Funzionalità di sicurezza per Azure Locale, versione 23H2
Si applica a: Locale di Azure, versione 23H2
Azure Local è un prodotto sicuro per impostazione predefinita con più di 300 impostazioni di sicurezza abilitate fin dall'inizio. Le impostazioni di sicurezza predefinite forniscono una baseline di sicurezza coerente per garantire che i dispositivi inizino in uno stato valido noto.
Questo articolo offre una breve panoramica concettuale delle varie funzionalità di sicurezza associate all'istanza locale di Azure. Le funzionalità includono impostazioni predefinite per la sicurezza, Windows Defender per Application Control (WDAC), crittografia del volume tramite BitLocker, rotazione dei segreti, account utente predefiniti locali, Microsoft Defender per il cloud e altro ancora.
Impostazioni predefinite per la sicurezza
L'ambiente locale di Azure dispone di impostazioni di sicurezza abilitate per impostazione predefinita che forniscono una baseline di sicurezza coerente, un sistema di gestione di base e un meccanismo di controllo della deriva.
È possibile monitorare la baseline di sicurezza e le impostazioni di base protette durante la distribuzione e il runtime. È anche possibile disabilitare il controllo deriva durante la distribuzione quando si configurano le impostazioni di sicurezza.
Con il controllo deriva applicato, le impostazioni di sicurezza vengono aggiornate ogni 90 minuti. Questo intervallo di aggiornamento garantisce la correzione di eventuali modifiche dello stato desiderato. Il monitoraggio continuo e la correzione automatica consentono un comportamento di sicurezza coerente e affidabile per tutto il ciclo di vita del dispositivo.
Baseline sicura in Locale di Azure:
- Migliora il comportamento di sicurezza disabilitando protocolli e crittografie legacy.
- Riduce OPEX con un meccanismo di protezione della deriva predefinito che consente il monitoraggio coerente su larga scala tramite la baseline di Azure Arc Hybrid Edge.
- Consente di soddisfare i requisiti di Benchmark Center for Internet Security (CIS) e Defense Information System Agency (DISA) Security Technical Implementation Guide (STIG) per il sistema operativo e la baseline di sicurezza consigliata.
Per altre informazioni, vedere Gestire le impostazioni predefinite per la sicurezza in Locale di Azure.
Controllo di applicazioni di Windows Defender
WDAC è un livello di sicurezza basato su software che riduce la superficie di attacco applicando un elenco esplicito di software consentito per l'esecuzione. WDAC è abilitato per impostazione predefinita e limita le applicazioni e il codice che è possibile eseguire sulla piattaforma principale. Per altre informazioni, vedere Gestire Il controllo delle applicazioni di Windows Defender per Azure Locale, versione 23H2.
WDAC offre due modalità operative principali, modalità di imposizione e modalità di controllo. In modalità di imposizione il codice non attendibile viene bloccato e gli eventi vengono registrati. In modalità di controllo, il codice non attendibile può essere eseguito e gli eventi vengono registrati. Per altre informazioni sugli eventi correlati a WDAC, vedere Elenco di eventi.
Importante
Per ridurre al minimo i rischi di sicurezza, eseguire sempre WDAC in modalità di imposizione.
Informazioni sulla progettazione dei criteri WDAC
Microsoft fornisce criteri firmati di base in Locale di Azure sia per la modalità di imposizione che per la modalità di controllo. Inoltre, i criteri includono un set predefinito di regole di comportamento della piattaforma e regole di blocco da applicare al livello di controllo dell'applicazione.
Composizione dei criteri di base
I criteri di base locali di Azure includono le sezioni seguenti:
- Metadati: i metadati definiscono proprietà univoce dei criteri, ad esempio il nome del criterio, la versione, il GUID e altro ancora.
- Regole di opzione: queste regole definiscono il comportamento dei criteri. I criteri supplementari possono differire solo da un piccolo set di regole di opzione associate ai criteri di base.
- Consenti e nega regole: queste regole definiscono i limiti di attendibilità del codice. Le regole possono essere basate su server di pubblicazione, firmatari, hash file e altro ancora.
Regole di opzione
In questa sezione sono illustrate le regole di opzione abilitate dai criteri di base.
Per i criteri applicati, le regole di opzione seguenti sono abilitate per impostazione predefinita:
| Regola di opzione | Valore |
|---|---|
| Attivata | UMCI |
| Richiesto | WHQL |
| Attivata | Consenti criteri supplementari |
| Attivata | Revoca scaduta come non firmato |
| Disabilitata | Firma di anteprima |
| Attivata | Criteri di integrità del sistema non firmati (impostazione predefinita) |
| Attivata | Sicurezza del codice dinamico |
| Attivata | Menu Opzioni di avvio avanzate |
| Disabilitata | Imposizione di script |
| Attivata | Programma di installazione gestito |
| Attivata | Aggiorna criteri nessun riavvio |
I criteri di controllo aggiungono le regole di opzione seguenti ai criteri di base:
| Regola di opzione | Valore |
|---|---|
| Attivata | Modalità di controllo (impostazione predefinita) |
Per altre informazioni, vedere l'elenco completo delle regole delle opzioni.
Regole consenti e negate
Consenti regole nei criteri di base consentono che tutti i componenti Microsoft forniti dal sistema operativo e le distribuzioni cloud siano attendibili. Le regole di negazione bloccano le applicazioni in modalità utente e i componenti kernel considerati non sicuri per il comportamento di sicurezza della soluzione.
Nota
Le regole Consenti e Nega nei criteri di base vengono aggiornate regolarmente per migliorare la funtionalità del prodotto e ottimizzare la protezione della soluzione.
Per altre informazioni sulle regole di negazione, vedere:
Elenco di blocchi dei driver.
Elenco di blocchi modalità utente.
Crittografia BitLocker
La crittografia dei dati inattivi è abilitata nei volumi di dati creati durante la distribuzione. Questi volumi di dati includono volumi dell'infrastruttura e volumi del carico di lavoro. Quando si distribuisce il sistema, è possibile modificare le impostazioni di sicurezza.
Per impostazione predefinita, la crittografia dei dati inattivi è abilitata durante la distribuzione. È consigliabile accettare l'impostazione predefinita.
Dopo aver distribuito correttamente Azure Local, è possibile recuperare le chiavi di ripristino di BitLocker. È necessario archiviare le chiavi di ripristino di BitLocker in una posizione sicura all'esterno del sistema.
Per altre informazioni sulla crittografia BitLocker, vedere:
- Usare BitLocker con volumi condivisi cluster (CSV).
- Gestire la crittografia BitLocker in Locale di Azure.
Account utente predefiniti locali
In questa versione, gli utenti predefiniti locali seguenti associati a RID 500 e RID 501 sono disponibili nel sistema locale di Azure:
| Nome nell'immagine iniziale del sistema operativo | Nome dopo la distribuzione | Abilitata per impostazione predefinita | Descrizione |
|---|---|---|---|
| Amministratore | ASBuiltInAdmin | Vero | Account predefinito per l'amministrazione del computer/dominio. |
| Guest | ASBuiltInGuest | Falso | Account predefinito per l'accesso guest al computer/dominio, protetto dal meccanismo di controllo della deriva della baseline di sicurezza. |
Importante
È consigliabile creare un account amministratore locale personalizzato e disabilitare l'account utente noto RID 500 .
Creazione e rotazione dei segreti
L'agente di orchestrazione in Locale di Azure richiede più componenti per mantenere comunicazioni sicure con altre risorse e servizi dell'infrastruttura. A tutti i servizi in esecuzione nel sistema sono associati certificati di autenticazione e crittografia.
Per garantire la sicurezza, implementiamo funzionalità di creazione e rotazione dei segreti interni. Quando si esaminano i nodi di sistema, vengono visualizzati diversi certificati creati nel percorso LocalMachine/Personal certificate store (Cert:\LocalMachine\My).
In questa versione sono abilitate le funzionalità seguenti:
- Possibilità di creare certificati durante la distribuzione e dopo le operazioni di scalabilità del sistema.
- Autorotazione automatica automatica prima della scadenza dei certificati e un'opzione per ruotare i certificati durante la durata del sistema.
- Possibilità di monitorare e avvisare se i certificati sono ancora validi.
Nota
Il completamento delle operazioni di creazione e rotazione dei segreti richiede circa dieci minuti, a seconda delle dimensioni del sistema.
Per altre informazioni, vedere Gestire la rotazione dei segreti.
Inoltro Syslog degli eventi di sicurezza
Per i clienti e le organizzazioni che richiedono il proprio sistema SIEM (Security Information and Event Management) locale, Azure Local, versione 23H2 include un meccanismo integrato che consente di inoltrare eventi correlati alla sicurezza a un sistema SIEM.
Azure Local include un server d'inoltro syslog integrato che, una volta configurato, genera messaggi syslog definiti in RFC3164, con il payload in Common Event Format (CEF).
Il diagramma seguente illustra l'integrazione di Azure Local con un siem. Tutti i controlli, i log di sicurezza e gli avvisi vengono raccolti in ogni host ed esposti tramite syslog con il payload CEF.
Gli agenti di inoltro Syslog vengono distribuiti in ogni host locale di Azure per inoltrare i messaggi syslog al server syslog configurato dal cliente. Gli agenti di inoltro Syslog funzionano indipendentemente l'uno dall'altro, ma possono essere gestiti insieme in uno degli host.
Il server d'inoltro syslog in Locale di Azure supporta varie configurazioni in base al fatto che l'inoltro syslog sia con TCP o UDP, sia che la crittografia sia abilitata o meno e che sia presente un'autenticazione unidirezionale o bidirezionale.
Per altre informazioni, vedere Gestire l'inoltro syslog.
Microsoft Defender per il cloud (anteprima)
Microsoft Defender per il cloud è una soluzione di gestione del comportamento di sicurezza con funzionalità avanzate di protezione dalle minacce. Offre strumenti per valutare lo stato di sicurezza dell'infrastruttura, proteggere i carichi di lavoro, generare avvisi di sicurezza e seguire raccomandazioni specifiche per correggere gli attacchi e affrontare le minacce future. Esegue tutti questi servizi ad alta velocità nel cloud tramite il provisioning automatico e la protezione con i servizi di Azure, senza sovraccarico di distribuzione.
Con il piano di base Defender per il cloud si ottengono consigli su come migliorare il comportamento di sicurezza del sistema locale di Azure senza costi aggiuntivi. Con il piano a pagamento defender per server, si ottengono funzionalità di sicurezza avanzate, inclusi gli avvisi di sicurezza per singoli computer e macchine virtuali Arc.
Per altre informazioni, vedere Gestire la sicurezza del sistema con Microsoft Defender per il cloud (anteprima).
Passaggi successivi
- Valutare l'idoneità per la distribuzione tramite controllo dell'ambiente.
- Leggere il libro sulla sicurezza locale di Azure.
- Visualizzare gli standard di sicurezza locali di Azure.