： EQUALS	此控件不適用於 Azure Stack HCI。
避免使用者與應用程式存取危險網站	預期：1	實際： (null)	運算子： EQUALS	此控件是 Windows Defender 保護的一部分，預設不會啟用。您可以評估是否要啟用。
已強化的 UNC 路徑 - NETLOGON	必須是： RequireMutualAuthentication=1 RequireIntegrity=1	實際：RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1	運算子： EQUALS	Azure Stack HCI 更嚴格。您可以放心地忽略此規則。
已強化的 UNC 路徑 - SYSVOL	必須是： RequireMutualAuthentication=1 RequireIntegrity=1	實際: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1	運算子： EQUALS	Azure Stack HCI 更嚴格。您可以放心地忽略此規則。

使用 PowerShell 管理安全性預設值

啟用漂移保護后，您只能修改未受保護的安全性設定。若要修改構成基準的受保護安全性設定，您必須先停用漂移保護。若要檢視及下載安全性設定的完整清單，請參閱安全性基準。

修改安全性預設值

從初始安全性基準開始，然後修改部署期間定義的漂移控制和受保護的安全性設定。

啟用漂移控制

使用下列步驟來啟用漂移控制：

線上到您的 Azure Stack HCI 節點。
執行下列 Cmdlet：
```
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
```
- 本機 - 只會影響本機節點。
- 叢集 - 使用協調器影響叢集中的所有節點。

停用漂移控制

使用下列步驟來停用漂移控制：

線上到您的 Azure Stack HCI 節點。
執行下列 Cmdlet：
```
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
```
- 本機 - 只會影響本機節點。
- 叢集 - 使用協調器影響叢集中的所有節點。

重要

如果您停用漂移控件，則可以修改受保護的設定。如果您再次啟用漂移控制，則會覆寫您對受保護設定所做的任何變更。

在部署期間設定安全性設定

在部署過程中，您可以修改漂移控制和其他構成叢集安全性基準的安全性設定。

下表說明部署期間可在 Azure Stack HCI 叢集上設定的安全性設定。

功能區域	功能	Description	支援漂移控制？
控管	安全性基準	維護每部伺服器上的安全性預設值。協助防止變更。	Yes
認證保護	Windows Defender Credential Guard	使用虛擬化型安全性來隔離秘密與認證竊取攻擊。	Yes
應用程式控制	Windows Defender 應用程控	控制允許哪些驅動程式和應用程式直接在每個伺服器上執行。	No
待用數據加密	適用於OS開機磁碟區的 BitLocker	加密每部伺服器上的OS啟動磁碟區。	No
待用數據加密	數據磁碟區的 BitLocker	加密此叢集上的叢集共用磁碟區 (CSV)	No
傳輸中數據保護	外部SMB流量的簽署	簽署此系統與其他系統之間的SMB流量，以協助防止轉送攻擊。	Yes
傳輸中數據保護	叢集中流量的SMB加密	加密叢集中伺服器之間的流量， (儲存網路) 。	No

在部署後修改安全性設定

部署完成後，您可以使用PowerShell修改安全性設定，同時維護漂移控制。某些功能需要重新啟動才會生效。

PowerShell Cmdlet 屬性

下列 Cmdlet 屬性適用於 AzureStackOSConfigAgent 模組。模組會在部署期間安裝。

Get-AzsSecurity -Scope： <本機 |PerNode |AllNodes |集群>
- Local - 在本機節點上提供布爾值 (true/False) 。可以從一般遠端 PowerShell 工作階段執行。
- PerNode - 針對每個節點提供布爾值 (true/False) 。
- 報告 - 需要使用遠端桌面通訊協定 (RDP) 連線的 CredSSP 或 Azure Stack HCI 伺服器。
  - AllNodes – 提供布爾值 (true/False) 跨節點計算。
  - 叢集 – 從 ECE 存放區提供布爾值。與協調器互動，並作用於叢集中的所有節點。
Enable-AzsSecurity -Scope <Local |集群>
Disable-AzsSecurity -Scope <Local |集群>
- FeatureName - <CredentialGuard |DriftControl |DRTM |HVCI |SideChannelMitigation |SMBEncryption |SMBSigning |VBS>
  - Credential Guard
  - 漂移控件
  - VBS (虛擬化型安全性) - 我們僅支援啟用命令。
  - DRTM (測量) 的動態信任根目錄
  - 如果程式代碼完整性) ，則強制執行 HVCI (Hypervisor
  - 側邊通道風險降低
  - SMB 加密
  - SMB 簽署

下表記載支援的安全性功能、它們是否支援漂移控制，以及是否需要重新啟動才能實作此功能。

名稱	功能	支援漂移控制	需要重新開機
啟用	虛擬化型安全性 (VBS)	Yes	Yes
啟用停用	測量的動態信任根目錄 (DRTM)	Yes	Yes
啟用停用	受 Hypervisor 保護的程式代碼完整性 (HVCI)	Yes	Yes
啟用停用	側邊通道風險降低	Yes	Yes
啟用停用	SMB 簽署	Yes	Yes
啟用停用	SMB 叢集加密	否，叢集設定	否

後續步驟

瞭解 BitLocker 加密。

共用方式為