Azure Yerel için güvenlik varsayılanlarını yönetme
Şunlar için geçerlidir: Azure Yerel 2311.2 ve üzeri
Bu makalede, Azure Yerel örneğiniz için varsayılan güvenlik ayarlarının nasıl yönetileceğini açıklar. Ayrıca, cihazınızın bilinen iyi durumda başlaması için dağıtım sırasında tanımlanan kayma denetimini ve korumalı güvenlik ayarlarını değiştirebilirsiniz.
Önkoşullar
Başlamadan önce dağıtılan, kaydedilen ve Azure'a bağlı bir Azure Yerel sistemine erişiminiz olduğundan emin olun.
Azure portalında güvenlik varsayılan ayarlarını görüntüleme
Azure portalında güvenlik varsayılan ayarlarını görüntülemek için MCSB girişimini uyguladığınıza emin olun. Daha fazla bilgi için bkz . Microsoft Cloud Security Benchmark girişimini uygulama.
Sisteminizde sistem güvenliğini, kayma denetimini ve Güvenli çekirdek ayarlarını yönetmek için güvenlik varsayılan ayarlarını kullanabilirsiniz.
Veri korumaları>Ağ koruması sekmesi altında SMB imzalama durumunu görüntüleyin. SMB imzalama, Azure Yerel bir örnek ile diğer sistemler arasında SMB trafiğini dijital olarak imzalamanıza olanak tanır.
Azure portalında güvenlik temeli uyumluluğunu görüntüleme
Azure Yerel örneğinizi Microsoft Defender for Cloud ile kaydettikten veya yerleşik ilke Windows makineleri Azure işlem güvenlik temeline uygun olmalıdır'yı atadıktan sonra, bir uyumluluk raporu oluşturulur. Azure Yerel örneğinizin karşılaştırılması gereken kuralların tam listesi için bkz . Windows güvenlik temeli.
Azure Yerel makinesinde, Güvenli çekirdek için tüm donanım gereksinimleri karşılandığında varsayılan beklenen uyumluluk puanı 324 kuraldan 321'idir; diğer bir ifadeyle kuralların %99'unun uyumlu olması gerekir.
Aşağıdaki tabloda uyumlu olmayan kurallar ve geçerli boşluğun mantığı açıklanmaktadır:
| Kural adı | Uyumluluk durumu | Nedeni | Açıklamalar |
|---|---|---|---|
| Etkileşimli oturum açma: Oturum açmaya çalışan kullanıcılar için ileti metni | Uyumlu değil | Uyarı - ""eşittir"" | Bu, müşteri tarafından tanımlanmalıdır, sürüklenme denetimi etkin değildir. |
| Etkileşimli oturum açma: Oturum açmaya çalışan kullanıcılar için ileti başlığı | Uyumlu Değil | Uyarı - "" eşittir "" | Bu, müşteri tarafından tanımlanmalıdır, sürüklenme denetimi etkin değildir. |
| Parola uzunluğu alt sınırı | Uyumlu Değil | Kritik - Yedi, 14'ün minum değerinden küçüktür. | Bunun müşteri tarafından tanımlanması gerekir, bu ayarın kuruluşunuzun ilkeleriyle uyumlu olmasını sağlamak için sürüklenme denetimi etkinleştirilmez. |
Kurallara uyumu düzenleme
Kuralların uyumluluğunu düzeltmek için aşağıdaki komutları çalıştırın veya tercih ettiğiniz başka bir aracı kullanın:
Yasal bildirim: Kuruluşunuzun ihtiyaçlarına ve ilkelerine bağlı olarak yasal bildirim için özel bir değer oluşturun. Aşağıdaki komutları çalıştırın:
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice" Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"En düşük parola uzunluğu: Azure Yerel makinesinde en düşük parola uzunluğu ilkesini 14 karakter olarak ayarlayın. Varsayılan değer 7'dir ve 14'in altındaki tüm değerler izleme temel ilkesi tarafından işaretlenir. Aşağıdaki komutları çalıştırın:
net accounts /minpwlen:14
PowerShell ile güvenlik varsayılanlarını yönetme
Kayma koruması etkinleştirildiğinde, yalnızca korumasız güvenlik ayarlarını değiştirebilirsiniz. Temeli oluşturan korumalı güvenlik ayarlarını değiştirmek için önce kayma korumasını devre dışı bırakmanız gerekir. Güvenlik ayarlarının tam listesini görüntülemek ve indirmek için bkz . Güvenlik Temeli.
Güvenlik varsayılanlarını değiştirme
İlk güvenlik temeli ile başlayın ve dağıtım sırasında tanımlanan kayma denetimini ve korumalı güvenlik ayarlarını değiştirin.
Kayma denetimini etkinleştirme
Kayma denetimini etkinleştirmek için aşağıdaki adımları kullanın:
Azure Yerel makinenize bağlanın.
Aşağıdaki cmdlet'i çalıştırın:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Yerel - Yalnızca yerel düğümü etkiler.
- Küme - Düzenleyiciyi kullanarak kümedeki tüm düğümleri etkiler.
Kayma denetimini devre dışı bırakma
Kayma denetimini devre dışı bırakmak için aşağıdaki adımları kullanın:
Azure Yerel makinenize bağlanın.
Aşağıdaki cmdlet'i çalıştırın:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Yerel - Yalnızca yerel düğümü etkiler.
- Küme - Düzenleyiciyi kullanarak kümedeki tüm düğümleri etkiler.
Önemli
Kayma denetimini devre dışı bırakırsanız, korumalı ayarlar değiştirilebilir. Sürüklenme denetimini yeniden etkinleştirirseniz, korumalı ayarlarda yaptığınız tüm değişiklikler geçersiz kılınır.
Dağıtım sırasında güvenlik ayarlarını yapılandırma
Dağıtımın bir parçası olarak, kümenizdeki güvenlik temelini oluşturan kayma denetimini ve diğer güvenlik ayarlarını değiştirebilirsiniz.
Aşağıdaki tabloda, dağıtım sırasında Azure Yerel örneğinizde yapılandırabileceğiniz güvenlik ayarları açıklanmaktadır.
| Özellik alanı | Özellik | Açıklama | Kayma denetimini destekliyor mu? |
|---|---|---|---|
| İdare | Güvenlik temeli | Her düğümde güvenlik varsayılanlarını korur. Değişikliklere karşı korumaya yardımcı olur. | Yes |
| Kimlik bilgisi koruması | Windows Defender Credential Guard | Gizli bilgileri kimlik bilgisi hırsızlığı saldırılarından korumak için sanallaştırmaya dayalı güvenlik kullanır. | Yes |
| Uygulama denetimi | Windows Defender Uygulaması denetimi | Hangi sürücülerin ve uygulamaların her düğümde doğrudan çalışmasına izin verilip verilmiyor olduğunu denetler. | Hayır |
| Duran veri şifrelemesi | OS önyükleme birimi için BitLocker | Her düğümdeki işletim sistemi başlangıç birimini şifreler. | Hayır |
| Depolama halindeki verilerin şifrelenmesi | Veri birimleri için BitLocker | Bu sistemdeki küme paylaşılan birimlerini (CSV) şifreler | Hayır |
| Aktarım sırasında veri koruması | Dış SMB trafiği için imzalama | Geçiş saldırılarını önlemeye yardımcı olmak için bu sistem ve diğerleri arasındaki SMB trafiğini imzalar. | Yes |
| Aktarım sırasında veri koruması | Küme içi trafik için SMB Şifrelemesi | Sistemdeki düğümler (depolama ağınızda) arasındaki trafiği şifreler. | Hayır |
Dağıtımdan sonra güvenlik ayarlarını değiştirme
Dağıtım tamamlandıktan sonra, kayma denetimini korurken güvenlik ayarlarını değiştirmek için PowerShell'i kullanabilirsiniz. Bazı özelliklerin etkili olması için yeniden başlatma gerekir.
PowerShell cmdlet özellikleri
Aşağıdaki cmdlet özellikleri AzureStackOSConfigAgent modülüne yöneliktir . Modül dağıtım sırasında yüklenir.
Get-AzsSecurity-Kapsam: <Yerel | PerNode | AllNodes | Küme>- Local - Yerel düğümde boole değeri (true/False) sağlar. Normal bir uzak PowerShell oturumundan çalıştırılabilir.
- PerNode - Düğüm başına boole değeri (doğru/yanlış) sağlar.
-
Rapor - Uzak masaüstü protokolü (RDP) bağlantısı kullanırken CredSSP veya Azure yerel makinesi gerektirir.
- AllNodes – Düğümler arasında hesaplanan boole değeri (true/false) sağlar.
- Küme – ECE deposundan boolean değeri döndürür. Düzenleyiciyle etkileşim kurar ve kümedeki tüm düğümlere göre hareket eder.
Enable-AzsSecurity-Kapsam <Yerel | Küme>Disable-AzsSecurity-Kapsam <Yerel | Küme>ÖzellikAdı - <Kimlik Koruma | Kayma Kontrolü | DRTM | HVCI | Yan Kanal Azaltma | SMB Şifreleme | SMB İmzalama | VBS>
- Kayma Denetimi
- Credential Guard (Kimlik Bilgisi Koruması)
- VBS (Sanallaştırma Tabanlı Güvenlik)- Yalnızca enable komutunu destekliyoruz.
- DRTM (Ölçüm için Dinamik Güven Kökü)
- HVCI (Kod Bütünlüğü Hiper Yönetici Tarafından Sağlanır)
- Yan Kanal Azaltımı
- SMB İmzalama
- SMB Kümesi şifrelemesi
Önemli
Enable AzsSecurityveDisable AzsSecuritycmdlet'leri yalnızca yeni dağıtımlarda veya güvenlik temelleri düğümlere düzgün uygulandıktan sonra yükseltilen dağıtımlarda kullanılabilir. Daha fazla bilgi için bkz . Azure Local'ı yükselttikten sonra güvenliği yönetme.
Aşağıdaki tabloda desteklenen güvenlik özellikleri, kayma denetimini destekleyip desteklemedikleri ve özelliği uygulamak için yeniden başlatma gerekip gerekmediği belgelenmiştir.
| Veri Akışı Adı | Özellik | Kayma denetimini destekler | Yeniden başlatma gerekiyor |
|---|---|---|---|
| Etkinleştir |
Sanallaştırma Tabanlı Güvenlik (VBS) | Yes | Yes |
| Etkinleştir |
Kimlik Bilgisi Koruması | Yes | Yes |
| etkinleştir Devre Dışı Bırak |
Ölçüm için Dinamik Güven Kökü (DRTM) | Yes | Yes |
| Etkinleştir Devre Dışı Bırak |
Hiperdenetleyici Korumalı Kod Bütünlüğü (HVCI) | Yes | Yes |
| Etkinleştir Devre Dışı Bırak |
Yan kanal risk azaltma | Yes | Yes |
| Etkinleştir Devre Dışı Bırak |
SMB imzalama | Yes | Yes |
| Etkinleştir Devre Dışı Bırak |
SMB kümesi şifrelemesi | Hayır, küme ayarı | Hayır |
Sonraki adımlar
- BitLocker şifrelemeyi anlama.