共用方式為


設定 Azure Stack Hub 安全性控制措施

本文將說明可在 Azure Stack Hub 中變更的安全性控制措施,以及強調如何在適當情況下取捨。

Azure Stack Hub 架構以兩個安全性原則為基礎:假想缺口和預先加強。 如需 Azure Stack Hub 安全性的詳細資訊,請參閱 Azure Stack Hub 基礎結構安全性狀態。 即使 Azure Stack Hub 的預設安全性狀態已可用於生產環境,仍有一些部署案例需要其他加強措施。

TLS 版本原則

傳輸層安全性 (TLS) 通訊協定是廣為採用的密碼編譯通訊協定,可透過網路建立加密的通訊。 TLS 已發展一段時間,並已發行多個版本。 Azure Stack Hub 基礎結構在其所有通訊上僅使用 TLS 1.2。 針對外部介面,Azure Stack Hub 目前預設為使用 TLS 1.2。 不過,為了回溯相容性,其也支援向下交涉至 TLS 1.1 和 1.0。 當 TLS 用戶端要求透過 TLS 1.1 或 TLS 1.0 通訊時,Azure Stack Hub 會藉由與較低的 TLS 版本交涉來接受要求。 如果用戶端要求 TLS 1.2,Azure Stack Hub 就會使用 TLS 1.2 建立 TLS 連線。

由於 TLS 1.0 和 1.1 漸漸地因為組織與合規性標準而淘汰或禁用,您現在可以在 Azure Stack Hub 中設定 TLS 原則。 您可以強制使用僅限 TLS 1.2 原則,任何以 1.2 以下版本建立 TLS 工作階段的嘗試都將遭到拒絕。

重要

Microsoft 建議您針對 Azure Stack Hub 生產環境使用僅限 TLS 1.2 原則。

取得 TLS 原則

使用特殊權限的端點 (PEP) 來檢視所有 Azure Stack Hub 端點的 TLS 原則:

Get-TLSPolicy

範例輸出︰

TLS_1.2

設定 TLS 原則

使用特殊權限的端點 (PEP) 來設定所有 Azure Stack Hub 端點的 TLS 原則:

Set-TLSPolicy -Version <String>

Set-TLSPolicy Cmdlet 的參數:

參數 描述 類型 必要
版本 Azure Stack Hub 中允許的 TLS 版本 String

使用下列其中一個值為所有 Azure Stack Hub 端點設定允許的 TLS 版本:

版本值 描述
TLS_All Azure Stack Hub TLS 端點支援 TLS 1.2,但可向下交涉至 TLS 1.1 和 TLS 1.0。
TLS_1.2 Azure Stack Hub TLS 端點只支援 TLS 1.2。

完成 TLS 原則更新需要幾分鐘的時間。

強制使用 TLS 1.2 的組態範例

此範例會將 TLS 原則設定為強制只使用 TLS 1.2。

Set-TLSPolicy -Version TLS_1.2

範例輸出︰

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

允許 TLS 所有版本 (1.2、1.1 和 1.0) 的組態範例

此範例會將 TLS 原則設定為允許 TLS 所有版本 (1.2、1.1 和 1.0)。

Set-TLSPolicy -Version TLS_All

範例輸出︰

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

在某些情況下,在登入具有特殊權限的端點 (PEP) 工作階段時顯示法律聲明會很有用。 Set-AzSLegalNoticeGet-AzSLegalNotice Cmdlet 可用來管理這類法律聲明文字的標題和本文。

若要設定法律聲明標題和文字,請參閱 Set-AzSLegalNotice Cmdlet。 如果先前已設定法律聲明標題和文字,您可以使用 Get-AzSLegalNotice Cmdlet 進行檢閱。

後續步驟