Správa zabezpečení po upgradu Azure Local

Platí pro: Azure Local, verze 23H2

Tento článek popisuje, jak spravovat nastavení zabezpečení v místním prostředí Azure, který byl upgradován z verze 22H2 na verzi 23H2.

Požadavky

Než začnete, ujistěte se, že máte přístup k místnímu systému Azure verze 23H2, který byl upgradován z verze 22H2.

Změny zabezpečení po upgradu

Když upgradujete místní Azure z verze 22H2 na verzi 23H2, stav zabezpečení systému se nezmění. Důrazně doporučujeme, abyste po upgradu aktualizovali nastavení zabezpečení, aby bylo přínosné z rozšířeného zabezpečení.

Tady jsou výhody aktualizace nastavení zabezpečení:

• Zlepšuje stav zabezpečení zakázáním starších protokolů a šifer a posílením zabezpečení nasazení.
• Snižuje provozní výdaje (OpEx) pomocí integrovaného mechanismu ochrany odchylek pro konzistentní monitorování ve velkém měřítku prostřednictvím standardních hodnot Azure Arc Hybrid Edge.
• Umožňuje úzce splňovat požadavky centra pro srovnávací testy Zabezpečení internetu (CIS) a požadavky agentury DISA (Defense Information System Agency) security Technical Implementation Guide (STIG) pro operační systém.

Po dokončení upgradu proveďte tyto základní změny:

1. Použijte standardní hodnoty zabezpečení.
2. Použijte šifrování neaktivních uložených dat.
3. Povolte řízení aplikací.

Každý z těchto kroků je podrobně popsaný v následujících částech.

Použití standardních hodnot zabezpečení

Nové nasazení Azure Local zavádí dva základní dokumenty vložené vrstvou správy zabezpečení, zatímco upgradovaný cluster ne.

Důležité

Po použití dokumentů standardních hodnot zabezpečení se použije nový mechanismus pro použití a údržbu nastavení standardních hodnot zabezpečení.

1. Pokud vaše servery dědí základní nastavení prostřednictvím mechanismů, jako jsou GPO, DSC nebo skripty, doporučujeme:

   • Odeberte tato duplicitní nastavení z těchto mechanismů.
   • Případně po použití standardních hodnot zabezpečení zakažte mechanismus řízení odchylek.

   Nový stav zabezpečení vašich serverů bude kombinovat předchozí nastavení, nová nastavení a překrývající se nastavení s aktualizovanými hodnotami.

   Poznámka:

   Microsoft testuje místní nastavení Azure verze 23H2 a nasazuje je. Důrazně doporučujeme tato nastavení zachovat. Použití vlastních nastavení může potenciálně vést k nestabilitě systému, nekompatibilitě s novými scénáři produktu a může vyžadovat rozsáhlé testování a řešení potíží na vaší straně.

2. Když spustíte následující příkazy, najdete dokumenty, které nejsou na místě. Tyto rutiny nevrátí žádný výstup.

   Get-AzSSecuritySettingsConfiguration
   Get-AzSSecuredCoreConfiguration
   

3. Pokud chcete povolit směrné plány, přejděte na každý z uzlů, které jste upgradovali. Spusťte následující příkazy místně nebo vzdáleně pomocí účtu privilegovaného správce:

   Start-AzSSecuritySettingsConfiguration
   Start-AzSSecuredCoreConfiguration
   

4. Restartujte uzly ve správném pořadí, aby se nové nastavení stalo efektivním.

Potvrzení stavu standardních hodnot zabezpečení

Po restartování znovu spusťte rutiny, abyste potvrdili stav standardních hodnot zabezpečení:

Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

Získáte výstup pro každou rutinu s informacemi o směrném plánu.

Tady je příklad výstupu směrného plánu:

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

Povolení šifrování neaktivních uložených dat

Během upgradu Microsoft zjistí, jestli jsou systémové uzly povolené BitLockerem. Pokud je nástroj BitLocker povolený, zobrazí se výzva k jeho pozastavení. Pokud jste dříve povolili Nástroj BitLocker na svazcích, obnovte ochranu. Nejsou vyžadovány žádné další kroky.

Pokud chcete ověřit stav šifrování napříč svazky, spusťte následující příkazy:

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

Pokud potřebujete povolit Nástroj BitLocker na libovolném svazku, přečtěte si téma Správa šifrování BitLockeru v místním prostředí Azure.

Povolit řízení aplikací

Řízení aplikací pro firmy (dříve označované jako Řízení aplikací v programu Windows Defender nebo WDAC) poskytuje skvělou vrstvu ochrany před spuštěním nedůvěryhodného kódu.

Po upgradu na verzi 23H2 zvažte povolení řízení aplikací. To může být rušivé, pokud nejsou přijata nezbytná opatření pro správné ověření stávajícího softwaru třetích stran, který již na serverech existuje.

U nových nasazení je řízení aplikací povolené v režimu vynucení (blokování nedůvěryhodných binárních souborů), zatímco pro upgradované systémy doporučujeme postupovat takto:

1. Povolte řízení aplikací v režimu auditování (za předpokladu, že existuje neznámý software).

2. Monitorování událostí řízení aplikací

3. Vytvořte nezbytné doplňkové zásady.

4. Opakujte kroky č. 2 a #3 podle potřeby, dokud nebudou pozorovány žádné další události auditu. Přepněte do režimu vynucení .

   Upozorňující

   Při vytváření nezbytných zásad AppControl pro povolení dalšího softwaru třetích stran se tento software nepovedlo spustit.

Pokyny k povolení v režimu vynucení najdete v tématu Správa řízení aplikací v programu Windows Defender pro místní prostředí Azure.

Další kroky

• Seznamte se s šifrováním BitLockeru.