Sdílet prostřednictvím

Správa výchozích hodnot zabezpečení pro místní Azure verze 23H2

  • Článek

Platí pro: Azure Local, verze 23H2

Tento článek popisuje, jak spravovat výchozí nastavení zabezpečení pro místní instanci Azure. Můžete také upravit řízení odchylek a chráněná nastavení zabezpečení definovaná během nasazení, aby se zařízení spouštěla ve známém dobrém stavu.

Požadavky

Než začnete, ujistěte se, že máte přístup k místnímu systému Azure verze 23H2, který je nasazený, zaregistrovaný a připojený k Azure.

Zobrazení výchozích nastavení zabezpečení na webu Azure Portal

Pokud chcete zobrazit výchozí nastavení zabezpečení na webu Azure Portal, ujistěte se, že jste použili iniciativu MCSB. Další informace najdete v tématu Použití iniciativy srovnávacího testu Microsoft Cloud Security.

Výchozí nastavení zabezpečení můžete použít ke správě nastavení zabezpečení systému, řízení posunu a zabezpečeného jádra ve vašem systému.

Snímek obrazovky znázorňující stránku Výchozí nastavení zabezpečení na webu Azure Portal

Zobrazte stav podepisování SMB na >kartě Ochrana sítě. Podepisování protokolu SMB umožňuje digitálně podepsat přenosy SMB mezi místní instancí Azure a dalšími systémy.

Snímek obrazovky znázorňující stav podepisování SMB na webu Azure Portal

Zobrazení dodržování předpisů standardních hodnot zabezpečení na webu Azure Portal

Po registraci místní instance Azure v Programu Microsoft Defender pro cloud nebo přiřazení předdefinovaných zásad pro počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure, vygeneruje se sestava dodržování předpisů. Úplný seznam pravidel, se která místní instance Azure porovnává, najdete v tématu Standardní hodnoty zabezpečení Windows.

U místního počítače Azure platí, že když jsou splněny všechny požadavky na hardware pro zabezpečené jádro, výchozí očekávané skóre dodržování předpisů je 321 z 324 pravidel – to znamená, že 99 % pravidel vyhovuje.

Následující tabulka vysvětluje pravidla, která nedodržují předpisy, a odůvodnění současné mezery:

Název pravidla Stav dodržování předpisů Důvod Komentáře
Interaktivní přihlašování: Text zprávy pro uživatele pokoušející se přihlásit Nevyhovující předpisům Upozornění – ""je rovno"" To musí být definováno zákazníkem, nemá povolenou kontrolu posunu.
Interaktivní přihlašování: Nadpis zprávy pro uživatele pokoušející se přihlásit Nedodržuje předpisy Upozornění – "" se rovná "" To musí být definováno zákazníkem, nemá povolenou kontrolu posunu.
Minimální délka hesla Nedodržuje předpisy Kritické – Sedm je menší než minimální hodnota 14. Toto nastavení musí definovat zákazník, nemá povolenou kontrolu odchylek, aby toto nastavení bylo možné sladit se zásadami vaší organizace.

Oprava dodržování předpisů pro pravidla

Pokud chcete opravit dodržování předpisů pro pravidla, spusťte následující příkazy nebo použijte jiný nástroj, který dáváte přednost:

  1. Právní oznámení: Vytvořte vlastní hodnotu pro právní oznámení v závislosti na potřebách a zásadách vaší organizace. Spusťte následující příkazy:

    Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice"
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"

  2. Minimální délka hesla: Na místním počítači Azure nastavte zásadu minimální délky hesla na 14 znaků. Výchozí hodnota je 7 a všechny hodnoty nižší než 14 jsou stále označeny zásadami standardních hodnot monitorování. Spusťte následující příkazy:

    net accounts /minpwlen:14

Správa výchozích hodnot zabezpečení pomocí PowerShellu

Pokud je povolená ochrana proti posunu, můžete upravit pouze nechráněná nastavení zabezpečení. Chcete-li upravit nastavení zabezpečení chráněného zabezpečení, které tvoří směrný plán, musíte nejprve zakázat ochranu proti posunu. Úplný seznam nastavení zabezpečení zobrazíte a stáhnete podle standardních hodnot zabezpečení.

Úprava výchozích hodnot zabezpečení

Začněte počátečním standardním plánem zabezpečení a upravte řízení odchylek a chráněná nastavení zabezpečení definovaná během nasazování.

Povolení řízení posunu

Pomocí následujících kroků povolte řízení posunu:

  1. Připojte se k místnímu počítači Azure.

  2. Spusťte následující rutinu:

    Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    • Místní – ovlivňuje pouze místní uzel.
    • Cluster – Ovlivňuje všechny uzly v clusteru pomocí orchestrátoru.

Zakázat řízení posunu

Pomocí následujících kroků zakažte řízení posunu:

  1. Připojte se k místnímu počítači Azure.

  2. Spusťte následující rutinu:

    Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    • Místní – ovlivňuje pouze místní uzel.
    • Cluster – Ovlivňuje všechny uzly v clusteru pomocí orchestrátoru.

Důležité

Pokud zakážete řízení odchylek, můžete upravit chráněná nastavení. Pokud řízení posunu povolíte znovu, všechny změny, které jste provedli v chráněných nastaveních, se přepíšou.

Konfigurace nastavení zabezpečení během nasazení

V rámci nasazení můžete upravit řízení odchylek a další nastavení zabezpečení, která představují standardní hodnoty zabezpečení v clusteru.

Následující tabulka popisuje nastavení zabezpečení, která je možné nakonfigurovat v místní instanci Azure během nasazování.

Oblast funkcí Funkce Popis Podporuje řízení odchylek?
Řízení Standardní hodnoty zabezpečení Udržuje výchozí nastavení zabezpečení na každém uzlu. Pomáhá chránit před změnami. Ano
Ochrana přihlašovacích údajů Windows Defender Credential Guard Používá zabezpečení na základě virtualizace k izolaci tajných kódů před útoky na krádež přihlašovacích údajů. Ano
Řízení aplikace Řízení aplikací v programu Windows Defender Určuje, které ovladače a aplikace se můžou spouštět přímo na každém uzlu. No
Šifrování neaktivních uložených dat BitLocker pro spouštěcí svazek operačního systému Zašifruje spouštěcí svazek operačního systému na každém uzlu. No
Šifrování neaktivních uložených dat BitLocker pro datové svazky Šifruje sdílené svazky clusteru (CSV) v tomto systému. No
Ochrana přenášených dat Podepisování externího provozu SMB Podepíše provoz SMB mezi tímto systémem a ostatními, aby se zabránilo útokům na přenos. Ano
Ochrana přenášených dat Šifrování SMB pro provoz v clusteru Šifruje provoz mezi uzly v systému (ve vaší síti úložiště). No

Úprava nastavení zabezpečení po nasazení

Po dokončení nasazení můžete pomocí PowerShellu upravit nastavení zabezpečení při zachování řízení posunu. Některé funkce vyžadují restartování, aby se projevilo.

Vlastnosti rutiny PowerShellu

Následující vlastnosti rutiny jsou pro modul AzureStackOSConfigAgent . Modul se nainstaluje během nasazení.

  • Get-AzsSecurity -Scope: <Local | PerNode | AllNodes | Shluk>

    • Místní – Poskytuje logickou hodnotu (true/False) v místním uzlu. Dá se spustit z běžné vzdálené relace PowerShellu.
    • PerNode – Poskytuje logickou hodnotu (true/False) na uzel.
    • Sestava – Vyžaduje CredSSP nebo místní počítač Azure pomocí připojení RDP (Remote Desktop Protocol).
      • AllNodes – poskytuje logickou hodnotu (true/False) vypočítanou napříč uzly.
      • Cluster – poskytuje logickou hodnotu z úložiště ECE. Komunikuje s orchestrátorem a funguje na všech uzlech v clusteru.

  • Enable-AzsSecurity -Scope <Local | Shluk>

  • Disable-AzsSecurity -Scope <Local | Shluk>

    • FeatureName – <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>

      • Řízení posunu
      • Ochrana přihlašovacích údajů Credential Guard
      • VBS (virtualizační zabezpečení) – Podporujeme pouze povolení příkazu.
      • DRTM (dynamický kořen důvěryhodnosti pro měření)
      • HVCI (hypervisor vynucený, pokud je integrita kódu)
      • Zmírnění rizik na straně kanálu
      • Podepisování SMB
      • Šifrování clusteru SMB

      Důležité

      Enable AzsSecurity a Disable AzsSecurity rutiny jsou k dispozici pouze v nových nasazeních nebo při upgradovaných nasazeních, jakmile se na uzly správně použijí standardní hodnoty zabezpečení. Další informace najdete v tématu Správa zabezpečení po upgradu azure Local.

Následující tabulka obsahuje dokumenty o podporovaných funkcích zabezpečení, zda podporují řízení odchylek a jestli se k implementaci této funkce vyžaduje restartování.

Název Funkce Podporuje řízení odchylek. Vyžaduje se restartování.
Povolte .
 Zabezpečení na základě virtualizace (VBS) Ano Yes
Povolte .
 Ochrana přihlašovacích údajů Credential Guard Ano Yes
Povolte .
Zakázat		 Dynamický kořen důvěryhodnosti pro měření (DRTM) Ano Yes
Povolte .
Zakázat		 Integrita kódu chráněná hypervisorem (HVCI) Ano Yes
Povolte .
Zakázat		 Zmírnění rizik na straně kanálu Ano Yes
Povolte .
Zakázat		 Podepisování SMB Ano Yes
Povolte .
Zakázat		 Šifrování clusteru SMB Ne, nastavení clusteru No

Další kroky