Управление значениями безопасности по умолчанию для локальной среды Azure
Область применения: Azure Local 2311.2 и более поздних версий
В этой статье описывается управление параметрами безопасности по умолчанию для локального экземпляра Azure. Вы также можете изменить параметры управления дрейфом и защищенные параметры безопасности, определенные во время развертывания, чтобы устройство запускалось в известном хорошем состоянии.
Предпосылки
Прежде чем начать, убедитесь, что у вас есть доступ к локальной системе Azure, развернутой, зарегистрированной и подключенной к Azure.
Просмотр параметров безопасности по умолчанию в портале Azure
Чтобы просмотреть параметры безопасности по умолчанию в портал Azure, убедитесь, что вы применили инициативу MCSB. Дополнительные сведения см. в статье "Применение инициативы Microsoft Cloud Security Benchmark".
Параметры безопасности по умолчанию можно использовать для управления системной безопасностью, управления дрейфом и параметрами защищенного ядра в системе.
Просмотрите состояние подписи SMB во вкладке "Защита данных" и "Защита сети". Подпись SMB позволяет цифрово подписывать трафик SMB между локальным экземпляром Azure и другими системами.
Просмотр соответствия базовых показателей безопасности в портале Azure
После регистрации локального экземпляра Azure с Microsoft Defender для облака или назначения встроенной политики компьютеры Windows должны соответствовать требованиям основной базы безопасности вычислений Azure, создается отчет о соответствии. Для получения полного списка правил, с которыми сравнивается ваш локальный экземпляр Azure, смотрите базовый профиль безопасности Windows.
Для локального компьютера Azure, если выполнены все требования к оборудованию для Secured-core, ожидаемый показатель соответствия по умолчанию равен 321 из 324 правил, то есть 99% правил соответствуют требованиям.
В следующей таблице описываются правила, которые не соответствуют требованиям и обоснование текущего пробела:
| Имя правила | Состояние соответствия | Причина | Комментарии |
|---|---|---|---|
| Интерактивный вход в систему: текст сообщения для пользователей при входе в систему | Не соответствует | Предупреждение — "равно" | Это должно быть определено клиентом, оно не включает управление смещением. |
| Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему | Не соответствует требованиям | Предупреждение — "" равно "" | Это должно быть определено клиентом, оно не включает управление смещением. |
| Минимальная длина пароля | Не соответствует требованиям | Критическое значение — семь меньше минимального значения 14. | Это должно быть определено клиентом, он не имеет управления смещением, чтобы разрешить этому параметру соответствовать политикам вашей организации. |
Корректировка соответствия правилам
Чтобы исправить соответствие правилам, выполните следующие команды или используйте любой другой инструмент, который вы предпочитаете:
Юридическое уведомление: создайте настраиваемое значение для юридического уведомления в зависимости от потребностей и политик вашей организации. Выполните следующие команды:
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice" Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"Минимальная длина пароля: Установите политику минимальной длины пароля на значение 14 символов на локальном компьютере Azure. Значение по умолчанию равно 7, а любое значение ниже 14 по-прежнему помечено политикой базовых показателей мониторинга. Выполните следующие команды:
net accounts /minpwlen:14
Управление параметрами безопасности по умолчанию с помощью PowerShell
С включенной защитой смещения можно изменять только незащищенные параметры безопасности. Чтобы изменить защищенные параметры безопасности, которые формируют базовый план, необходимо сначала отключить защиту от смещения. Чтобы просмотреть и скачать полный список параметров безопасности, см. раздел "Базовые показатели безопасности".
Изменение значений по умолчанию безопасности
Начните с начальной базовой базы безопасности, а затем измените параметры смещения и защищенные параметры безопасности, определенные во время развертывания.
Включить контроль дрейфа
Чтобы включить элемент управления дрейфом, выполните следующие действия.
Подключитесь к локальному компьютеру Azure.
Запустите следующий командлет:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local — влияет только на локальный узел.
- Кластер — влияет на все узлы в кластере с помощью оркестратора.
Отключите управление дрейфом
Чтобы отключить элемент управления дрейфом, выполните следующие действия.
Подключитесь к локальному компьютеру Azure.
Запустите следующую команду:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local — влияет только на локальный узел.
- Кластер — воздействует на все узлы в кластере, используя оркестратор.
Внимание
При отключении элемента управления дрейфов можно изменить защищенные параметры. Если снова включить управление дрейфом, все внесенные изменения в защищенные параметры перезаписываются.
Настройка параметров безопасности во время развертывания
В рамках развертывания можно изменить элемент управления дрейфом и другие параметры безопасности, составляющие базовые показатели безопасности в кластере.
В следующей таблице описаны параметры безопасности, которые можно настроить в локальном экземпляре Azure во время развертывания.
| Область функций | Функция | Описание | Поддерживает управление смещением? |
|---|---|---|---|
| Система управления | Базовые средства безопасности | Поддерживает параметры безопасности по умолчанию на каждом узле. Помогает защититься от изменений. | Да |
| Защита учетных данных | Credential Guard в Защитнике Windows | Использует безопасность на основе виртуализации для изоляции секретов от атак кражи учетных данных. | Да |
| Управление приложениями | Контроль приложений Защитника Windows | Определяет, какие драйверы и приложения разрешены запускать непосредственно на каждом узле. | Нет |
| Шифрование неактивных данных | BitLocker для загрузочного тома ОС | Шифрует том запуска ОС на каждом узле. | Нет |
| Шифрование неактивных данных | BitLocker для томов данных | Шифрует общие тома кластера (CSVs) на этой системе | Нет |
| Защита данных при передаче | Подписывание внешнего трафика SMB | Подписывает трафик SMB между этой системой и другими, чтобы предотвратить релейные атаки. | Да |
| Защита данных при их передаче | Шифрование SMB для трафика в кластере | Шифрует трафик между узлами в системе (в сети хранения). | Нет |
Изменение параметров безопасности после развертывания
После завершения развертывания можно использовать PowerShell для изменения параметров безопасности при сохранении управления смещением. Для некоторых функций требуется перезагрузка.
Свойства командлета PowerShell
Следующие свойства командлета предназначены для модуля AzureStackOSConfigAgent . Модуль устанавливается во время развертывания.
Get-AzsSecurity-Scope: <Local | PerNode | AllNodes | Кластер>- Local — предоставляет логическое значение (true/False) на локальном узле. Можно запускать из обычного удаленного сеанса PowerShell.
- PerNode — предоставляет логическое значение (true/False) для каждого узла.
-
Отчет - Требуется CredSSP или локальный компьютер Azure через подключение к протоколу удаленного рабочего стола (RDP).
- AllNodes — предоставляет логическое значение (true/false), вычисляемое на всех узлах.
- Кластер — предоставляет логическое значение из хранилища ECE. Взаимодействует с оркестратором и действует на все узлы в кластере.
Enable-AzsSecurity-Scope <Local | Кластер>Disable-AzsSecurity-Scope <Local | Кластер>FeatureName — <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Контроль дрейфа
- Защита Учётных Данных (Credential Guard)
- VBS (безопасность на основе виртуализации) — мы поддерживаем только команду enable.
- DRTM (Динамический корень доверия для измерений)
- HVCI (гипервизор обеспечивает целостность кода)
- Устранение рисков на стороне канала
- Подписывание SMB
- Шифрование кластера SMB
Внимание
Enable AzsSecurityиDisable AzsSecurityкомандлеты доступны только в новых или обновленных развертываниях после надлежащего применения базовых уровней безопасности к узлам. Дополнительные сведения см. в статье "Управление безопасностью после обновления локальной службы Azure".
В следующей таблице перечислены поддерживаемые функции безопасности, поддерживаются ли они управление смещением и требуется ли перезагрузка для реализации функции.
| Имя. | Функция | Поддерживает управление дрейфом | Требуется перезагрузка |
|---|---|---|---|
| Включите |
Безопасность на основе виртуализации (VBS) | Да | Да |
| Включите |
Защита учетных данных | Да | Да |
| Включите Отключить |
Динамический корень доверия для измерения (DRTM) | Да | Да |
| Включите Отключить |
Целостность кода, защищенного гипервизором (HVCI) | Да | Да |
| Включите Отключить |
Устранение рисков на стороне канала | Да | Да |
| Включите Отключить |
Подписывание SMB | Да | Да |
| Включите Отключить |
Шифрование кластера SMB | Нет, настройка кластера | Нет |
Следующие шаги
- Общие сведения о шифровании BitLocker.