Verwalten der Sicherheit nach dem Upgrade von Azure Local

Artikel
11/23/2024

Gilt für: Azure Local, Version 23H2

In diesem Artikel wird beschrieben, wie Sicherheitseinstellungen für ein lokales Azure-Element verwaltet werden, das von Version 22H2 auf Version 23H2 aktualisiert wurde.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie Zugriff auf ein lokales, Version 23H2-System haben, das von Version 22H2 aktualisiert wurde.

Nach Upgradesicherheitsänderungen

Wenn Sie Ihr Azure Local von Version 22H2 auf Version 23H2 aktualisieren, ändert sich der Sicherheitsstatus Ihres Systems nicht. Es wird dringend empfohlen, die Sicherheitseinstellungen nach dem Upgrade zu aktualisieren, um von erweiterter Sicherheit zu profitieren.

Hier sind die Vorteile der Aktualisierung der Sicherheitseinstellungen:

Verbessert den Sicherheitsstatus, indem ältere Protokolle und Verschlüsselungen deaktiviert und Ihre Bereitstellung gehärtet wird.
Reduziert die Betriebsausgaben (OpEx) mit einem integrierten Driftschutzmechanismus für eine konsistente Überwachung über den Azure Arc Hybrid Edge-Basisplan.
Ermöglicht es Ihnen, die Benchmarks von Center for Internet Security (CIS) und die Disa Security Information System Agency (DISA) Security Technical Implementation Guide (STIG) anforderungen für das Betriebssystem genau zu erfüllen.

Nehmen Sie diese allgemeinen Änderungen vor, nachdem das Upgrade abgeschlossen ist:

Wenden Sie die Sicherheitsbasislinie an.
Wenden Sie ruhende Verschlüsselung an.
Anwendungssteuerung aktivieren.

Jeder dieser Schritte wird in den folgenden Abschnitten ausführlich erläutert.

Anwenden von Sicherheitsgrundwerten

Eine neue Bereitstellung von Azure Local führt zwei Basisplandokumente ein, die von der Sicherheitsverwaltungsebene eingefügt werden, während der aktualisierte Cluster nicht.

Wichtig

Nach dem Anwenden der Sicherheitsbaselinedokumente wird ein neuer Mechanismus verwendet, um die Sicherheitsgrundwerteeinstellungen anzuwenden und zu verwalten.

Wenn Ihre Server Basiseinstellungen über Mechanismen wie GPO, DSC oder Skripts erben, empfehlen wir Folgendes:
- Entfernen Sie diese doppelten Einstellungen aus diesen Mechanismen.
- Alternativ können Sie nach dem Anwenden der Sicherheitsbasislinie den Drift control-Mechanismus deaktivieren.
Der neue Sicherheitsstatus Ihrer Server kombiniert die vorherigen Einstellungen, die neuen Einstellungen und die überlappenden Einstellungen mit aktualisierten Werten.

Hinweis

Microsoft testet und vaildates die Azure Local, Version 23H2-Sicherheitseinstellungen. Es wird dringend empfohlen, diese Einstellungen beizubehalten. Die Verwendung von benutzerdefinierten Einstellungen kann möglicherweise zu Systeminstabilität, Inkompatibilität mit den neuen Produktszenarien führen und könnte umfangreiche Tests und Problembehandlungen erfordern.
Wenn Sie die folgenden Befehle ausführen, finden Sie, dass die Dokumente nicht vorhanden sind. Diese Cmdlets geben keine Ausgabe zurück.
```
Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration
```
Um die Basispläne zu aktivieren, wechseln Sie zu den einzelnen Knoten, die Sie aktualisiert haben. Führen Sie die folgenden Befehle lokal oder remote mit einem privilegierten Administratorkonto aus:
```
Start-AzSSecuritySettingsConfiguration
Start-AzSSecuredCoreConfiguration
```
Starten Sie die Knoten in einer ordnungsgemäßen Reihenfolge neu, damit die neuen Einstellungen wirksam werden.

Bestätigen des Status der Sicherheitsbaselines

Führen Sie nach dem Neustart die Cmdlets erneut aus, um den Status der Sicherheitsbaselines zu bestätigen:

Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

Sie erhalten eine Ausgabe für jedes Cmdlet mit den Basisplaninformationen.

Hier ist ein Beispiel für die Baselineausgabe:

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

Aktivieren der ruhenden Verschlüsselung

Während des Upgrades erkennt Microsoft, ob Ihre Systemknoten BitLocker aktiviert haben. Wenn BitLocker aktiviert ist, werden Sie aufgefordert, ihn anzuhalten. Wenn Sie BitLocker zuvor auf Ihren Volumes aktiviert haben, setzen Sie den Schutz fort. Es sind keine weiteren Schritte erforderlich.

Führen Sie die folgenden Befehle aus, um den Status der Verschlüsselung auf Ihren Volumes zu überprüfen:

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

Wenn Sie BitLocker auf einem Ihrer Volumes aktivieren müssen, lesen Sie " Verwalten der BitLocker-Verschlüsselung auf Azure Local".

Anwendungssteuerung aktivieren

Anwendungssteuerung für Unternehmen (früher als Windows Defender Application Control oder WDAC bezeichnet) bietet eine hervorragende Schutzebene vor dem Ausführen von nicht vertrauenswürdigem Code.

Nachdem Sie ein Upgrade auf Version 23H2 durchgeführt haben, sollten Sie die Anwendungssteuerung aktivieren. Dies kann störend sein, wenn die erforderlichen Maßnahmen nicht zur ordnungsgemäßen Validierung vorhandener Drittanbietersoftware auf den Servern ergriffen werden.

Bei neuen Bereitstellungen ist die Anwendungssteuerung im erzwungenen Modus (Blockieren nicht vertrauenswürdiger Binärdateien) aktiviert, während bei aktualisierten Systemen empfohlen wird, die folgenden Schritte auszuführen:

Aktivieren der Anwendungssteuerung im Überwachungsmodus (vorausgesetzt, dass unbekannte Software vorhanden ist).
Überwachen von Anwendungssteuerungsereignissen.
Erstellen Sie die erforderlichen zusätzlichen Richtlinien.
Wiederholen Sie die Schritte #2 und #3 nach Bedarf, bis keine weiteren Überwachungsereignisse beobachtet werden. Wechseln Sie zum erzwungenen Modus.

Warnung

Wenn Sie die erforderlichen AppControl-Richtlinien nicht erstellen, um zusätzliche Software von Drittanbietern zu aktivieren, wird die Ausführung dieser Software verhindert.

Anweisungen zum Aktivieren im erzwungenen Modus finden Sie unter Verwalten der Windows Defender-Anwendungssteuerung für Azure Local.

Nächste Schritte

Grundlegendes zur BitLocker-Verschlüsselung.

Freigeben über