Konfigurace bezpečnostních prvků služby Azure Stack Hub

Tento článek vysvětluje kontrolní mechanismy zabezpečení, které je možné změnit ve službě Azure Stack Hub, a v případě potřeby zvýrazní kompromisy.

Architektura služby Azure Stack Hub je založená na dvou pilířích zásad zabezpečení: předpokládejme, že ve výchozím nastavení dojde k porušení zabezpečení a posílení zabezpečení. Další informace o zabezpečení služby Azure Stack Hub najdete v tématu stavu zabezpečení infrastruktury služby Azure Stack Hub. I když je výchozí stav zabezpečení služby Azure Stack Hub připravený pro produkční prostředí, existují některé scénáře nasazení, které vyžadují další posílení zabezpečení.

Zásady verze protokolu TLS

Protokol TLS (Transport Layer Security) je široce přijímaný kryptografický protokol pro navázání šifrované komunikace přes síť. Protokol TLS se v průběhu času vyvinul a vydalo se více verzí. Infrastruktura služby Azure Stack Hub používá výhradně protokol TLS 1.2 pro veškerou svou komunikaci. Pro externí rozhraní azure Stack Hub aktuálně používá protokol TLS 1.2. Kvůli zpětné kompatibilitě ale podporuje také vyjednávání až na protokol TLS 1.1. a 1.0. Když klient TLS požádá o komunikaci přes protokol TLS 1.1 nebo TLS 1.0, služba Azure Stack Hub bude respektovat požadavek vyjednáváním s nižší verzí protokolu TLS. Pokud klient požádá o protokol TLS 1.2, Azure Stack Hub vytvoří připojení TLS pomocí protokolu TLS 1.2.

Vzhledem k tomu, že protokoly TLS 1.0 a 1.1 jsou postupně zastaralé nebo zakázané organizacemi a standardy dodržování předpisů, můžete teď nakonfigurovat zásady TLS ve službě Azure Stack Hub. Můžete vynutit zásadu pouze pro TLS 1.2, kde jakýkoli pokus o vytvoření relace TLS s verzí nižší než 1.2 není povolen a je odmítnut.

Důležitý

Microsoft doporučuje používat pouze zásady TLS 1.2 pro produkční prostředí služby Azure Stack Hub.

Získat zásady TLS

Pomocí privilegovaného koncového bodu (PEP) zobrazte zásady TLS pro všechny koncové body služby Azure Stack Hub:

Get-TLSPolicy

Příklad výstupu:

TLS_1.2

Nastavení zásad PROTOKOLU TLS

Pomocí privilegovaného koncového bodu (PEP) nastavte zásady TLS pro všechny koncové body Azure Stack Hub:

Set-TLSPolicy -Version <String>

Parametry pro Set-TLSPolicy cmdlet:

Parametr	Popis	Typ	Povinný
verze	Povolené verze protokolu TLS ve službě Azure Stack Hub	Řetězec	Ano

Ke konfiguraci povolených verzí PROTOKOLU TLS pro všechny koncové body služby Azure Stack Hub použijte jednu z následujících hodnot:

Hodnota verze	Popis
TLS_All	Koncové body TLS služby Azure Stack Hub podporují TLS 1.2, ale je umožněno vyjednávání na TLS 1.1 a TLS 1.0.
TLS_1.2	Koncové body TLS služby Azure Stack Hub podporují pouze protokol TLS 1.2.

Dokončení aktualizace zásad PROTOKOLU TLS trvá několik minut.

Příklad vynucení konfigurace PROTOKOLU TLS 1.2

Tento příklad nastaví zásadu PROTOKOLU TLS tak, aby vynucuje pouze protokol TLS 1.2.

Set-TLSPolicy -Version TLS_1.2

Příklad výstupu:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

Příklad povolení všech verzí protokolu TLS (1.2, 1.1 a 1.0)

Tento příklad nastaví zásadu PROTOKOLU TLS tak, aby umožňovala všechny verze protokolu TLS (1.2, 1.1 a 1.0).

Set-TLSPolicy -Version TLS_All

Příklad výstupu:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

Právní oznámení o sezeních PEP

Existují scénáře, kdy je užitečné zobrazit právní oznámení při přihlášení k privilegovanému koncovému bodu (PEP) relaci. Rutiny Set-AzSLegalNotice a Get-AzSLegalNotice slouží ke správě textu a titulku právního oznámení.

Pokud chcete nastavit titulek a text právního oznámení, podívejte se na cmdlet Set-AzSLegalNotice. Pokud byl dříve nastavený titulek právního oznámení a text, můžete je zkontrolovat pomocí rutiny Get-AzSLegalNotice.

Další kroky

• informace o stavu zabezpečení infrastruktury služby Azure Stack Hub.
• Naučte se obměňovat tajné kódy ve službě Azure Stack Hub.
• Aktualizovat antivirovou ochranu v programu Windows Defender ve službě Azure Stack Hub.