Gestire le impostazioni predefinite per la sicurezza per Azure Locale
Si applica a: Azure Locale 2311.2 e versioni più recenti
Questo articolo descrive come gestire le impostazioni di sicurezza predefinite per l'istanza locale di Azure. È anche possibile modificare il controllo della deriva e le impostazioni di sicurezza protette definite durante la distribuzione in modo che il dispositivo venga avviato in uno stato valido noto.
Prerequisiti
Prima di iniziare, assicurarsi di avere accesso a un sistema locale di Azure distribuito, registrato e connesso ad Azure.
Visualizzare le impostazioni predefinite per la sicurezza nel portale di Azure
Per visualizzare le impostazioni predefinite di sicurezza nella portale di Azure, assicurarsi di aver applicato l'iniziativa MCSB. Per altre informazioni, vedere Applicare l'iniziativa Microsoft Cloud Security Benchmark.
È possibile utilizzare le impostazioni predefinite di sicurezza per gestire la sicurezza del sistema, il controllo della deriva e le impostazioni del core sicuro nel sistema.
Visualizza lo stato della firma SMB nella scheda Protezione dati>Protezione rete. La firma SMB consente di firmare digitalmente il traffico SMB tra un'istanza locale di Azure e altri sistemi.
Visualizzare la conformità della baseline di sicurezza nel portale di Azure
Dopo aver registrato l'istanza locale di Azure con Microsoft Defender per il Cloud o assegnare il criterio predefinito I computer Windows devono soddisfare i requisiti della baseline di sicurezza di calcolo di Azure, viene generato un report di conformità. Per l'elenco completo delle regole a cui è confrontata l'istanza locale di Azure, vedere la baseline di sicurezza di Windows.
Per un computer locale di Azure, quando vengono soddisfatti tutti i requisiti hardware per Secure-Core, il punteggio di conformità predefinito previsto è 321 su 324 regole, ovvero il 99% delle regole è conforme.
La tabella seguente illustra le regole che non sono conformi e la logica del gap corrente:
| Nome regola | Stato di conformità | Motivo | Commenti |
|---|---|---|---|
| Accesso interattivo: testo del messaggio per gli utenti che tentano l'accesso | Non conforme | Avviso : ""è uguale a"" | Deve essere definito dal cliente, non è abilitato il controllo della deriva. |
| Accesso interattivo: titolo del messaggio per gli utenti che tentano l'accesso | Non conforme | Avviso: "" è uguale a "" | Deve essere definito dal cliente, il controllo della deriva non è abilitato. |
| Lunghezza minima della password | Non conforme | Critico: sette è minore del valore minumum pari a 14. | Questa impostazione deve essere definita dal cliente e non ha il controllo di deriva abilitato per consentirne l'allineamento con le politiche della vostra organizzazione. |
Correzione della conformità alle regole
Per correggere la conformità per le regole, eseguire i comandi seguenti o usare qualsiasi altro strumento preferito:
Nota legale: creare un valore personalizzato per la notifica legale in base alle esigenze e ai criteri dell'organizzazione. Eseguire i comandi seguenti:
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice" Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"Lunghezza minima password: impostare i criteri di lunghezza minima della password su 14 caratteri nel computer locale di Azure. Il valore predefinito è 7 e qualsiasi valore inferiore a 14 è ancora contrassegnato dai criteri di base di monitoraggio. Eseguire i comandi seguenti:
net accounts /minpwlen:14
Gestire le impostazioni predefinite per la sicurezza con PowerShell
Con la protezione deriva abilitata, è possibile modificare solo le impostazioni di sicurezza non protette. Per modificare le impostazioni di sicurezza protette che formano la linea di base, è prima necessario disabilitare la protezione dalla deriva. Per visualizzare e scaricare l'elenco completo delle impostazioni di sicurezza, vedere Baseline di sicurezza.
Modificare le impostazioni predefinite di sicurezza
Iniziare con l'impostazione di base della sicurezza e quindi modificare il controllo delle deviazioni e le impostazioni di sicurezza protette definite durante la distribuzione.
Abilitare il controllo della deriva
Per abilitare il controllo deriva, seguire questa procedura:
Connettersi al computer locale di Azure.
Eseguire il cmdlet seguente:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Locale : influisce solo sul nodo locale.
- Cluster : influisce su tutti i nodi del cluster usando l'agente di orchestrazione.
Disattivare il controllo della deriva
Per disabilitare il controllo deriva, seguire questa procedura:
Connettersi al computer locale di Azure.
Eseguire il cmdlet seguente:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Locale : influisce solo sul nodo locale.
- Cluster : influisce su tutti i nodi del cluster usando l'agente di orchestrazione.
Importante
Se si disabilita il controllo deriva, è possibile modificare le impostazioni protette. Se si abilita nuovamente il controllo deriva, tutte le modifiche che hai apportato alle impostazioni protette dopo vengono sovrascritte.
Configurare le impostazioni di sicurezza durante la distribuzione
Come parte della distribuzione, è possibile modificare il controllo del drift e altre impostazioni di sicurezza che costituiscono la baseline di protezione del cluster.
La tabella seguente descrive le impostazioni di sicurezza che possono essere configurate nell'istanza locale di Azure durante la distribuzione.
| Area delle funzionalità | Funzionalità | Descrizione | Supporta il controllo della deriva? |
|---|---|---|---|
| Governanza | Baseline di sicurezza | Mantiene le impostazioni predefinite per la sicurezza in ogni nodo. Consente di proteggersi dalle modifiche. | Sì |
| Protezione delle credenziali | Windows Defender Credential Guard | Usa la sicurezza basata su virtualizzazione per isolare i segreti dagli attacchi di furto di credenziali. | Sì |
| Controllo delle applicazioni | Controllo delle applicazioni di Windows Defender | Controlla quali driver e app possono essere eseguiti direttamente in ogni nodo. | No |
| Crittografia dei dati in stato di riposo | BitLocker per il volume di avvio del sistema operativo | Crittografa il volume di avvio del sistema operativo in ogni nodo. | No |
| Crittografia dei dati a riposo | BitLocker per i volumi di dati | Crittografa i volumi condivisi del cluster (CSV) in questo sistema | No |
| Protezione dei dati in transito | Firma dei pacchetti per il traffico SMB esterno | Firma il traffico SMB tra questo sistema e gli altri per aiutare a prevenire attacchi di inoltro. | Sì |
| Protezione dei dati in transito | Crittografia SMB per il traffico nel cluster | Crittografa il traffico tra nodi nel sistema (nella rete di archiviazione). | No |
Modificare le impostazioni di sicurezza dopo la distribuzione
Al termine della distribuzione, è possibile usare PowerShell per modificare le impostazioni di sicurezza mantenendo il controllo della deriva. Alcune funzionalità richiedono un riavvio per avere effetto.
Proprietà dei cmdlet di PowerShell
Le proprietà del cmdlet seguenti sono relative al modulo AzureStackOSConfigAgent . Il modulo viene installato durante la distribuzione.
Get-AzsSecurity-Scope: <Local | PerNode | AllNodes | Cluster>- Local : fornisce un valore booleano (true/False) nel nodo locale. Può essere eseguito da una normale sessione remota di PowerShell.
- PerNode : fornisce un valore booleano (true/False) per nodo.
-
Report : richiede CredSSP o un computer locale di Azure usando una connessione RDP (Remote Desktop Protocol).
- AllNodes: fornisce un valore booleano (true/False) calcolato tra i nodi.
- Cluster: fornisce un valore booleano dall'archivio ECE. Interagisce con l'agente di orchestrazione e agisce su tutti i nodi del cluster.
Enable-AzsSecurity-Scope <Local | Cluster>Disable-AzsSecurity-Scope <Local | Cluster>FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Controllo deriva
- Credential Guard
- VBS (Virtualization Based Security): è supportato solo il comando enable.
- DRTM (Radice Dinamica di Fiducia per la Misurazione)
- HVCI (Hypervisor che Enforza l'integrità del codice)
- Mitigazione del canale laterale
- Firma SMB
- Crittografia del cluster SMB
Importante
Enable AzsSecurityI cmdlet eDisable AzsSecuritysono disponibili solo nelle nuove distribuzioni o nelle distribuzioni aggiornate dopo l'applicazione corretta delle baseline di sicurezza ai nodi. Per altre informazioni, vedere Gestire la sicurezza dopo l'aggiornamento locale di Azure.
La tabella seguente documenta le funzionalità di sicurezza supportate, se supportano il controllo della deriva e se è necessario un riavvio per implementare la funzionalità.
| Nome | Funzionalità | Supporta il controllo deriva | Riavvio richiesto |
|---|---|---|---|
| Abilitare |
Sicurezza basata su virtualizzazione (VBS) | Sì | Sì |
| Abilitare |
Protezione delle Credenziali | Sì | Sì |
| Abilitare Disabilitazione |
Radice dinamica di attendibilità per la misurazione (DRTM) | Sì | Sì |
| Abilitare Disabilitazione |
Integrità del codice protetto da Hypervisor | Sì | Sì |
| Abilitare Disabilitazione |
Mitigazione del canale laterale | Sì | Sì |
| Abilitare Disabilitazione |
Firma SMB | Sì | Sì |
| Abilitare Disabilitazione |
Crittografia del cluster SMB | No alla configurazione del cluster | No |
Passaggi successivi
- Informazioni sulla crittografia BitLocker.