Compartir a través de

Administración de la seguridad después de actualizar Azure Local

  • Artículo

Se aplica a: Azure Local, versión 23H2

En este artículo se describe cómo administrar la configuración de seguridad en una instancia de Azure Local que se actualizó de la versión 22H2 a la versión 23H2.

Requisitos previos

Antes de empezar, asegúrese de que tiene acceso a un sistema de Azure Local, versión 23H2 que se actualizó desde la versión 22H2.

Cambios de seguridad posteriores a la actualización

Al actualizar Azure Local de la versión 22H2 a la versión 23H2, la posición de seguridad del sistema no cambia. Se recomienda encarecidamente actualizar la configuración de seguridad después de la actualización para beneficiarse de la seguridad mejorada.

Estas son las ventajas de actualizar la configuración de seguridad:

  • Mejora la posición de seguridad deshabilitando los protocolos y cifrados heredados y protegendo la implementación.
  • Reduce el gasto operativo (OpEx) con un mecanismo de protección de desfase integrado para una supervisión coherente a escala a través de la línea base de Azure Arc Hybrid Edge.
  • Le permite cumplir estrechamente los requisitos de la Guía técnica de implementación técnica de seguridad (STIG) del Centro para la seguridad de Seguridad (CIS) y de la Agencia del Sistema de Información de Defensa (DISA) para el sistema operativo.

Realice estos cambios de alto nivel una vez completada la actualización:

  1. Aplique la línea base de seguridad.
  2. Aplique el cifrado en reposo.
  3. Habilite el control de aplicaciones.

En las siguientes secciones se describen estos pasos.

Aplicación de líneas base de seguridad

Una nueva implementación de Azure Local presenta dos documentos de línea base insertados por el nivel de administración de seguridad, mientras que el clúster actualizado no.

Importante

Después de aplicar los documentos de línea base de seguridad, se usa un nuevo mecanismo para aplicar y mantener la configuración de línea de base de seguridad.

  1. Si los servidores heredan la configuración de línea base mediante mecanismos como GPO, DSC o scripts, se recomienda que:

    • Quite esta configuración duplicada de estos mecanismos.
    • Como alternativa, después de aplicar la línea base de seguridad, deshabilite el mecanismo de control de desfase.

    La nueva posición de seguridad de los servidores combinará la configuración anterior, la nueva configuración y la configuración superpuesta con valores actualizados.

    Nota:

    Microsoft prueba y vaildate la configuración de seguridad de Azure Local, versión 23H2. Se recomienda encarecidamente mantener esta configuración. El uso de la configuración personalizada puede provocar inestabilidad del sistema, incompatibilidad con los nuevos escenarios de producto y podría requerir pruebas exhaustivas y solucionar problemas por su parte.

  2. Al ejecutar los comandos followign, encontrará que los documentos no están en su lugar. Estos cmdlets no devolverán ninguna salida.

    Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

  3. Para habilitar las líneas base, vaya a cada uno de los nodos que actualizó. Ejecute los siguientes comandos de forma local o remota mediante una cuenta de administrador con privilegios:

    Start-AzSSecuritySettingsConfiguration
Start-AzSSecuredCoreConfiguration

  4. Reinicie los nodos en una secuencia adecuada para que la nueva configuración sea efectiva.

Confirmar el estado de las líneas base de seguridad

Después de reiniciar, vuelva a ejecutar los cmdlets para confirmar el estado de las líneas base de seguridad:

Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

Obtendrá una salida para cada cmdlet con la información de línea base.

Este es un ejemplo de la salida de línea base:

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

Habilitación del cifrado en reposo

Durante la actualización, Microsoft detecta si los nodos del sistema tienen BitLocker habilitado. Si BitLocker está habilitado, se le pedirá que lo suspenda. Si ha habilitado Previamente BitLocker en los volúmenes, reanude la protección. No es necesario ningún paso más.

Para comprobar el estado del cifrado en los volúmenes, ejecute los siguientes comandos:

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

Si necesita habilitar BitLocker en cualquiera de los volúmenes, consulte Administración del cifrado de BitLocker en Azure Local.

Habilitación del control de aplicaciones

El control de aplicaciones para empresas (anteriormente conocido como Control de aplicaciones de Windows Defender o WDAC) proporciona una gran capa de defensa contra la ejecución de código que no es de confianza.

Después de actualizar a la versión 23H2, considere la posibilidad de habilitar el control de aplicaciones. Esto puede ser perjudicial si no se toman las medidas necesarias para la validación adecuada del software de terceros existente ya existente en los servidores.

En el caso de las nuevas implementaciones, el control de aplicaciones está habilitado en modo aplicado (bloqueando archivos binarios que no son de confianza), mientras que para los sistemas actualizados se recomienda seguir estos pasos:

  1. Habilite el control de aplicaciones en modo auditoría (suponiendo que el software desconocido esté presente).

  2. Supervisar eventos de Application Control.

  3. Cree las directivas complementarias necesarias.

  4. Repita los pasos n.º 2 y 3 según sea necesario hasta que no se observe ningún evento de auditoría adicional. Cambie al modo aplicado .

    Advertencia

    Si no se crean las directivas de AppControl necesarias para habilitar software de terceros adicional, se impedirá que ese software se ejecute.

Para obtener instrucciones para habilitar en modo aplicado , consulta Administrar el control de aplicaciones de Windows Defender para Azure Local.

Pasos siguientes