Standaardinstellingen voor beveiliging beheren voor Azure Local, versie 23H2
Van toepassing op: Azure Local, versie 23H2
In dit artikel wordt beschreven hoe u de standaardbeveiligingsinstellingen voor uw lokale Azure-exemplaar beheert. U kunt ook driftbeheer en beveiligde beveiligingsinstellingen wijzigen die tijdens de implementatie zijn gedefinieerd, zodat uw apparaat in een bekende goede staat wordt gestart.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u toegang hebt tot een Lokaal Azure-systeem, versie 23H2 dat is geïmplementeerd, geregistreerd en verbonden met Azure.
Standaardinstellingen voor beveiliging weergeven in Azure Portal
Als u de standaardinstellingen voor beveiliging in Azure Portal wilt weergeven, moet u ervoor zorgen dat u het MCSB-initiatief hebt toegepast. Zie Microsoft Cloud Security Benchmark-initiatief toepassen voor meer informatie.
U kunt de standaardinstellingen voor beveiliging gebruiken om systeembeveiliging, driftbeheer en beveiligde kerninstellingen op uw systeem te beheren.
Bekijk de SMB-ondertekeningsstatus op het tabblad Netwerkbeveiliging van gegevensbeveiliging. Met SMB-ondertekening kunt u SMB-verkeer digitaal ondertekenen tussen een lokaal Azure-exemplaar en andere systemen.>
Beveiligingsbasislijnnaleving weergeven in Azure Portal
Nadat u uw lokale Azure-exemplaar hebt ingeschreven met Microsoft Defender voor Cloud of de ingebouwde Windows-computers hebt toegewezen, moet voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn, wordt er een nalevingsrapport gegenereerd. Zie de Windows-beveiligingsbasislijn voor de volledige lijst met regels die door uw lokale Azure-exemplaar worden vergeleken.
Wanneer aan alle hardwarevereisten voor beveiligde kernen wordt voldaan, is de standaard verwachte nalevingsscore 321 van de 324 regels, dat wil weten dat 99% van de regels compatibel is voor een lokale Azure-machine.
In de volgende tabel worden de regels uitgelegd die niet compatibel zijn en wat de logica van de huidige kloof is:
| Naam van de regel | Nalevingsstatus | Reden | Opmerkingen |
|---|---|---|---|
| Interactieve logon: berichttekst voor gebruikers die zich willen aanmelden | Niet conform | Waarschuwing: ''is gelijk aan'' | Dit moet worden gedefinieerd door de klant. Er is geen driftbesturingselement ingeschakeld. |
| Interactieve logon: berichttitel voor gebruikers die zich willen aanmelden | Niet compatibel | Waarschuwing: '' is gelijk aan '' | Dit moet worden gedefinieerd door de klant. Er is geen driftbesturingselement ingeschakeld. |
| Minimale wachtwoordlengte | Niet compatibel | Kritiek: zeven is kleiner dan de minimumwaarde van 14. | Dit moet worden gedefinieerd door de klant. Er is geen driftbesturingselement ingeschakeld om deze instelling in overeenstemming te laten met het beleid van uw organisatie. |
Naleving van de regels oplossen
Als u de naleving voor de regels wilt oplossen, voert u de volgende opdrachten uit of gebruikt u een ander hulpprogramma dat u wilt gebruiken:
Juridische kennisgeving: Maak een aangepaste waarde voor juridische kennisgeving, afhankelijk van de behoeften en beleidsregels van uw organisatie. Voer de volgende opdrachten uit:
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice" Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"Minimale wachtwoordlengte: stel het beleid voor minimale wachtwoordlengte in op 14 tekens op de lokale Azure-computer. De standaardwaarde is 7 en elke waarde onder de 14 wordt nog steeds gemarkeerd door het bewakingsbasislijnbeleid. Voer de volgende opdrachten uit:
net accounts /minpwlen:14
Standaardinstellingen voor beveiliging beheren met PowerShell
Als driftbeveiliging is ingeschakeld, kunt u alleen niet-beveiligde beveiligingsinstellingen wijzigen. Als u beveiligde beveiligingsinstellingen wilt wijzigen die de basislijn vormen, moet u eerst driftbeveiliging uitschakelen. Zie Beveiligingsbasislijn om de volledige lijst met beveiligingsinstellingen weer te geven en te downloaden.
Standaardinstellingen voor beveiliging wijzigen
Begin met de eerste beveiligingsbasislijn en wijzig vervolgens driftbeheer en beveiligde beveiligingsinstellingen die tijdens de implementatie zijn gedefinieerd.
Driftbesturing inschakelen
Gebruik de volgende stappen om driftbesturing in te schakelen:
Maak verbinding met uw lokale Azure-computer.
Voer de volgende cmdlet uit:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Lokaal : is alleen van invloed op het lokale knooppunt.
- Cluster : is van invloed op alle knooppunten in het cluster met behulp van de orchestrator.
Driftbesturing uitschakelen
Gebruik de volgende stappen om driftbesturing uit te schakelen:
Maak verbinding met uw lokale Azure-computer.
Voer de volgende cmdlet uit:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Lokaal : is alleen van invloed op het lokale knooppunt.
- Cluster : is van invloed op alle knooppunten in het cluster met behulp van de orchestrator.
Belangrijk
Als u driftbesturing uitschakelt, kunnen de beveiligde instellingen worden gewijzigd. Als u driftbesturing opnieuw inschakelt, worden alle wijzigingen die u hebt aangebracht in de beveiligde instellingen overschreven.
Beveiligingsinstellingen configureren tijdens de implementatie
Als onderdeel van de implementatie kunt u driftbeheer en andere beveiligingsinstellingen wijzigen die de beveiligingsbasislijn in uw cluster vormen.
In de volgende tabel worden beveiligingsinstellingen beschreven die tijdens de implementatie kunnen worden geconfigureerd op uw Lokale Azure-exemplaar.
| Functiegebied | Functie | Beschrijving | Ondersteunt driftbesturing? |
|---|---|---|---|
| Beheer | Beveiligingsbasislijn | Onderhoudt de standaardinstellingen voor beveiliging op elk knooppunt. Beschermt tegen wijzigingen. | Ja |
| Referentiebeveiliging | Windows Defender Credential Guard | Maakt gebruik van beveiliging op basis van virtualisatie om geheimen te isoleren van aanvallen met referentiediefstal. | Ja |
| Toepassingsbeheer | Windows Defender-toepassingsbeheer | Hiermee bepaalt u welke stuurprogramma's en apps rechtstreeks op elk knooppunt mogen worden uitgevoerd. | Nee |
| Versleuteling van data-at-rest | BitLocker voor opstartvolume van het besturingssysteem | Hiermee versleutelt u het opstartvolume van het besturingssysteem op elk knooppunt. | Nee |
| Versleuteling van data-at-rest | BitLocker voor gegevensvolumes | Versleutelt gedeelde clustervolumes (CSV's) op dit systeem | Nee |
| Beveiliging tegen in-transitgegevens | Ondertekenen voor extern SMB-verkeer | Hiermee wordt SMB-verkeer tussen dit systeem en anderen ondertekend om relayaanvallen te voorkomen. | Ja |
| Beveiliging tegen in-transitgegevens | SMB-versleuteling voor in-clusterverkeer | Hiermee versleutelt u verkeer tussen knooppunten in het systeem (in uw opslagnetwerk). | Nee |
Beveiligingsinstellingen wijzigen na implementatie
Nadat de implementatie is voltooid, kunt u PowerShell gebruiken om beveiligingsinstellingen te wijzigen terwijl het driftbeheer behouden blijft. Voor sommige functies moet opnieuw worden opgestart.
Eigenschappen van PowerShell-cmdlet
De volgende cmdlet-eigenschappen zijn voor de module AzureStackOSConfigAgent . De module wordt geïnstalleerd tijdens de implementatie.
Get-AzsSecurity-Bereik: <Lokaal | PerNode | AllNodes | Cluster>- Local : biedt booleaanse waarde (waar/onwaar) op het lokale knooppunt. Kan worden uitgevoerd vanuit een reguliere externe PowerShell-sessie.
- PerNode : biedt booleaanse waarde (waar/onwaar) per knooppunt.
- Rapport : Vereist CredSSP of een lokale Azure-computer met behulp van een RDP-verbinding (Remote Desktop Protocol).
- AllNodes: biedt booleaanse waarde (waar/onwaar) die wordt berekend op knooppunten.
- Cluster: biedt booleaanse waarde uit ECE-archief. Communiceert met de orchestrator en handelt met alle knooppunten in het cluster.
Enable-AzsSecurity-Scope <Local | Cluster>Disable-AzsSecurity-Scope <Local | Cluster>FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Driftbesturing
- Credential Guard
- VBS (Beveiliging op basis van virtualisatie) - We bieden alleen ondersteuning voor het inschakelen van opdrachten.
- DRTM (Dynamic Root of Trust for Measurement)
- HVCI (Hypervisor afgedwongen als code-integriteit)
- Beperking van zijkanaal
- SMB-ondertekening
- SMB-clusterversleuteling
Belangrijk
Enable AzsSecurityenDisable AzsSecuritycmdlets zijn alleen beschikbaar voor nieuwe implementaties of bij geüpgradede implementaties nadat beveiligingsbasislijnen correct zijn toegepast op knooppunten. Zie Beveiliging beheren na het upgraden van Azure Local voor meer informatie.
De volgende tabel bevat ondersteunde beveiligingsfuncties, of ze driftbeheer ondersteunen en of opnieuw opstarten vereist is om de functie te implementeren.
| Naam | Functie | Ondersteunt driftbesturing | Opnieuw opstarten is vereist |
|---|---|---|---|
| Schakel in |
Beveiliging op basis van virtualisatie (VBS) | Ja | Ja |
| Schakel in |
Credential Guard | Ja | Ja |
| Schakel in Uitschakelen |
Dynamic Root of Trust for Measurement (DRTM) | Ja | Ja |
| Schakel in Uitschakelen |
Hypervisor beveiligde code-integriteit (HVCI) | Ja | Ja |
| Schakel in Uitschakelen |
Beperking van zijkanaal | Ja | Ja |
| Schakel in Uitschakelen |
SMB-ondertekening | Ja | Ja |
| Schakel in Uitschakelen |
SMB-clusterversleuteling | Nee, clusterinstelling | Nee |
Volgende stappen
- BitLocker-versleuteling begrijpen.