Verwalten von Sicherheitsstandardeinstellungen für Azure Stack HCI, Version 23H2
Gilt für: Azure Stack HCI, Version 23H2
In diesem Artikel wird beschrieben, wie Sie Standardsicherheitseinstellungen für Ihren Azure Stack HCI-Cluster verwalten. Sie können auch die während der Bereitstellung definierten Driftsteuerungs- und geschützten Sicherheitseinstellungen ändern, sodass Ihr Gerät in einem bekannten guten Zustand beginnt.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie Zugriff auf ein Azure Stack HCI, Version 23H2-System haben, das bereitgestellt, registriert und mit Azure verbunden ist.
Anzeigen der Sicherheitsstandardeinstellungen im Azure-Portal
Um die Sicherheitsstandardeinstellungen im Azure-Portal anzuzeigen, stellen Sie sicher, dass Sie die MCSB-Initiative angewendet haben. Weitere Informationen finden Sie unter Anwenden der Microsoft Cloud Security Benchmark Initiative.
Sie können die Sicherheitsstandardeinstellungen verwenden, um Clustersicherheit, Driftsteuerung und gesicherte Kernservereinstellungen auf Ihrem Cluster zu verwalten.
Zeigen Sie den SMB-Signaturstatus auf der >Registerkarte "Datenschutz netzwerkschutz" an. Mit der SMB-Signatur können Sie SMB-Datenverkehr zwischen einem Azure Stack HCI-System und anderen Systemen digital signieren.
Anzeigen der Compliance mit Sicherheitsgrundwerten im Azure-Portal
Nachdem Sie Ihr Azure Stack HCI-System bei Microsoft Defender für Cloud registriert oder die integrierten Richtlinien-Windows-Computer zugewiesen haben, sollten die Anforderungen der Azure Compute Security Baseline erfüllt sein, wird ein Compliancebericht generiert. Die vollständige Liste der Regeln, mit der Ihr Azure Stack HCI-Server verglichen wird, finden Sie unter Windows-Sicherheitsgrundwerte.
Bei Azure Stack HCI-Server beträgt die Compliancebewertung 281 von 288 Regeln, d. h. 281 von 288 Regeln, d. h. 281 von 288 Regeln sind konform.
In der folgenden Tabelle werden die Regeln erläutert, die nicht kompatibel sind, und die Gründe für die aktuelle Lücke:
| Regelname | Erwartet: … | Istwert | Logik | Kommentare |
|---|---|---|---|---|
| Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen | Erwartet: | Aktuell: | Operator: HINWEISQUALS |
Wir erwarten, dass Sie diesen Wert ohne Driftsteuerung definieren. |
| Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen | Erwartet: | Aktuell: | Operator: HINWEISQUALS |
Wir erwarten, dass Sie diesen Wert ohne Driftsteuerung definieren. |
| Minimale Kennwortlänge | Erwartet: 14 | Ist-Wert: 0 | Operator: GREATEROREQUAL |
Wir erwarten, dass Sie diesen Wert ohne Driftsteuerelement definieren, das der Richtlinie Ihrer Organisation entspricht. |
| Abrufen von Gerätemetadaten aus dem Internet verhindern | Erwartet: 1 | Ist-Wert: (null) | Operator: EQUALS |
Dieses Steuerelement gilt nicht für Azure Stack HCI. |
| Verhindern, dass Benutzer und Apps auf gefährliche Websites zugreifen | Erwartet: 1 | Ist-Wert: (null) | Operator: EQUALS |
Dieses Steuerelement ist Teil der Windows Defender-Schutzmaßnahmen, die nicht standardmäßig aktiviert sind. Sie können auswerten, ob Sie diese Option aktivieren möchten. |
| Gehärtete UNC-Pfade – NETLOGON | Erwartet: RequireMutualAuthentication=1 RequireIntegrity=1 |
Actual: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operator: EQUALS |
Azure Stack HCI ist restriktiver. Diese Regel kann sicher ignoriert werden. |
| Gehärtete UNC-Pfade – SYSVOL | Erwartet: RequireMutualAuthentication=1 RequireIntegrity=1 |
Aktuell: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operator: EQUALS |
Azure Stack HCI ist restriktiver. Diese Regel kann sicher ignoriert werden. |
Verwalten von Sicherheitsstandardeinstellungen mit PowerShell
Wenn der Driftschutz aktiviert ist, können Sie nur nicht geschützte Sicherheitseinstellungen ändern. Um geschützte Sicherheitseinstellungen zu ändern, die den Basisplan bilden, müssen Sie zuerst den Driftschutz deaktivieren. Informationen zum Anzeigen und Herunterladen der vollständigen Liste der Sicherheitseinstellungen finden Sie unter Security Baseline.
Ändern von Sicherheitsstandardeinstellungen
Beginnen Sie mit der anfänglichen Sicherheitsbasislinie, und ändern Sie dann die während der Bereitstellung definierten Driftsteuerelement- und geschützten Sicherheitseinstellungen.
Abweichungssteuerung aktivieren
Führen Sie die folgenden Schritte aus, um die Driftsteuerung zu aktivieren:
Stellen Sie eine Verbindung mit Ihrem Azure Stack HCI-Knoten her.
Führen Sie das folgende Cmdlet aus:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Lokal – Betrifft nur den lokalen Knoten.
- Cluster – Betrifft alle Knoten im Cluster mithilfe des Orchestrators.
Abweichungssteuerung deaktivieren
Führen Sie die folgenden Schritte aus, um die Driftsteuerung zu deaktivieren:
Stellen Sie eine Verbindung mit Ihrem Azure Stack HCI-Knoten her.
Führen Sie das folgende Cmdlet aus:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Lokal – Betrifft nur den lokalen Knoten.
- Cluster – Betrifft alle Knoten im Cluster mithilfe des Orchestrators.
Wichtig
Wenn Sie das Driftsteuerelement deaktivieren, können die geschützten Einstellungen geändert werden. Wenn Sie das Driftsteuerelement erneut aktivieren, werden alle Änderungen, die Sie an den geschützten Einstellungen vorgenommen haben, überschrieben.
Konfigurieren von Sicherheitseinstellungen während der Bereitstellung
Im Rahmen der Bereitstellung können Sie die Driftsteuerung und andere Sicherheitseinstellungen ändern, die den Sicherheitsgrundwert ihres Clusters darstellen.
In der folgenden Tabelle werden Sicherheitseinstellungen beschrieben, die während der Bereitstellung auf Ihrem Azure Stack HCI-Cluster konfiguriert werden können.
| Funktionsbereich | Feature | Beschreibung | Unterstützt Driftsteuerung? |
|---|---|---|---|
| Governance | Sicherheitsbaseline | Verwaltet die Sicherheitsstandards auf jedem Server. Schützt vor Änderungen. | Ja |
| Schutz von Anmeldeinformationen | Windows Defender Credential Guard | Verwendet virtualisierungsbasierte Sicherheit, um geheime Schlüssel von Angriffen auf Anmeldeinformationen zu isolieren. | Ja |
| Anwendungssteuerelement | Windows Defender-Anwendungssteuerelement | Steuert, welche Treiber und Apps direkt auf jedem Server ausgeführt werden dürfen. | No |
| Verschlüsselung ruhender Daten | BitLocker für Betriebssystemstartvolume | Verschlüsselt das Betriebssystemstartvolume auf jedem Server. | No |
| Verschlüsselung ruhender Daten | BitLocker für Datenvolumes | Verschlüsselt freigegebene Clustervolumes (CSVs) auf diesem Cluster | No |
| Schutz vor Daten während der Übertragung | Signieren für externen SMB-Datenverkehr | Signiert SMB-Datenverkehr zwischen diesem System und anderen, um Relayangriffe zu verhindern. | Ja |
| Schutz vor Daten während der Übertragung | SMB-Verschlüsselung für In-Cluster-Datenverkehr | Verschlüsselt den Datenverkehr zwischen Servern im Cluster (in Ihrem Speichernetzwerk). | No |
Ändern der Sicherheitseinstellungen nach der Bereitstellung
Nachdem die Bereitstellung abgeschlossen ist, können Sie PowerShell verwenden, um Sicherheitseinstellungen zu ändern, während die Driftsteuerung beibehalten wird. Einige Features erfordern einen Neustart, um wirksam zu werden.
PowerShell-Cmdlet-Eigenschaften
Die folgenden Cmdlet-Eigenschaften gelten für das AzureStackOSConfigAgent-Modul . Das Modul wird während der Bereitstellung installiert.
Get-AzsSecurity-Bereich: <Lokal | PerNode | AllNodes | Cluster>- Lokal – Stellt booleschen Wert (true/False) auf dem lokalen Knoten bereit. Kann über eine normale Remote-PowerShell-Sitzung ausgeführt werden.
- PerNode – Stellt einen booleschen Wert (true/False) pro Knoten bereit.
- Bericht – Erfordert CredSSP oder einen Azure Stack HCI-Server mit einer RDP-Verbindung (Remote Desktop Protocol).
- AllNodes – Stellt booleschen Wert (true/False) bereit, der über Knoten berechnet wird.
- Cluster – Stellt einen booleschen Wert aus dem ECE-Speicher bereit. Interagiert mit dem Orchestrator und fungiert für alle Knoten im Cluster.
Enable-AzsSecurity-Bereich <lokal | Cluster>Disable-AzsSecurity-Bereich <lokal | Cluster>- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Drift-Steuerung
- Credential Guard
- VBS (Virtualisierungsbasierte Sicherheit) – Wir unterstützen nur den Befehl "Aktivieren".
- DRTM (Dynamic Root of Trust for Measurement)
- HVCI (Hypervisor erzwungen, wenn Codeintegrität)
- Entschärfung für Seitenkanal
- SMB-Signierung
- SMB-Clusterverschlüsselung
- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
Die folgende Tabelle dokumentiert unterstützte Sicherheitsfeatures, ob sie die Driftsteuerung unterstützen und ob ein Neustart erforderlich ist, um das Feature zu implementieren.
| Name | Funktion | Unterstützt die Driftsteuerung | Neustart erforderlich |
|---|---|---|---|
| Aktivieren Sie . |
Virtualisierungsbasierte Sicherheit (VBS) | Ja | Ja |
| Aktivieren Sie . |
Credential Guard | Ja | Ja |
| Aktivieren Sie . Disable |
Dynamic Root of Trust for Measurement (DRTM) | Ja | Ja |
| Aktivieren Sie . Disable |
Hypervisorgeschützte Codeintegrität (HVCI) | Ja | Ja |
| Aktivieren Sie . Disable |
Entschärfung des Seitenkanals | Ja | Ja |
| Aktivieren Sie . Disable |
SMB-Signatur | Ja | Ja |
| Aktivieren Sie . Disable |
SMB-Clusterverschlüsselung | Nein, Clustereinstellung | No |