Sicherheitsfeatures für Azure Local, Version 23H2
Gilt für: Azure Local, Version 23H2
Azure Local ist ein standardmäßiges Produkt mit mehr als 300 Aktivierten Sicherheitseinstellungen von Anfang an. Standardsicherheitseinstellungen stellen einen konsistenten Sicherheitsgrundwert bereit, um sicherzustellen, dass Geräte in einem bekannten guten Zustand beginnen.
Dieser Artikel enthält eine kurze konzeptionelle Übersicht über die verschiedenen Sicherheitsfeatures, die Ihrer lokalen Azure-Instanz zugeordnet sind. Zu den Features gehören Sicherheitsstandardwerte, Windows Defender für Anwendungssteuerung (WDAC), Volumeverschlüsselung über BitLocker, geheime Drehung, lokale integrierte Benutzerkonten, Microsoft Defender für Cloud und mehr.
Standardwerte für die Sicherheit
Ihr lokales Azure verfügt standardmäßig über Sicherheitseinstellungen, die einen konsistenten Sicherheitsgrundwert, ein Basisverwaltungssystem und einen Drift-Kontrollmechanismus bereitstellen.
Sie können die Sicherheitsbaseline und die Einstellungen für gesicherte Kerne sowohl während der Bereitstellung als auch zur Laufzeit überwachen. Sie können die Driftsteuerung auch während der Bereitstellung deaktivieren, wenn Sie Sicherheitseinstellungen konfigurieren.
Bei angewendeter Driftsteuerung werden die Sicherheitseinstellungen alle 90 Minuten aktualisiert. Dieses Aktualisierungsintervall stellt die Korrektur aller Änderungen aus dem gewünschten Zustand sicher. Kontinuierliche Überwachung und Autoremediation ermöglichen einen konsistenten und zuverlässigen Sicherheitsstatus während des gesamten Lebenszyklus des Geräts.
Sicherer Basisplan in Azure Local:
- Verbessert den Sicherheitsstatus, indem ältere Protokolle und Verschlüsselungen deaktiviert werden.
- Reduziert OPEX mit einem integrierten Driftschutzmechanismus, der eine konsistente Überwachung über den Azure Arc Hybrid Edge-Basisplan ermöglicht.
- Ermöglicht es Ihnen, den Benchmark für Center for Internet Security (CIS) und die Disa Security Information System Agency (DISA) Security Technical Implementation Guide (STIG) anforderungen für das Betriebssystem und die empfohlenen Sicherheitsgrundwerte zu erfüllen.
Weitere Informationen finden Sie unter Verwalten von Sicherheitsstandardeinstellungen in Azure Local.
Windows Defender Application Control
WDAC ist eine softwarebasierte Sicherheitsebene, die die Angriffsfläche reduziert, indem eine explizite Liste von Software erzwungen wird, die ausgeführt werden darf. WDAC ist standardmäßig aktiviert und beschränkt die Anwendungen und den Code, die Sie auf der Kernplattform ausführen können. Weitere Informationen finden Sie unter Verwalten der Windows Defender-Anwendungssteuerung für Azure Local, Version 23H2.
WDAC bietet zwei Hauptbetriebsmodi, Erzwingungsmodus und Überwachungsmodus. Im Erzwingungsmodus wird nicht vertrauenswürdiger Code blockiert, und Ereignisse werden aufgezeichnet. Im Überwachungsmodus darf nicht vertrauenswürdiger Code ausgeführt werden, und Ereignisse werden aufgezeichnet. Weitere Informationen zu WDAC-bezogenen Ereignissen finden Sie unter "Liste der Ereignisse".
Wichtig
Um das Sicherheitsrisiko zu minimieren, führen Sie WDAC immer im Erzwingungsmodus aus.
Informationen zum WDAC-Richtlinienentwurf
Microsoft stellt basissignierte Richtlinien für den Erzwingungsmodus und den Überwachungsmodus in Azure Local bereit. Darüber hinaus enthalten Richtlinien einen vordefinierten Satz von Plattformverhaltensregeln und Blockregeln, die auf die Anwendungssteuerungsebene angewendet werden sollen.
Zusammensetzung von Basisrichtlinien
Zu den lokalen Azure-Basisrichtlinien gehören die folgenden Abschnitte:
- Metadaten: Die Metadaten definieren eindeutige Eigenschaften der Richtlinie, z. B. den Richtliniennamen, die Version, die GUID und vieles mehr.
- Optionsregeln: Diese Regeln definieren das Richtlinienverhalten. Ergänzende Richtlinien können sich nur von einer kleinen Gruppe von Optionsregeln unterscheiden, die an ihre Basisrichtlinie gebunden sind.
- Regeln zulassen und verweigern: Diese Regeln definieren Codevertrauensgrenzen. Regeln können auf Herausgebern, Signierern, Dateihash und mehr basieren.
Optionsregeln
In diesem Abschnitt wurden die von der Basisrichtlinie aktivierten Optionsregeln erläutert.
Für die erzwungene Richtlinie sind die folgenden Optionsregeln standardmäßig aktiviert:
| Optionsregel | Wert |
|---|---|
| Aktiviert | UMCI |
| Erforderlich | WHQL |
| Aktiviert | Ergänzende Richtlinien zulassen |
| Aktiviert | Widerrufen als nicht signiert |
| Disabled | Flight-Signierung |
| Aktiviert | Nicht signierte Systemintegritätsrichtlinie (Standard) |
| Aktiviert | Dynamische Codesicherheit |
| Aktiviert | Menü "Erweiterte Startoptionen" |
| Disabled | Skripterzwingung |
| Aktiviert | Verwaltetes Installationsprogramm |
| Aktiviert | Updaterichtlinie ohne Neustart |
Die Überwachungsrichtlinie fügt der Basisrichtlinie die folgenden Optionsregeln hinzu:
| Optionsregel | Wert |
|---|---|
| Aktiviert | Überwachungsmodus (Standard) |
Weitere Informationen finden Sie in der vollständigen Liste der Optionsregeln.
Regeln zulassen und verweigern
Regeln in der Basisrichtlinie zulassen, dass alle microsoft-Komponenten, die vom Betriebssystem bereitgestellt werden, und die Cloudbereitstellungen vertrauenswürdig sind. Regeln blockieren Benutzermodusanwendungen und Kernelkomponenten als unsicher für den Sicherheitsstatus der Lösung.
Hinweis
Die Regeln "Zulassen und Verweigern" in der Basisrichtlinie werden regelmäßig aktualisiert, um die Produktfreundlichkeit zu verbessern und den Schutz Ihrer Lösung zu maximieren.
Weitere Informationen zu Deny-Regeln finden Sie unter:
BitLocker-Verschlüsselung
Die Verschlüsselung ruhender Daten wird für Datenvolumes aktiviert, die während der Bereitstellung erstellt wurden. Diese Datenvolumes umfassen sowohl Infrastrukturvolumes als auch Workloadvolumes. Wenn Sie Ihr System bereitstellen, können Sie sicherheitseinstellungen ändern.
Standardmäßig ist die Verschlüsselung ruhender Daten während der Bereitstellung aktiviert. Es wird empfohlen, die Standardeinstellung zu akzeptieren.
Nachdem Azure Local erfolgreich bereitgestellt wurde, können Sie BitLocker-Wiederherstellungsschlüssel abrufen. Sie müssen BitLocker-Wiederherstellungsschlüssel an einem sicheren Ort außerhalb des Systems speichern.
Weitere Informationen zur BitLocker-Verschlüsselung finden Sie unter:
- Verwenden Sie BitLocker mit freigegebenen Clustervolumes (CSV).
- Verwalten der BitLocker-Verschlüsselung auf Azure Local.
Lokale integrierte Benutzerkonten
In dieser Version sind die folgenden lokalen integrierten Benutzer verfügbar, die mit RID 500 Ihrem lokalen Azure-System verknüpft sind und RID 501 verfügbar sind:
| Name im ursprünglichen Betriebssystemimage | Name nach der Bereitstellung | Standardmäßig aktiviert. | Beschreibung |
|---|---|---|---|
| Administrator | ASBuiltInAdmin | True | Integriertes Konto für die Verwaltung des Computers/der Domäne. |
| Gast | ASBuiltInGuest | False | Integriertes Konto für den Gastzugriff auf den Computer/die Domäne, geschützt durch den Mechanismus für die Sicherheitsbasisabweichungskontrolle. |
Wichtig
Es wird empfohlen, ihr eigenes lokales Administratorkonto zu erstellen und das bekannte RID 500 Benutzerkonto zu deaktivieren.
Geheime Erstellung und Drehung
Der Orchestrator in Azure Local erfordert mehrere Komponenten, um die sichere Kommunikation mit anderen Infrastrukturressourcen und -diensten aufrechtzuerhalten. Alle auf dem System ausgeführten Dienste weisen Authentifizierungs- und Verschlüsselungszertifikate auf.
Um die Sicherheit zu gewährleisten, implementieren wir interne geheime Erstellungs- und Drehfunktionen. Wenn Sie Ihre Systemknoten überprüfen, werden mehrere Zertifikate angezeigt, die unter dem Pfad "LocalMachine/Personal"-Zertifikatspeicher (Cert:\LocalMachine\My) erstellt wurden.
In dieser Version sind die folgenden Funktionen aktiviert:
- Die Möglichkeit zum Erstellen von Zertifikaten während der Bereitstellung und nach Systemmaßstabierungsvorgängen.
- Automatische AutomatischesRotieren vor Ablauf von Zertifikaten und eine Option zum Drehen von Zertifikaten während der Lebensdauer des Systems.
- Die Möglichkeit zum Überwachen und Warnen, ob Zertifikate noch gültig sind.
Hinweis
Das Erstellen und Drehen des geheimen Schlüssels dauert etwa zehn Minuten, je nach Größe des Systems.
Weitere Informationen finden Sie unter Verwalten der Drehung geheimer Schlüssel.
Syslog-Weiterleitung von Sicherheitsereignissen
Für Kunden und Organisationen, die ihr eigenes lokales Sicherheitsinformations- und Ereignisverwaltungssystem (SIEM) benötigen, enthält Azure Local, Version 23H2 einen integrierten Mechanismus, mit dem Sie sicherheitsbezogene Ereignisse an ein SIEM weiterleiten können.
Azure Local verfügt über eine integrierte Syslog-Weiterleitung, die nach der Konfiguration syslog-Nachrichten generiert, die in RFC3164 definiert sind, mit der Nutzlast im Common Event Format (CEF).
Das folgende Diagramm veranschaulicht die Integration von Azure Local mit einem SIEM. Alle Audits, Sicherheitsprotokolle und Warnungen werden auf jedem Host gesammelt und über Syslog mit der CEF-Nutzlast verfügbar gemacht.
Syslog-Weiterleitungs-Agents werden auf jedem lokalen Azure-Host bereitgestellt, um Syslog-Nachrichten an den vom Kunden konfigurierten Syslog-Server weiterzuleiten. Syslog-Weiterleitungs-Agents arbeiten unabhängig voneinander, können aber auf einem der Hosts gemeinsam verwaltet werden.
Die Syslog-Weiterleitung in Azure Local unterstützt verschiedene Konfigurationen, je nachdem, ob die Syslog-Weiterleitung mit TCP oder UDP erfolgt, ob die Verschlüsselung aktiviert ist oder nicht, und ob eine unidirektionale oder bidirektionale Authentifizierung vorhanden ist.
Weitere Informationen finden Sie unter Verwalten der Syslog-Weiterleitung.
Microsoft Defender für Cloud (Vorschau)
Microsoft Defender für Cloud ist eine Sicherheitsstatusverwaltungslösung mit erweiterten Bedrohungsschutzfunktionen. Es bietet Ihnen Tools, um den Sicherheitsstatus Ihrer Infrastruktur zu bewerten, Workloads zu schützen, Sicherheitswarnungen auszuheben und bestimmte Empfehlungen zur Behebung von Angriffen zu befolgen und zukünftige Bedrohungen zu beheben. Sie führt alle diese Dienste mit hoher Geschwindigkeit in der Cloud durch automatische Bereitstellung und Schutz mit Azure-Diensten ohne Bereitstellungsaufwand aus.
Mit dem grundlegenden Defender für Cloud-Plan erhalten Sie Empfehlungen zur Verbesserung des Sicherheitsstatus Ihres lokalen Azure-Systems ohne zusätzliche Kosten. Mit dem kostenpflichtigen Defender für Server-Plan erhalten Sie erweiterte Sicherheitsfeatures, einschließlich Sicherheitswarnungen für einzelne Computer und Arc-VMs.
Weitere Informationen finden Sie unter Verwalten der Systemsicherheit mit Microsoft Defender für Cloud (Vorschau).