Bagikan melalui

Mengelola default keamanan untuk Azure Local

  • Artikel

Berlaku untuk: Azure Local 2311.2 dan yang lebih baru

Artikel ini menjelaskan cara mengelola pengaturan keamanan default untuk instans Azure Local Anda. Anda juga dapat memodifikasi kontrol deviasi dan pengaturan keamanan yang dilindungi yang ditentukan selama penyebaran sehingga perangkat Anda memulai dalam kondisi yang telah dipastikan baik.

Prasyarat

Sebelum memulai, pastikan Anda memiliki akses ke sistem Lokal Azure yang disebarkan, didaftarkan, dan tersambung ke Azure.

Menampilkan pengaturan default keamanan di portal Azure

Untuk melihat pengaturan default keamanan di portal Azure, pastikan Anda telah menerapkan inisiatif MCSB. Untuk informasi selengkapnya, lihat Menerapkan inisiatif Microsoft Cloud Security Benchmark.

Anda dapat menggunakan pengaturan default keamanan untuk mengelola keamanan sistem, kontrol penyimpangan, dan pengaturan inti aman pada sistem Anda.

Cuplikan layar yang memperlihatkan halaman Default keamanan di portal Azure.

Lihat status penandatanganan SMB di bawah tab Perlindungan jaringan perlindungan data. Penandatanganan SMB memungkinkan Anda menandatangani lalu lintas SMB secara digital antara instans>Azure Local dan sistem lainnya.

Cuplikan layar yang memperlihatkan status penandatanganan SMB di portal Azure.

Melihat kepatuhan garis besar keamanan di portal Azure

Setelah Anda mendaftarkan instans Azure Local Anda dengan Microsoft Defender untuk Cloud atau menetapkan kebijakan bawaan komputer Windows harus memenuhi persyaratan garis besar keamanan komputasi Azure, laporan kepatuhan dibuat. Untuk daftar lengkap aturan yang dibandingkan dengan instans Azure Local Anda, lihat Garis besar keamanan Windows.

Untuk komputer Lokal Azure, ketika semua persyaratan perangkat keras untuk Secured-core terpenuhi, skor kepatuhan default yang diharapkan adalah 321 dari 324 aturan - artinya, 99% aturan sesuai.

Tabel berikut menjelaskan aturan yang tidak sesuai dan alasan kesenjangan saat ini:

Nama aturan Status kepatuhan Alasan Komentar
Masuk interaktif: Teks pesan untuk pengguna yang mencoba masuk Tidak patuh Peringatan - ""sama dengan"" Ini harus didefinisikan oleh pelanggan, tidak mengaktifkan kontrol penyimpangan.
Masuk interaktif: Judul pesan untuk pengguna yang mencoba masuk Tidak Sesuai Peringatan - "" sama dengan "" Ini harus didefinisikan oleh pelanggan, tidak memiliki kontrol penyimpangan yang diaktifkan.
Panjang kata sandi minimum Tidak Sesuai Kritis - Tujuh kurang dari nilai minumum 14. Ini harus didefinisikan oleh pelanggan, kontrol penyimpangan tidak diaktifkan untuk memungkinkan pengaturan ini selaras dengan kebijakan organisasi Anda.

Memperbaiki kepatuhan terhadap aturan

Untuk memperbaiki kepatuhan aturan, jalankan perintah berikut atau gunakan alat lain yang Anda sukai:

  1. Pemberitahuan hukum: Buat nilai kustom untuk pemberitahuan hukum tergantung pada kebutuhan dan kebijakan organisasi Anda. Jalankan perintah berikut:

    Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice"
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"

  2. Panjang kata sandi minimum: Atur kebijakan panjang kata sandi minimum ke 14 karakter di mesin lokal Azure. Nilai defaultnya adalah 7, dan nilai apa pun di bawah 14 masih ditandai oleh kebijakan garis besar pemantauan. Jalankan perintah berikut:

    net accounts /minpwlen:14

Mengelola default keamanan dengan PowerShell

Dengan perlindungan penyimpangan diaktifkan, Anda hanya dapat mengubah pengaturan keamanan yang tidak terlindungi. Untuk mengubah pengaturan keamanan terproteksi yang membentuk garis besar, Anda harus terlebih dahulu menonaktifkan perlindungan penyimpangan. Untuk melihat dan mengunduh daftar lengkap pengaturan keamanan, lihat Garis Besar Keamanan.

Mengubah default keamanan

Mulailah dengan garis besar keamanan awal lalu ubah kontrol penyimpangan dan pengaturan keamanan terlindungi yang ditentukan selama penyebaran.

Aktifkan pengendalian drift

Gunakan langkah-langkah berikut untuk mengaktifkan kontrol penyimpangan:

  1. Sambungkan ke komputer Azure Local Anda.

  2. Jalankan cmdlet berikut:

    Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    • Lokal - Hanya memengaruhi simpul lokal.
    • Kluster - Memengaruhi semua simpul dalam kluster menggunakan orkestrator.

Menonaktifkan kontrol penyimpangan

Gunakan langkah-langkah berikut untuk menonaktifkan kontrol penyimpangan:

  1. Sambungkan ke komputer Azure Local Anda.

  2. Jalankan cmdlet berikut:

    Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    • Lokal - Hanya memengaruhi simpul lokal.
    • Kluster - Memengaruhi semua simpul dalam kluster menggunakan orkestrator.

Penting

Jika Anda menonaktifkan kontrol penyimpangan, pengaturan yang dilindungi dapat dimodifikasi. Jika Anda mengaktifkan pengendalian drift lagi, perubahan apapun yang telah Anda lakukan pada pengaturan yang dilindungi akan digantikan.

Mengonfigurasi pengaturan keamanan selama penyebaran

Sebagai bagian dari penyebaran, Anda dapat memodifikasi kontrol penyimpangan dan pengaturan keamanan lainnya yang merupakan garis besar keamanan pada kluster Anda.

Tabel berikut menjelaskan pengaturan keamanan yang dapat dikonfigurasi pada instans Azure Local Anda selama penyebaran.

Area fitur Fitur Deskripsi Mendukung kontrol penyimpangan?
Pemerintahan Dasar keamanan Mempertahankan default keamanan pada setiap simpul. Membantu melindungi dari perubahan. Ya
Perlindungan Kredensial Windows Defender Credential Guard Menggunakan keamanan berbasis virtualisasi untuk mengisolasi data rahasia dari serangan pencurian kredensial. Ya
Kontrol aplikasi Kontrol Aplikasi Pertahanan Windows Mengontrol driver dan aplikasi mana yang diizinkan untuk berjalan langsung pada setiap simpul. Tidak
Enkripsi data tidak aktif BitLocker untuk volume pemulai OS Mengenkripsi volume startup OS pada setiap simpul. Tidak
Enkripsi data tidak aktif BitLocker untuk volume data Mengenkripsi volume bersama kluster (CSV) pada sistem ini Tidak
Perlindungan data dalam transit Penandatanganan untuk lalu lintas SMB eksternal Menandatangani lalu lintas SMB antara sistem ini dan lainnya untuk membantu mencegah serangan relai. Ya
Perlindungan data dalam transit Enkripsi SMB untuk lalu lintas dalam kluster Mengenkripsi lalu lintas antar simpul dalam sistem (di jaringan penyimpanan Anda). Tidak

Mengubah pengaturan keamanan setelah penyebaran

Setelah penyebaran selesai, Anda dapat menggunakan PowerShell untuk mengubah pengaturan keamanan sambil mempertahankan kontrol penyimpangan. Beberapa fitur memerlukan boot ulang untuk diterapkan.

Properti cmdlet PowerShell

Properti cmdlet berikut adalah untuk modul AzureStackOSConfigAgent . Modul dipasang selama proses penyebaran.

  • Get-AzsSecurity -Cakupan: <Lokal | PerNode | SeluruhNode | Kluster>

    • Lokal - Menyediakan nilai boolean (true/False) pada simpul lokal. Dapat dijalankan dari sesi PowerShell jarak jauh biasa.
    • PerNode - Menyediakan nilai boolean (true/False) per simpul.
    • Laporan - Memerlukan CredSSP atau komputer Azure Local menggunakan koneksi protokol desktop jarak jauh (RDP).
      • AllNodes – Menyediakan nilai boolean (true/false) yang dihitung berdasarkan semua simpul.
      • Kluster – Menyediakan nilai boolean dari penyimpanan ECE. Berinteraksi dengan orkestrator dan mengirimkan aksi ke semua simpul di dalam kluster.

  • Enable-AzsSecurity -Cakupan <Lokal | Kelompok>

  • Disable-AzsSecurity -Cakupan <Lokal | Kelompok>

    • FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>

      • Pengendalian Penyimpangan
      • Penjaga Kredensial
      • VBS (Keamanan Berbasis Virtualisasi)- Kami hanya mendukung perintah aktifkan.
      • DRTM (Akar Kepercayaan Dinamis untuk Pengukuran)
      • HVCI (Hypervisor Diberlakukan jika Integritas Kode)
      • Mitigasi Saluran Samping
      • Penandatanganan SMB
      • Enkripsi Kluster SMB

      Penting

      Enable AzsSecurity dan Disable AzsSecurity cmdlet hanya tersedia pada penyebaran baru atau pada penyebaran yang ditingkatkan setelah standar keamanan diterapkan dengan benar pada node. Untuk informasi selengkapnya, lihat Mengelola keamanan setelah memutakhirkan Azure Local.

Tabel berikut mendokumentasikan fitur keamanan yang didukung, apakah fitur-fitur tersebut mendukung kontrol drift, dan apakah diperlukan reboot untuk mengaktifkan fitur tersebut.

Nama Fitur Mendukung pengendalian arah Memulai ulang diperlukan
Aktifkan
Keamanan Berbasis Virtualisasi (VBS) Ya Ya
Aktifkan
Penjaga Kredensial Ya Ya
Aktifkan
Nonaktifkan		 Akar Kepercayaan Dinamis untuk Pengukuran (DRTM) Ya Ya
Aktifkan
Nonaktifkan		 Integritas Kode yang dilindungi Hypervisor (HVCI) Ya Ya
Aktifkan
Nonaktifkan		 Mitigasi saluran samping Ya Ya
Aktifkan
Nonaktifkan		 Penandatanganan SMB Ya Ya
Aktifkan
Nonaktifkan		 Enkripsi kluster SMB Tidak, pengaturan kluster Tidak

Langkah berikutnya