Gestire la sicurezza dopo l'aggiornamento locale di Azure

Si applica a: Locale di Azure, versione 23H2

Questo articolo descrive come gestire le impostazioni di sicurezza in un ambiente locale di Azure aggiornato dalla versione 22H2 alla versione 23H2.

Prerequisiti

Prima di iniziare, assicurarsi di avere accesso a un sistema locale di Azure versione 23H2 aggiornato dalla versione 22H2.

Modifiche alla sicurezza post-aggiornamento

Quando si aggiorna Azure Local dalla versione 22H2 alla versione 23H2, il comportamento di sicurezza del sistema non cambia. È consigliabile aggiornare le impostazioni di sicurezza dopo l'aggiornamento per trarre vantaggio dalla sicurezza avanzata.

Ecco i vantaggi dell'aggiornamento delle impostazioni di sicurezza:

• Migliora il comportamento di sicurezza disabilitando protocolli e crittografie legacy e rafforzando la distribuzione.
• Riduce le spese operative (OpEx) con un meccanismo di protezione della deriva predefinito per il monitoraggio coerente su larga scala tramite la baseline di Azure Arc Hybrid Edge.
• Consente di soddisfare a stretto contatto i benchmark di Center for Internet Security (CIS) e i requisiti della Defense Information System Agency (DISA) Security Technical Implementation Guide (STIG) per il sistema operativo.

Apportare queste modifiche generali al termine dell'aggiornamento:

1. Applicare la baseline di sicurezza.
2. Applicare la crittografia dei dati inattivi.
3. Abilitare il controllo delle applicazioni.

Ogni passaggio viene descritto dettagliatamente nelle sezioni seguenti.

Applicare le baseline di sicurezza

Una nuova distribuzione di Azure Locale introduce due documenti di base inseriti dal livello di gestione della sicurezza, mentre il cluster aggiornato non lo fa.

Importante

Dopo aver applicato i documenti della baseline di sicurezza, viene usato un nuovo meccanismo per applicare e gestire le impostazioni della baseline di sicurezza.

1. Se i server ereditano le impostazioni di base tramite meccanismi quali oggetti Criteri di gruppo, DSC o script, è consigliabile:

   • Rimuovere queste impostazioni duplicate da tali meccanismi.
   • In alternativa, dopo aver applicato la baseline di sicurezza, disabilitare il meccanismo di controllo della deriva.

   Il nuovo comportamento di sicurezza dei server combina le impostazioni precedenti, le nuove impostazioni e le impostazioni sovrapposte con i valori aggiornati.

   Nota

   Microsoft testa e vailda le impostazioni di sicurezza locale di Azure, versione 23H2. È consigliabile mantenere queste impostazioni. L'uso di impostazioni personalizzate può potenzialmente causare instabilità del sistema, incompatibilità con i nuovi scenari di prodotto e potrebbe richiedere test e risoluzione dei problemi completi da parte dell'utente.

2. Quando si eseguono i comandi di followign, i documenti non sono presenti. Questi cmdlet non restituiranno alcun output.

   Get-AzSSecuritySettingsConfiguration
   Get-AzSSecuredCoreConfiguration
   

3. Per abilitare le linee di base, passare a ognuno dei nodi aggiornati. Eseguire i comandi seguenti in locale o in remoto usando un account amministratore con privilegi:

   Start-AzSSecuritySettingsConfiguration
   Start-AzSSecuredCoreConfiguration
   

4. Riavviare i nodi in una sequenza corretta per rendere effettive le nuove impostazioni.

Confermare lo stato delle baseline di sicurezza

Dopo il riavvio, eseguire di nuovo i cmdlet per confermare lo stato delle baseline di sicurezza:

Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

Si otterrà un output per ogni cmdlet con le informazioni di base.

Di seguito è riportato un esempio dell'output di base:

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

Abilitare la crittografia dei dati inattivi

Durante l'aggiornamento, Microsoft rileva se i nodi di sistema hanno BitLocker abilitato. Se BitLocker è abilitato, viene richiesto di sospenderlo. Se In precedenza è stato abilitato BitLocker tra i volumi, riprendere la protezione. Non sono necessari altri passaggi.

Per verificare lo stato della crittografia nei volumi, eseguire i comandi seguenti:

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

Se è necessario abilitare BitLocker in uno dei volumi, vedere Gestire la crittografia BitLocker in Locale di Azure.

Abilitare il controllo delle applicazioni

Il controllo delle applicazioni per le aziende (noto in precedenza come Controllo delle applicazioni di Windows Defender o WDAC) offre un ottimo livello di difesa rispetto all'esecuzione di codice non attendibile.

Dopo aver eseguito l'aggiornamento alla versione 23H2, prendere in considerazione l'abilitazione del controllo delle applicazioni. Ciò può comportare interruzioni se le misure necessarie non vengono adottate per la corretta convalida del software di terze parti esistente già esistente nei server.

Per le nuove distribuzioni, Controllo applicazioni è abilitato in modalità applicata (blocco di file binari non attendibili), mentre per i sistemi aggiornati è consigliabile seguire questa procedura:

1. Abilitare il controllo delle applicazioni in modalità di controllo (presupponendo che sia presente software sconosciuto).

2. Monitorare gli eventi di controllo delle applicazioni.

3. Creare i criteri supplementari necessari.

4. Ripetere i passaggi 2 e 3 in base alle esigenze fino a quando non vengono osservati altri eventi di controllo. Passare alla modalità applicata .

   Avviso

   La mancata creazione dei criteri AppControl necessari per abilitare software di terze parti aggiuntivo impedirà l'esecuzione del software.

Per istruzioni su come abilitare in modalità applicata , vedere Gestire il controllo delle applicazioni di Windows Defender per Azure locale.

Passaggi successivi

• Informazioni sulla crittografia BitLocker.