Funkcje zabezpieczeń dla platformy Azure w wersji lokalnej 23H2
Dotyczy: Azure Local, wersja 23H2
Azure Local to domyślnie bezpieczny produkt, który od początku ma więcej niż 300 ustawień zabezpieczeń. Domyślne ustawienia zabezpieczeń zapewniają spójny punkt odniesienia zabezpieczeń, aby upewnić się, że urządzenia zaczynają się w znanym dobrym stanie.
Ten artykuł zawiera krótkie omówienie koncepcyjne różnych funkcji zabezpieczeń skojarzonych z wystąpieniem lokalnym platformy Azure. Funkcje obejmują ustawienia domyślne zabezpieczeń, usługę Windows Defender for Application Control (WDAC), szyfrowanie woluminów za pośrednictwem funkcji BitLocker, rotację wpisów tajnych, lokalne wbudowane konta użytkowników, Microsoft Defender dla Chmury i inne.
Wartości domyślne zabezpieczeń
Ustawienia zabezpieczeń platformy Azure lokalne są domyślnie włączone, które zapewniają spójny punkt odniesienia zabezpieczeń, system zarządzania punktami odniesienia i mechanizm kontroli dryfu.
Ustawienia punktu odniesienia zabezpieczeń i bezpiecznego rdzenia można monitorować zarówno podczas wdrażania, jak i środowiska uruchomieniowego. Możesz również wyłączyć kontrolę dryfu podczas wdrażania podczas konfigurowania ustawień zabezpieczeń.
Po zastosowaniu kontroli dryfu ustawienia zabezpieczeń są odświeżane co 90 minut. Ten interwał odświeżania zapewnia korygowanie wszelkich zmian z żądanego stanu. Ciągłe monitorowanie i autoremediation umożliwiają spójny i niezawodny stan zabezpieczeń w całym cyklu życia urządzenia.
Bezpieczny punkt odniesienia w środowisku lokalnym platformy Azure:
- Poprawia stan zabezpieczeń, wyłączając starsze protokoły i szyfry.
- Zmniejsza poziom OPEX za pomocą wbudowanego mechanizmu ochrony dryfu, który umożliwia spójne monitorowanie na dużą skalę za pośrednictwem punktu odniesienia usługi Azure Arc Hybrid Edge.
- Umożliwia spełnienie wymagań dotyczących testów porównawczych w usłudze Center for Internet Security (CIS) i defense Information System Agency (DISA) Security Implementation Guide (STIG) dotyczących systemu operacyjnego i zalecanych punktów odniesienia zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Zarządzanie wartościami domyślnymi zabezpieczeń w usłudze Azure Local.
Kontrola aplikacji usługi Windows Defender
WDAC to oparta na oprogramowaniu warstwa zabezpieczeń, która zmniejsza obszar ataków, wymuszając jawną listę oprogramowania, które może być uruchamiane. Funkcja WDAC jest domyślnie włączona i ogranicza aplikacje i kod, które można uruchamiać na platformie podstawowej. Aby uzyskać więcej informacji, zobacz Manage Windows Defender Application Control for Azure Local, version 23H2 (Zarządzanie kontrolą aplikacji usługi Windows Defender dla platformy Azure w wersji 23H2).
Funkcja WDAC zapewnia dwa główne tryby operacji, tryb wymuszania i tryb inspekcji. W trybie wymuszania niezaufany kod jest blokowany i rejestrowane są zdarzenia. W trybie inspekcji niezaufany kod może być uruchamiany, a rejestrowane są zdarzenia. Aby dowiedzieć się więcej o zdarzeniach związanych z usługą WDAC, zobacz Lista zdarzeń.
Ważne
Aby zminimalizować ryzyko bezpieczeństwa, zawsze uruchamiaj funkcję WDAC w trybie wymuszania.
Informacje o projekcie zasad WDAC
Firma Microsoft udostępnia podstawowe podpisane zasady na platformie Azure Local dla trybu wymuszania i trybu inspekcji. Ponadto zasady obejmują wstępnie zdefiniowany zestaw reguł zachowania platformy i reguły blokowania stosowane do warstwy kontroli aplikacji.
Kompozycja zasad podstawowych
Lokalne zasady podstawowe platformy Azure obejmują następujące sekcje:
- Metadane: metadane definiują unikatowe właściwości zasad, takie jak nazwa zasad, wersja, identyfikator GUID i inne.
- Reguły opcji: te reguły definiują zachowanie zasad. Zasady uzupełniające mogą się różnić tylko od małego zestawu reguł opcji powiązanych z ich podstawowymi zasadami.
- Reguły zezwalania i odmowy: te reguły definiują granice zaufania kodu. Reguły mogą być oparte na wydawcach, osoby podpisujących, skrótach plików i nie tylko.
Reguły opcji
W tej sekcji omówiono reguły opcji włączone przez zasady podstawowe.
W przypadku wymuszanych zasad domyślnie są włączone następujące reguły opcji:
| Reguła opcji | Wartość |
|---|---|
| Włączona | UMCI |
| Wymagania | WHQL |
| Włączona | Zezwalaj na zasady uzupełniające |
| Włączona | Odwołano wygasło jako niepodpisane |
| Disabled | Podpisywanie lotu |
| Włączona | Niepodpisane zasady integralności systemu (ustawienie domyślne) |
| Włączona | Zabezpieczenia kodu dynamicznego |
| Włączona | Menu Zaawansowane opcje rozruchu |
| Disabled | Wymuszanie skryptu |
| Włączona | Instalator zarządzany |
| Włączona | Aktualizowanie zasad bez ponownego uruchamiania |
Zasady inspekcji dodają następujące reguły opcji do zasad podstawowych:
| Reguła opcji | Wartość |
|---|---|
| Włączona | Tryb inspekcji (ustawienie domyślne) |
Aby uzyskać więcej informacji, zobacz pełną listę reguł opcji.
Reguły zezwalania i odmowy
Zezwalaj na reguły w zasadach podstawowych zezwalaj na zaufanie wszystkim składnikom firmy Microsoft dostarczanym przez system operacyjny i wdrożenia w chmurze. Reguły odmowy blokują aplikacje w trybie użytkownika i składniki jądra uważane za niebezpieczne dla stanu zabezpieczeń rozwiązania.
Uwaga
Reguły Zezwalaj i Odmów w zasadach podstawowych są regularnie aktualizowane w celu poprawy funtów produktu i zmaksymalizowania ochrony rozwiązania.
Aby dowiedzieć się więcej o regułach odmowy, zobacz:
Lista zablokowanych trybu użytkownika.
Szyfrowanie funkcją BitLocker
Szyfrowanie danych magazynowanych jest włączone na woluminach danych utworzonych podczas wdrażania. Te woluminy danych obejmują woluminy infrastruktury i woluminy obciążeń. Podczas wdrażania systemu można modyfikować ustawienia zabezpieczeń.
Domyślnie szyfrowanie danych magazynowanych jest włączone podczas wdrażania. Zalecamy zaakceptowanie ustawienia domyślnego.
Po pomyślnym wdrożeniu usługi Azure Local można pobrać klucze odzyskiwania funkcji BitLocker. Klucze odzyskiwania funkcji BitLocker należy przechowywać w bezpiecznej lokalizacji poza systemem.
Aby uzyskać więcej informacji na temat szyfrowania funkcją BitLocker, zobacz:
- Użyj funkcji BitLocker z udostępnionymi woluminami klastra (CSV).
- Zarządzanie szyfrowaniem funkcji BitLocker na platformie Azure Lokalnie.
Lokalne wbudowane konta użytkowników
W tej wersji następujący lokalni wbudowani użytkownicy skojarzeni i RID 500 RID 501 są dostępni w systemie lokalnym platformy Azure:
| Nazwa w początkowym obrazie systemu operacyjnego | Nazwa po wdrożeniu | Domyślnie włączone | opis |
|---|---|---|---|
| Administrator | ASBuiltInAdmin | Prawda | Wbudowane konto do administrowania komputerem/domeną. |
| Gość | ASBuiltInGuest | Fałsz | Wbudowane konto dostępu gościa do komputera/domeny chronione przez mechanizm kontroli dryfu punktu odniesienia zabezpieczeń. |
Ważne
Zalecamy utworzenie własnego konta administratora lokalnego i wyłączenie dobrze znanego RID 500 konta użytkownika.
Tworzenie i rotacja wpisów tajnych
Orkiestrator w usłudze Azure Local wymaga wielu składników do zapewnienia bezpiecznej komunikacji z innymi zasobami i usługami infrastruktury. Wszystkie usługi uruchomione w systemie mają skojarzone certyfikaty uwierzytelniania i szyfrowania.
Aby zapewnić bezpieczeństwo, implementujemy wewnętrzne możliwości tworzenia i rotacji wpisów tajnych. Podczas przeglądania węzłów systemowych zobaczysz kilka certyfikatów utworzonych w ścieżce Magazyn certyfikatów LocalMachine/Personal (Cert:\LocalMachine\My).
W tej wersji są włączone następujące możliwości:
- Możliwość tworzenia certyfikatów podczas wdrażania i po operacjach skalowania systemu.
- Automatyczna autorotacja przed wygaśnięciem certyfikatów oraz opcja rotacji certyfikatów w okresie istnienia systemu.
- Możliwość monitorowania i zgłaszania alertów, czy certyfikaty są nadal prawidłowe.
Uwaga
Tworzenie i rotacja wpisów tajnych trwa około dziesięciu minut, w zależności od rozmiaru systemu.
Aby uzyskać więcej informacji, zobacz Zarządzanie rotacją wpisów tajnych.
Przekazywanie dziennika systemowego zdarzeń zabezpieczeń
W przypadku klientów i organizacji, które wymagają własnego lokalnego systemu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), Azure Local, wersja 23H2 zawiera zintegrowany mechanizm, który umożliwia przekazywanie zdarzeń związanych z zabezpieczeniami do rozwiązania SIEM.
Usługa Azure Local ma zintegrowany moduł przesyłania dalej dziennika systemowego, który po skonfigurowaniu generuje komunikaty dziennika systemowego zdefiniowane w RFC3164 z ładunkiem w formacie Common Event Format (CEF).
Na poniższym diagramie przedstawiono integrację platformy Azure Local z rozwiązaniem SIEM. Wszystkie inspekcje, dzienniki zabezpieczeń i alerty są zbierane na każdym hoście i udostępniane za pośrednictwem dziennika systemowego z ładunkiem CEF.
Agenci przekazujący dziennik systemowy są wdrażani na każdym hoście lokalnym platformy Azure w celu przekazywania komunikatów dziennika systemowego do serwera dziennika systemowego skonfigurowanego przez klienta. Agenci przekazujący dziennik systemu działają niezależnie od siebie, ale mogą być zarządzani razem na jednym z hostów.
Usługa przesyłania dalej dziennika systemowego w usłudze Azure Local obsługuje różne konfiguracje na podstawie tego, czy przekazywanie dziennika systemowego jest przy użyciu protokołu TCP, czy UDP, czy szyfrowanie jest włączone, czy nie, oraz czy istnieje jednokierunkowe lub dwukierunkowe uwierzytelnianie.
Aby uzyskać więcej informacji, zobacz Zarządzanie przekazywaniem dziennika systemowego.
Microsoft Defender dla Chmury (wersja zapoznawcza)
Microsoft Defender dla Chmury to rozwiązanie do zarządzania stanem zabezpieczeń z zaawansowanymi funkcjami ochrony przed zagrożeniami. Udostępnia ona narzędzia umożliwiające ocenę stanu zabezpieczeń infrastruktury, ochronę obciążeń, podniesienie alertów zabezpieczeń oraz wykonanie określonych zaleceń w celu skorygowania ataków i rozwiązania przyszłych zagrożeń. Wykonuje ona wszystkie te usługi z dużą szybkością w chmurze dzięki automatycznej aprowizacji i ochronie usług platformy Azure bez obciążeń związanych z wdrażaniem.
W ramach podstawowego planu Defender dla Chmury uzyskasz zalecenia dotyczące poprawy stanu zabezpieczeń systemu lokalnego platformy Azure bez dodatkowych kosztów. Dzięki płatnej usłudze Defender for Servers można uzyskać ulepszone funkcje zabezpieczeń, w tym alerty zabezpieczeń dla poszczególnych maszyn i maszyn wirtualnych usługi Arc.
Aby uzyskać więcej informacji, zobacz Zarządzanie zabezpieczeniami systemu przy użyciu Microsoft Defender dla Chmury (wersja zapoznawcza).
Następne kroki
- Ocena gotowości wdrożenia za pośrednictwem narzędzia sprawdzania środowiska.
- Przeczytaj lokalną książkę zabezpieczeń platformy Azure.
- Wyświetl lokalne standardy zabezpieczeń platformy Azure.