Azure Stack HCI バージョン 23H2 のセキュリティの既定値を管理する
適用対象: Azure Stack HCI バージョン 23H2
この記事では、Azure Stack HCI クラスターの既定のセキュリティ設定を管理する方法について説明します。 デバイスが既知の正常な状態で起動するように、展開中に定義されたドリフト制御と保護されたセキュリティ設定を変更することもできます。
前提条件
開始する前に、Azure にデプロイ、登録、接続されている Azure Stack HCI バージョン 23H2 システムにアクセスできることを確認してください。
Azure portal でセキュリティの既定の設定を表示する
Azure portal でセキュリティの既定の設定を表示するには、MCSB イニシアチブが適用されていることを確認します。 詳細については、「 Apply Microsoft クラウド セキュリティ ベンチマーク イニシアチブ」を参照してください。
セキュリティの既定の設定を使用して、クラスターのセキュリティ、ドリフト制御、およびセキュリティで保護されたコア サーバーの設定を管理できます。
[ Data protections>Network Protection ] タブで SMB 署名の状態を表示します。SMB 署名を使用すると、Azure Stack HCI システムと他のシステム間の SMB トラフィックにデジタル署名できます。
Azure portal でセキュリティ ベースラインのコンプライアンスを表示する
Azure Stack HCI システムを Microsoft Defender for Cloud に登録するか、組み込みのポリシーを割り当てた Windows マシンが Azure コンピューティング セキュリティ ベースラインの要件を満たしている必要がありますコンプライアンス レポートが生成されます。 Azure Stack HCI サーバーと比較される規則の完全な一覧については、「 Windows セキュリティ ベースラインを参照してください。
Azure Stack HCI サーバーの場合、セキュリティで保護されたコアのすべてのハードウェア要件が満たされている場合、コンプライアンス スコアは 288 ルールのうち 281 個です。つまり、288 ルールのうち 281 個が準拠しています。
次の表では、準拠していない規則と、現在のギャップの根拠について説明します。
規則名 | 予想 | 実績 | ロジック | Comments |
---|---|---|---|---|
対話型ログオン: ログオン時のユーザーへのメッセージのテキスト | 期待: | 実際の: | [演算子]: NOTEQUALS |
ドリフト制御を行っていない状態で、この値を定義することが期待されます。 |
対話型ログオン: ログオン時のユーザーへのメッセージのタイトル | 期待: | 実際の: | [演算子]: NOTEQUALS |
ドリフト制御を行っていない状態で、この値を定義することが期待されます。 |
パスワードの最小文字数 | 想定: 14 | 実際: 0 | [演算子]: GREATEROREQUAL |
この値は、組織のポリシーに合ったドリフト制御なしで定義することが期待されます。 |
デバイス メタデータをインターネットから取得しない | 想定: 1 | 実際: (null) | [演算子]: EQUALS |
このコントロールは、Azure Stack HCI には適用されません。 |
ユーザーとアプリが危険な Web サイトにアクセスできないようにする | 想定: 1 | 実際: (null) | [演算子]: EQUALS |
このコントロールは Windows Defender 保護の一部であり、既定では有効になっていません。 有効にするかどうかを評価できます。 |
書き込み済み UNC パス - NETLOGON | 予想: RequireMutualAuthentication=1 RequireIntegrity=1 |
実際: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
[演算子]: EQUALS |
Azure Stack HCI の方が制限が厳しくなっています。 この規則は無視しても問題ありません。 |
書き込み済み UNC パス - SYSVOL | 予想: RequireMutualAuthentication=1 RequireIntegrity=1 |
実際の: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
[演算子]: EQUALS |
Azure Stack HCI の方が制限が厳しくなっています。 この規則は無視しても問題ありません。 |
PowerShell を使用してセキュリティの既定値を管理する
ドリフト保護を有効にすると、保護されていないセキュリティ設定のみを変更できます。 ベースラインを形成する保護されたセキュリティ設定を変更するには、まずドリフト保護を無効にする必要があります。 セキュリティ設定の完全な一覧を表示してダウンロードするには、「 セキュリティ ベースライン」を参照してください。
セキュリティの既定値を変更する
最初のセキュリティ ベースラインから開始し、デプロイ時に定義されたドリフト制御と保護されたセキュリティ設定を変更します。
ドリフト制御を有効にする
ドリフト制御を有効にするには、次の手順に従います。
Azure Stack HCI ノードに接続します。
次のコマンドレットを実行します。
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
- ローカル - ローカル ノードのみに影響します。
- クラスター - オーケストレーターを使用してクラスター内のすべてのノードに影響します。
ドリフト制御を無効にする
ドリフト制御を無効にするには、次の手順に従います。
Azure Stack HCI ノードに接続します。
次のコマンドレットを実行します。
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
- ローカル - ローカル ノードのみに影響します。
- クラスター - オーケストレーターを使用してクラスター内のすべてのノードに影響します。
重要
ドリフト制御を無効にした場合、保護された設定を変更できます。 ドリフト制御を再度有効にすると、保護された設定に対して行った変更が上書きされます。
展開中にセキュリティ設定を構成する
デプロイの一環として、ドリフト制御や、クラスターのセキュリティ ベースラインを構成するその他のセキュリティ設定を変更できます。
次の表では、デプロイ時に Azure Stack HCI クラスターで構成できるセキュリティ設定について説明します。
機能領域 | 特徴 | 説明 | ドリフト制御をサポートしていますか? |
---|---|---|---|
ガバナンス | セキュリティ ベースライン | 各サーバーのセキュリティの既定値を維持します。 変更から保護するのに役立ちます。 | はい |
資格情報の保護 | Windows Defender Credential Guard | 仮想化ベースのセキュリティを使用して、資格情報盗難攻撃からシークレットを分離します。 | はい |
アプリケーションの制御 | Windows Defender アプリケーション コントロール | 各サーバーで直接実行できるドライバーとアプリを制御します。 | いいえ |
保存データの暗号化 | BITLocker for OS ブート ボリューム | 各サーバー上の OS スタートアップ ボリュームを暗号化します。 | いいえ |
保存データの暗号化 | データ ボリュームの BitLocker | このクラスター上のクラスター共有ボリューム (CSV) を暗号化します | いいえ |
転送中のデータ保護 | 外部 SMB トラフィックの署名 | リレー攻撃を防ぐために、このシステムと他のシステムの間の SMB トラフィックに署名します。 | はい |
転送中のデータ保護 | クラスター内トラフィックの SMB 暗号化 | (ストレージ ネットワーク上の) クラスター内のサーバー間のトラフィックを暗号化します。 | いいえ |
デプロイ後にセキュリティ設定を変更する
デプロイが完了したら、PowerShell を使用して、ドリフト制御を維持しながらセキュリティ設定を変更できます。 一部の機能を有効にするには再起動が必要です。
PowerShell コマンドレットのプロパティ
次のコマンドレット プロパティは、 AzureStackOSConfigAgent モジュール用です。 モジュールはデプロイ中にインストールされます。
Get-AzsSecurity
-Scope: <Local |PerNode |AllNodes |クラスター>- Local - ローカル ノードにブール値 (true/False) を提供します。 通常のリモート PowerShell セッションから実行できます。
- PerNode - ノードごとにブール値 (true/False) を提供します。
- レポート - リモート デスクトップ プロトコル (RDP) 接続を使用する CredSSP または Azure Stack HCI サーバーが必要です。
- AllNodes – ノード間で計算されるブール値 (true/False) を提供します。
- クラスター – ECE ストアからのブール値を提供します。 オーケストレーターと対話し、クラスター内のすべてのノードに対して動作します。
Enable-AzsSecurity
-Scope <Local |クラスター>Disable-AzsSecurity
-Scope <Local |クラスター>- FeatureName - <CredentialGuard |DriftControl |DRTM |HVCI |SideChannelMitigation |SMBEncryption |SMBSigning |VBS>
- ドリフトコントロール
- Credential Guard
- VBS (仮想化ベースのセキュリティ)- Enable コマンドのみがサポートされています。
- DRTM (測定のための信頼の動的ルート)
- HVCI (コード整合性の場合にハイパーバイザーが適用される)
- サイド チャネルの軽減策
- SMB 署名
- SMB クラスターの暗号化
- FeatureName - <CredentialGuard |DriftControl |DRTM |HVCI |SideChannelMitigation |SMBEncryption |SMBSigning |VBS>
次の表は、サポートされているセキュリティ機能、ドリフト制御をサポートしているかどうか、および機能を実装するために再起動が必要かどうかを示しています。
Name | 機能 | ドリフト制御をサポート | 再起動が必要です |
---|---|---|---|
を有効にします |
仮想化ベースのセキュリティ (VBS) | はい | はい |
を有効にします |
Credential Guard | はい | はい |
を有効にします Disable |
測定のための動的 Root of Trust (DRTM) | はい | はい |
を有効にします Disable |
ハイパーバイザーで保護されたコード整合性 (HVCI) | はい | はい |
を有効にします Disable |
サイド チャネルの軽減策 | はい | はい |
を有効にします Disable |
SMB 署名 | はい | はい |
を有効にします Disable |
SMB クラスターの暗号化 | いいえ、クラスター設定 | いいえ |