Gérer la sécurité après la mise à niveau d’Azure Local
S’applique à : Azure Local, version 23H2
Cet article explique comment gérer les paramètres de sécurité sur un local Azure mis à niveau de la version 22H2 vers la version 23H2.
Prérequis
Avant de commencer, vérifiez que vous avez accès à un système Azure Local version 23H2 mis à niveau à partir de la version 22H2.
Après la mise à niveau des modifications de sécurité
Lorsque vous mettez à niveau votre azure Local de la version 22H2 vers la version 23H2, la posture de sécurité de votre système ne change pas. Nous vous recommandons vivement de mettre à jour les paramètres de sécurité après la mise à niveau pour bénéficier d’une sécurité renforcée.
Voici les avantages de la mise à jour des paramètres de sécurité :
- Améliore la posture de sécurité en désactivant les protocoles et les chiffrements hérités, et en renforcez votre déploiement.
- Réduit les dépenses d’exploitation (OpEx) avec un mécanisme de protection de dérive intégré pour une surveillance cohérente à grande échelle via la base de référence Azure Arc Hybrid Edge.
- Vous permet de répondre étroitement aux critères d’évaluation ciS (Center for Internet Security) et aux exigences du STIG (Defense Information System Agency) Security Technical Implementation Guide (STIG) pour le système d’exploitation.
Apportez ces modifications générales une fois la mise à niveau terminée :
- Appliquez la base de référence de sécurité.
- Appliquez le chiffrement au repos.
- Activez le contrôle d’application.
Chacune de ces étapes est décrite en détail dans les sections suivantes.
Appliquer des bases de référence de sécurité
Un nouveau déploiement d’Azure Local introduit deux documents de base injectés par la couche de gestion de la sécurité, tandis que le cluster mis à niveau ne le fait pas.
Important
Après avoir appliqué les documents de base de référence de sécurité, un nouveau mécanisme est utilisé pour appliquer et gérer les paramètres de base de référence de sécurité.
Si vos serveurs héritent des paramètres de référence par le biais de mécanismes tels que les objets de stratégie de groupe, DSC ou les scripts, nous vous recommandons de :
- Supprimez ces paramètres en double de ces mécanismes.
- Sinon, après avoir appliqué la base de référence de sécurité, désactivez le mécanisme de contrôle de dérive.
La nouvelle posture de sécurité de vos serveurs combine les paramètres précédents, les nouveaux paramètres et les paramètres qui se chevauchent avec des valeurs mises à jour.
Remarque
Microsoft teste et vaildate les paramètres de sécurité Azure Local version 23H2. Nous vous recommandons vivement de conserver ces paramètres. L’utilisation de paramètres personnalisés peut entraîner une instabilité du système, une incompatibilité avec les nouveaux scénarios de produit et peut nécessiter des tests et des dépannages étendus de votre part.
Lorsque vous exécutez les commandes followign, vous trouverez que les documents ne sont pas en place. Ces applets de commande ne retournent aucune sortie.
Get-AzSSecuritySettingsConfiguration Get-AzSSecuredCoreConfigurationPour activer les bases de référence, accédez à chacun des nœuds que vous avez mis à niveau. Exécutez les commandes suivantes localement ou à distance à l’aide d’un compte d’administrateur privilégié :
Start-AzSSecuritySettingsConfiguration Start-AzSSecuredCoreConfigurationRedémarrez les nœuds dans une séquence appropriée pour que les nouveaux paramètres deviennent effectifs.
Confirmer l’état des bases de référence de sécurité
Après le redémarrage, réexécutez les applets de commande pour confirmer l’état des bases de référence de sécurité :
Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration
Vous obtiendrez une sortie pour chaque applet de commande avec les informations de base.
Voici un exemple de sortie de base :
OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"
Activer le chiffrement au repos
Pendant la mise à niveau, Microsoft détecte si vos nœuds système ont BitLocker activé. Si BitLocker est activé, vous êtes invité à le suspendre. Si vous avez précédemment activé BitLocker sur vos volumes, reprenez la protection. Aucune étape supplémentaire n'est nécessaire.
Pour vérifier l’état du chiffrement sur vos volumes, exécutez les commandes suivantes :
Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume
Si vous devez activer BitLocker sur l’un de vos volumes, consultez Gérer le chiffrement BitLocker sur Azure Local.
Activer le contrôle d’application
Le contrôle d’application pour les entreprises (anciennement Windows Defender Application Control ou WDAC) offre une excellente couche de défense contre l’exécution de code non approuvé.
Une fois que vous avez effectué la mise à niveau vers la version 23H2, envisagez d’activer Le contrôle d’application. Cela peut être perturbant si les mesures nécessaires ne sont pas prises pour la validation appropriée des logiciels tiers existants déjà existants sur les serveurs.
Pour les nouveaux déploiements, le contrôle d’application est activé en mode appliqué (blocage des fichiers binaires non approuvés), tandis que pour les systèmes mis à niveau, nous vous recommandons de suivre les étapes suivantes :
Surveiller les événements Application Control.
Créez les stratégies supplémentaires nécessaires.
Répétez les étapes n°2 et #3 si nécessaire jusqu’à ce qu’aucun autre événement d’audit ne soit observé. Basculez vers le mode appliqué .
Avertissement
L’échec de la création des stratégies AppControl nécessaires pour activer des logiciels tiers supplémentaires empêche l’exécution de ce logiciel.
Pour obtenir des instructions sur l’activation en mode appliqué , consultez Gérer windows Defender Application Control pour Azure Local.
Étapes suivantes
- Comprendre le chiffrement BitLocker.