Beveiliging beheren na het upgraden van Azure Local

Van toepassing op: Azure Local 2311.2 en hoger

In dit artikel wordt beschreven hoe u beveiligingsinstellingen beheert op een Lokale Versie van Azure die is bijgewerkt van versie 22H2 naar versie 23H2.

Vereisten

Voordat u begint, moet u ervoor zorgen dat u toegang hebt tot een Lokaal Azure-systeem, versie 23H2 dat is bijgewerkt vanaf versie 22H2.

Beveiligingswijzigingen na de upgrade

Wanneer u uw Azure Local upgradet van versie 22H2 naar versie 23H2, verandert de beveiligingspostuur van uw systeem niet. We raden u ten zeerste aan om de beveiligingsinstellingen na de upgrade bij te werken om te profiteren van verbeterde beveiliging.

Dit zijn de voordelen van het bijwerken van de beveiligingsinstellingen:

• Verbetert de beveiligingspostuur door verouderde protocollen en coderingen uit te schakelen en uw implementatie te beveiligen.
• Vermindert Operating Expense (OpEx) met een ingebouwd driftbeveiligingsmechanisme voor consistente bewaking op schaal via de Basislijn van Azure Arc Hybrid Edge.
• Hiermee kunt u nauw voldoen aan de vereisten van Center for Internet Security (CIS) en DISA (Defense Information System Agency) Security Technical Implementation Guide (STIG) voor het besturingssysteem.

Breng deze wijzigingen op hoog niveau aan nadat de upgrade is voltooid:

1. Pas de beveiligingsbasislijn toe.
2. Versleuteling at-rest toepassen.
3. Schakel Toepassingsbeheer in.

Deze stappen worden afzonderlijk in detail beschreven in de volgende gedeelten.

Beveiligingsbasislijnen toepassen

Een nieuwe implementatie van Azure Local introduceert twee basislijndocumenten die zijn geïnjecteerd door de beveiligingsbeheerlaag, terwijl het bijgewerkte cluster dat niet doet.

Belangrijk

Nadat u de documenten voor de beveiligingsbasislijn hebt toegepast, wordt een nieuw mechanisme gebruikt om de beveiligingsbasislijninstellingen toe te passen en te onderhouden.

1. Als uw servers basislijninstellingen overnemen via mechanismen zoals GPO, DSC of scripts, raden we u aan:

   • Verwijder deze dubbele instellingen uit dergelijke mechanismen.
   • U kunt ook, na het toepassen van de beveiligingsbasislijn, het driftbesturingsmechanisme uitschakelen.

   De nieuwe beveiligingspostuur van uw servers combineert de vorige instellingen, de nieuwe instellingen en de overlappende instellingen met bijgewerkte waarden.

   Notitie

   Microsoft test en vaildateert de beveiligingsinstellingen van Azure Local, versie 23H2. We raden u ten zeerste aan deze instellingen te behouden. Het gebruik van aangepaste instellingen kan leiden tot systeeminstabiliteit, incompatibiliteit met de nieuwe productscenario's en kan uitgebreide tests en probleemoplossing van uw kant vereisen.

2. Wanneer u de volgende opdrachten uitvoert, ziet u dat de documenten niet aanwezig zijn. Deze cmdlets retourneren geen uitvoer.

   Get-AzSSecuritySettingsConfiguration
   Get-AzSSecuredCoreConfiguration
   

3. Als u de basislijnen wilt inschakelen, gaat u naar elk van de knooppunten die u hebt bijgewerkt. Voer de volgende opdrachten lokaal of extern uit met behulp van een bevoegde beheerdersaccount:

   Start-AzSSecuritySettingsConfiguration
   Start-AzSSecuredCoreConfiguration
   

4. Start de knooppunten opnieuw op in een juiste volgorde om de nieuwe instellingen effectief te maken.

De status van de beveiligingsbasislijnen bevestigen

Voer na het opnieuw opstarten de cmdlets opnieuw uit om de status van de beveiligingsbasislijnen te bevestigen:

Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

U krijgt een uitvoer voor elke cmdlet met de basislijninformatie.

Hier volgt een voorbeeld van de uitvoer van de basislijn:

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

Versleuteling at-rest inschakelen

Tijdens de upgrade detecteert Microsoft of bitLocker is ingeschakeld voor uw systeemknooppunten. Als BitLocker is ingeschakeld, wordt u gevraagd deze te onderbreken. Als u BitLocker eerder hebt ingeschakeld voor uw volumes, hervat u de beveiliging. Er zijn geen verdere stappen vereist.

Voer de volgende opdrachten uit om de status van versleuteling op uw volumes te controleren:

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

Als u BitLocker op een van uw volumes wilt inschakelen, raadpleegt u BitLocker-versleuteling beheren in Azure Local.

Toepassingsbeheer inschakelen

Toepassingsbeheer voor bedrijven (voorheen bekend als Windows Defender Application Control of WDAC) biedt een uitstekende verdedigingslaag tegen het uitvoeren van niet-vertrouwde code.

Nadat u een upgrade hebt uitgevoerd naar versie 23H2, kunt u application control inschakelen. Dit kan verstorend zijn als de benodigde maatregelen niet worden genomen voor de juiste validatie van bestaande software van derden die al op de servers bestaat.

Voor nieuwe implementaties is Toepassingsbeheer ingeschakeld in de modus Afgedwongen (het blokkeren van niet-vertrouwde binaire bestanden), terwijl voor bijgewerkte systemen wordt aangeraden deze stappen uit te voeren:

1. Schakel Toepassingsbeheer in de controlemodus in (ervan uitgaande dat er onbekende software aanwezig is).

2. Gebeurtenissen van toepassingsbeheer bewaken.

3. Maak de benodigde aanvullende beleidsregels.

4. Herhaal de stappen 2 en #3 zo nodig totdat er geen verdere controlegebeurtenissen worden waargenomen. Schakel over naar de modus Afgedwongen.

   Waarschuwing

   Als u het benodigde AppControl-beleid niet maakt om extra software van derden in te schakelen, wordt voorkomen dat deze software wordt uitgevoerd.

Zie Windows Defender Application Control beheren voor Azure Local voor instructies voor het inschakelen in de modus Afgedwongen.

Volgende stappen

• BitLocker-versleuteling begrijpen.