Zarządzanie zabezpieczeniami po uaktualnieniu lokalnego platformy Azure

Dotyczy: Azure Local, wersja 23H2

W tym artykule opisano sposób zarządzania ustawieniami zabezpieczeń w środowisku lokalnym platformy Azure uaktualnionym z wersji 22H2 do wersji 23H2.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz dostęp do systemu Azure Local w wersji 23H2, który został uaktualniony z wersji 22H2.

Po uaktualnieniu zmiany zabezpieczeń

Po uaktualnieniu usługi Azure Local z wersji 22H2 do wersji 23H2 stan zabezpieczeń systemu nie ulega zmianie. Zdecydowanie zalecamy zaktualizowanie ustawień zabezpieczeń po uaktualnieniu w celu skorzystania z zwiększonych zabezpieczeń.

Oto zalety aktualizowania ustawień zabezpieczeń:

• Poprawia stan zabezpieczeń, wyłączając starsze protokoły i szyfry oraz wzmacniając bezpieczeństwo wdrożenia.
• Zmniejsza wydatki operacyjne (OpEx) z wbudowanym mechanizmem ochrony dryfu w celu spójnego monitorowania na dużą skalę za pośrednictwem planu bazowego usługi Azure Arc Hybrid Edge.
• Umożliwia ścisłe spełnianie wymagań dotyczących testów porównawczych centrum zabezpieczeń internetowych (CIS) i bezpieczeństwa technicznego przewodnika implementacji zabezpieczeń (STIG) dla systemu operacyjnego.

Po zakończeniu uaktualniania wprowadź te zmiany wysokiego poziomu:

1. Zastosuj punkt odniesienia zabezpieczeń.
2. Stosowanie szyfrowania magazynowanych.
3. Włącz kontrolkę aplikacji.

Wszystkie wymienione kroki zostały szczegółowo opisane poniżej.

Stosowanie punktów odniesienia zabezpieczeń

Nowe wdrożenie usługi Azure Local wprowadza dwa dokumenty odniesienia wprowadzone przez warstwę zarządzania zabezpieczeniami, a uaktualniony klaster nie.

Ważne

Po zastosowaniu dokumentów punktu odniesienia zabezpieczeń nowy mechanizm jest używany do stosowania i obsługi ustawień punktu odniesienia zabezpieczeń.

1. Jeśli serwery dziedziczą ustawienia punktu odniesienia za pomocą mechanizmów, takich jak obiekt zasad grupy, DSC lub skrypty, zalecamy:

   • Usuń te zduplikowane ustawienia z takich mechanizmów.
   • Alternatywnie po zastosowaniu punktu odniesienia zabezpieczeń wyłącz mechanizm kontroli dryfu.

   Nowy stan zabezpieczeń serwerów będzie łączyć poprzednie ustawienia, nowe ustawienia i nakładające się ustawienia ze zaktualizowanymi wartościami.

   Uwaga

   Firma Microsoft testuje i vaildates ustawień zabezpieczeń platformy Azure w wersji 23H2. Zdecydowanie zalecamy zachowanie tych ustawień. Korzystanie z ustawień niestandardowych może potencjalnie prowadzić do niestabilności systemu, niezgodności z nowymi scenariuszami produktów i może wymagać rozbudowanego testowania i rozwiązywania problemów.

2. Podczas uruchamiania poleceń obserwowanych dokumenty nie są w miejscu. Te polecenia cmdlet nie zwracają żadnych danych wyjściowych.

   Get-AzSSecuritySettingsConfiguration
   Get-AzSSecuredCoreConfiguration
   

3. Aby włączyć punkty odniesienia, przejdź do każdego z uaktualnionych węzłów. Uruchom następujące polecenia lokalnie lub zdalnie przy użyciu konta uprzywilejowanego administratora:

   Start-AzSSecuritySettingsConfiguration
   Start-AzSSecuredCoreConfiguration
   

4. Uruchom ponownie węzły w odpowiedniej sekwencji, aby nowe ustawienia stały się skuteczne.

Potwierdzanie stanu punktów odniesienia zabezpieczeń

Po ponownym uruchomieniu uruchom ponownie polecenia cmdlet, aby potwierdzić stan punktów odniesienia zabezpieczeń:

Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

Otrzymasz dane wyjściowe dla każdego polecenia cmdlet z informacjami o punkcie odniesienia.

Oto przykład danych wyjściowych punktu odniesienia:

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

Włączanie szyfrowania magazynowanych

Podczas uaktualniania firma Microsoft wykrywa, czy węzły systemowe mają włączoną funkcję BitLocker. Jeśli funkcja BitLocker jest włączona, zostanie wyświetlony monit o jej wstrzymanie. Jeśli wcześniej włączono funkcję BitLocker na woluminach, wznów ochronę. Nie są wymagane żadne dalsze kroki.

Aby sprawdzić stan szyfrowania w woluminach, uruchom następujące polecenia:

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

Jeśli musisz włączyć funkcję BitLocker na dowolnych woluminach, zobacz Zarządzanie szyfrowaniem funkcją BitLocker w usłudze Azure Local.

Włączanie kontrolki aplikacji

Kontrola aplikacji dla firm (wcześniej znana jako Windows Defender Application Control lub WDAC) zapewnia doskonałą warstwę obrony przed uruchamianiem niezaufanego kodu.

Po uaktualnieniu do wersji 23H2 rozważ włączenie kontroli aplikacji. Może to być destrukcyjne, jeśli niezbędne środki nie są podejmowane w celu prawidłowej weryfikacji istniejącego oprogramowania innych firm już istniejącego na serwerach.

W przypadku nowych wdrożeń kontrola aplikacji jest włączona w trybie wymuszonym (blokowanie niezaufanych plików binarnych), natomiast w przypadku uaktualnionych systemów zalecamy wykonanie następujących kroków:

1. Włącz kontrolę aplikacji w trybie inspekcji (przy założeniu, że może istnieć nieznane oprogramowanie).

2. Monitorowanie zdarzeń kontroli aplikacji.

3. Utwórz niezbędne zasady uzupełniające.

4. Powtórz kroki nr 2 i 3 w razie potrzeby, dopóki nie zostaną zaobserwowane żadne dalsze zdarzenia inspekcji. Przełącz się do trybu wymuszonego .

   Ostrzeżenie

   Nie można utworzyć niezbędnych zasad AppControl w celu włączenia dodatkowego oprogramowania innej firmy, aby zapobiec uruchamianiu tego oprogramowania.

Aby uzyskać instrukcje dotyczące włączania w trybie wymuszonym , zobacz Manage Windows Defender Application Control for Azure Local (Zarządzanie kontrolą aplikacji usługi Windows Defender dla platformy Azure Lokalnie).

Następne kroki

• Omówienie szyfrowania funkcji BitLocker.