Az Azure Local biztonsági alapértelmezett beállításainak kezelése
A következőkre vonatkozik: Azure Local 2311.2 és újabb verziók
Ez a cikk az Azure Local-példány alapértelmezett biztonsági beállításainak kezelését ismerteti. Az üzembe helyezés során definiált elsodródás-vezérlést és védett biztonsági beállításokat is módosíthatja, hogy az eszköz ismert jó állapotban induljon el.
Előfeltételek
Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik hozzáféréssel egy azure-beli helyi rendszerhez, amely üzembe van helyezve, regisztrálva és csatlakozik az Azure-hoz.
Alapértelmezett biztonsági beállítások megtekintése az Azure Portalon
Az Azure Portal biztonsági alapértelmezett beállításainak megtekintéséhez győződjön meg arról, hogy alkalmazta az MCSB-kezdeményezést. További információ: Microsoft Cloud Security Benchmark kezdeményezés alkalmazása.
Az alapértelmezett biztonsági beállításokat használhatja a rendszerbiztonság, a sodródásvezérlés és a biztonságos alapbeállítások kezelésére a rendszeren.
Tekintse meg az SMB-aláírás állapotát az Adatvédelem>hálózatvédelem lapon. Az SMB-aláírással digitálisan aláírhatja az SMB-forgalmat egy Azure Local-példány és más rendszerek között.
A biztonsági alapkonfiguráció megfelelőségének megtekintése az Azure Portalon
Miután regisztrálta az Azure-helyi példányt a Felhőhöz készült Microsoft Defenderrel, vagy hozzárendelte a beépített szabályzatot, mely szerint a Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek, létrejön egy megfelelőségi jelentés. Az Azure Local-példányhoz hasonlított szabályok teljes listájáért tekintse meg a Windows biztonsági alapkonfigurációját.
Az Azure Local-gépek esetében, amikor a biztonságos magra vonatkozó összes hardverkövetelmények teljesülnek, az alapértelmezett elvárt megfelelőségi pontszám a 324 szabályból 321 - vagyis a szabályok 99%-a megfelelő.
Az alábbi táblázat ismerteti a nem megfelelő szabályokat és a jelenlegi rés indokait:
| Szabály neve | Megfelelőségi állapot | Ok | Megjegyzések |
|---|---|---|---|
| Interaktív bejelentkezés: Bejelentkezési üzenet a felhasználóknak | Nem megfelelő | Figyelmeztetés – ""megegyezik"" | Ezt az ügyfélnek kell meghatároznia, nincs engedélyezve a sodródás-vezérlés. |
| Interaktív bejelentkezés: Üzenet címe a bejelentkezni próbáló felhasználóknak | Nem megfelelő | Figyelmeztetés – A "" egyenlő a "" értékkel | Ezt az ügyfélnek kell meghatároznia, nincs engedélyezve a sodródás-vezérlés. |
| Jelszó minimális hossza | Nem megfelelő | Kritikus – A hét kisebb, mint a minimális érték, amely 14. | Ezt az ügyfélnek kell meghatároznia, nincs engedélyezve az elfordulás-szabályozás annak érdekében, hogy ez a beállítás megfeleljen a szervezet házirendjeinek. |
A szabályok megfelelőségének javítása
A szabályok megfelelőségének javításához futtassa a következő parancsokat, vagy használjon bármilyen más eszközt:
Jogi közlemény: Hozzon létre egy egyéni értéket a jogi közleményekhez a szervezet igényeitől és szabályzataitól függően. Futtassa az alábbi parancsot:
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice" Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"Jelszó minimális hossza: Állítsa a jelszó minimális hosszára vonatkozó szabályzatot 14 karakterre az Azure Local machine-on. Az alapértelmezett érték 7, és a 14 alatti értékeket továbbra is megjelöli a figyelési alapkonfigurációs szabályzat. Futtassa az alábbi parancsot:
net accounts /minpwlen:14
Biztonsági alapértékek kezelése a PowerShell-lel
Ha engedélyezve van az eltolódás elleni védelem, csak a nem védett biztonsági beállítások módosíthatók. Az alapkonfigurációt alkotó védett biztonsági beállítások módosításához először le kell tiltania az eltolódás elleni védelmet. A biztonsági beállítások teljes listájának megtekintéséhez és letöltéséhez tekintse meg a biztonsági alapkonfigurációt.
Alapértelmezett biztonsági beállítások módosítása
Kezdje a kezdeti biztonsági alapkonfigurációval, majd módosítsa az üzembe helyezés során definiált elsodródás-vezérlési és védett biztonsági beállításokat.
Sodródás-vezérlés engedélyezése
Az eltolódás-vezérlés engedélyezéséhez kövesse az alábbi lépéseket:
Csatlakozzon a helyi Azure-géphez.
Futtassa a következő parancsmagot:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Helyi – Csak a helyi csomópontot érinti.
- Fürt – A fürtön lévő összes csomópontot érinti a vezénylő használatával.
Az eltolódás-vezérlés letiltása
Az eltolódás-vezérlés letiltásához kövesse az alábbi lépéseket:
Csatlakozzon a helyi Azure-géphez.
Futtassa a következő parancsmagot:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Helyi – Csak a helyi csomópontot érinti.
- Fürt – A fürtön lévő összes csomópontot érinti a vezénylő használatával.
Fontos
Ha letiltja az eltolódás-vezérlést, a védett beállítások módosíthatók. Ha ismét engedélyezi az eltolódás-vezérlést, a védett beállításokon végzett módosítások felülíródnak.
Biztonsági beállítások konfigurálása az üzembe helyezés során
Az üzembe helyezés részeként módosíthatja az eltolódás-vezérlést és a fürt biztonsági alapkonfigurációját alkotó egyéb biztonsági beállításokat.
Az alábbi táblázat az Azure Local-példányon az üzembe helyezés során konfigurálható biztonsági beállításokat ismerteti.
| Funkcióterület | Funkció | Leírás | Támogatja az eltolódás-vezérlést? |
|---|---|---|---|
| Szabályozás | Biztonsági alapkonfiguráció | Minden csomóponton fenntartja a biztonsági alapértelmezett értékeket. Segít a változások elleni védelemben. | Igen |
| Hitelesítő adatok védelme | Windows Defender Credential Guard | Virtualizációalapú biztonság használatával elkülöníti a titkos kulcsokat a hitelesítő adatok ellopása elleni támadásoktól. | Igen |
| Alkalmazásvezérlő | Windows Defender alkalmazásvezérlő | Szabályozza, hogy mely illesztőprogramok és alkalmazások futtathatók közvetlenül az egyes csomópontokon. | Nem |
| Nyugalmi állapotú adatok titkosítása | BitLocker operációsrendszer-rendszerindító kötethez | Titkosítja az operációs rendszer indítási kötetét minden csomóponton. | Nem |
| Nyugalmi állapotban lévő adatok titkosítása | BitLocker adatkötetekhez | Ezen a rendszeren titkosítja a fürtmegosztott köteteket (CSV-ket) | Nem |
| Adattovábbítás közbeni védelem | Külső SMB-forgalom aláírása | Ez a rendszer aláírja az SMB-forgalmat saját maga és más rendszerek között a továbbítási támadások megelőzése érdekében. | Igen |
| Adatátvitel közbeni védelem | SMB-titkosítás fürtön belüli forgalomhoz | Titkosítja a rendszer csomópontjai közötti forgalmat (a tárolóhálózaton). | Nem |
Biztonsági beállítások módosítása az üzembe helyezés után
Az üzembe helyezés befejezése után a PowerShell használatával módosíthatja a biztonsági beállításokat, miközben fenntartja az elsodródás-vezérlést. Egyes funkciók életbe lépéséhez újraindítás szükséges.
A PowerShell-parancsmag tulajdonságai
A következő parancsmagtulajdonságok az AzureStackOSConfigAgent modulhoz tartoznak. A modul telepítése az üzembe helyezés során történik.
Get-AzsSecurity-Hatókör: <Helyi | Csomópont | Összes csomópont | Fürt>- Helyi – Logikai értéket (igaz/hamis) ad meg a helyi csomóponton. Futtatható egy hagyományos távoli PowerShell-munkamenetből.
- PerNode – Logikai értéket (igaz/hamis) ad meg csomópontonként.
-
Jelentés – CredSSP-t vagy helyi Azure gépet igényel távoli asztali protokoll (RDP) kapcsolattal.
- AllNodes – A csomópontok között kiszámított logikai értéket (true/False) adja meg.
- Fürt – Logikai értéket biztosít az ECE-tárolóból. Kapcsolatba lép a vezénylővel és hatással van a fürt összes csomópontjára.
Enable-AzsSecurity-Hatókör <Helyi | Klaszter>Disable-AzsSecurity-Hatókör <helyi | Klaszter>FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Sodródás-vezérlés
- Hitelesítő védelem
- VBS (Virtualization Based Security)– Csak a parancs engedélyezését támogatjuk.
- DRTM (A mérés megbízhatóságának dinamikus gyökere)
- HVCI (Hipervizor által kényszerített kódintegritás)
- Oldalcsatorna-kockázatcsökkentés
- SMB aláírás
- SMB-klaszter titkosítása
Fontos
Enable AzsSecurityésDisable AzsSecuritya parancsmagok csak az új üzemelő példányokon vagy a frissített üzemelő példányokon érhetők el, miután a biztonsági alapkonfigurációk megfelelően alkalmazva lettek a csomópontokra. További információ: Biztonság kezelése az Azure Local frissítése után.
Az alábbi táblázat felsorolja a támogatott biztonsági funkciókat, azt, hogy támogatják-e a sodródás-vezérlést, és szükség van-e újraindításra a funkció megvalósításához.
| Név | Funkció | Támogatja az eltolódás-vezérlést | Újraindítás szükséges |
|---|---|---|---|
| Engedélyezze a következőt: |
Virtualizáláson alapuló biztonság (VBS) | Igen | Igen |
| Engedélyezze a következőt: |
Credential Guard | Igen | Igen |
| Engedélyezze a következőt: Letiltás |
A mérés megbízhatóságának dinamikus gyökere (DRTM) | Igen | Igen |
| Engedélyezze a következőt: Letiltás |
Hipervizor által védett kódintegritás (HVCI) | Igen | Igen |
| Engedélyez Letiltás |
Oldalcsatorna-kockázatcsökkentés | Igen | Igen |
| Engedélyez Letiltás |
SMB aláírás | Igen | Igen |
| Engedélyez Letiltás |
SMB-klasztertitkosítás | Nem, fürtkonfiguráció | Nem |
Következő lépések
- A BitLocker-titkosítás ismertetése.