Partilhar via

Gerenciar a segurança após atualizar o Azure Local

  • Artigo

Aplica-se a: Azure Local, versão 23H2

Este artigo descreve como gerenciar configurações de segurança em um Azure Local que foi atualizado da versão 22H2 para a versão 23H2.

Pré-requisitos

Antes de começar, certifique-se de que tem acesso a um sistema Azure Local, versão 23H2 que foi atualizado a partir da versão 22H2.

Alterações de segurança pós-atualização

Quando você atualiza seu Azure Local da versão 22H2 para a versão 23H2, a postura de segurança do seu sistema não muda. Recomendamos vivamente que atualize as definições de segurança após a atualização para beneficiar de segurança melhorada.

Aqui estão os benefícios de atualizar as configurações de segurança:

  • Melhora a postura de segurança desativando protocolos e cifras herdados e fortalecendo sua implantação.
  • Reduz as despesas operacionais (OpEx) com um mecanismo de proteção contra desvio integrado para monitoramento consistente em escala por meio da linha de base do Azure Arc Hybrid Edge.
  • Permite que você atenda de perto aos benchmarks do Center for Internet Security (CIS) e aos requisitos do Guia de Implementação Técnica de Segurança (STIG) da Defense Information System Agency (DISA) para o sistema operacional.

Faça estas alterações de alto nível após a conclusão da atualização:

  1. Aplique a linha de base de segurança.
  2. Aplique a criptografia em repouso.
  3. Habilite o controle de aplicativos.

Cada uma dessas etapas é descrita em detalhes nas seções a seguir.

Aplicar linhas de base de segurança

Uma nova implantação do Azure Local apresenta dois documentos de linha de base injetados pela camada de gerenciamento de segurança, enquanto o cluster atualizado não.

Importante

Depois de aplicar os documentos da linha de base de segurança, um novo mecanismo é usado para aplicar e manter as configurações da linha de base de segurança.

  1. Se seus servidores herdarem configurações de linha de base por meio de mecanismos como GPO, DSC ou scripts, recomendamos que:

    • Remova essas configurações duplicadas de tais mecanismos.
    • Como alternativa, depois de aplicar a linha de base de segurança, desative o mecanismo de controle de deriva.

    A nova postura de segurança dos seus servidores combinará as configurações anteriores, as novas configurações e as configurações sobrepostas com valores atualizados.

    Nota

    A Microsoft testa e altera as configurações de segurança do Azure Local, versão 23H2. Recomendamos vivamente que mantenha estas definições. O uso de configurações personalizadas pode potencialmente levar à instabilidade do sistema, incompatibilidade com os novos cenários do produto e pode exigir testes extensivos e solução de problemas de sua parte.

  2. Ao executar os comandos followign, você verá que os documentos não estão no lugar. Esses cmdlets não retornarão nenhuma saída.

    Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

  3. Para habilitar as linhas de base, vá para cada um dos nós que você atualizou. Execute os seguintes comandos local ou remotamente usando uma conta de administrador privilegiada:

    Start-AzSSecuritySettingsConfiguration
Start-AzSSecuredCoreConfiguration

  4. Reinicialize os nós em uma sequência adequada para que as novas configurações entrem em vigor.

Confirmar o status das linhas de base de segurança

Após a reinicialização, execute novamente os cmdlets para confirmar o status das linhas de base de segurança:

Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

Você obterá uma saída para cada cmdlet com as informações da linha de base.

Aqui está um exemplo da saída da linha de base:

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

Ativar criptografia em repouso

Durante a atualização, a Microsoft deteta se os nós do sistema têm o BitLocker habilitado. Se o BitLocker estiver habilitado, você será solicitado a suspendê-lo. Se você habilitou anteriormente o BitLocker em seus volumes, retome a proteção. Não são necessárias mais etapas.

Para verificar o status da criptografia em seus volumes, execute os seguintes comandos:

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

Se precisar de ativar o BitLocker em qualquer um dos seus volumes, consulte Gerir encriptação BitLocker no Azure Local.

Habilitar o controle de aplicativos

O controle de aplicativos para empresas (anteriormente conhecido como Windows Defender Application Control ou WDAC) fornece uma grande camada de defesa contra a execução de código não confiável.

Depois de atualizar para a versão 23H2, considere ativar o Controle de Aplicativos. Isso pode ser perturbador se as medidas necessárias não forem tomadas para a validação adequada do software de terceiros existente já existente nos servidores.

Para novas implantações, o Controle de Aplicativo é habilitado no modo Imposto (bloqueando binários não confiáveis), enquanto para sistemas atualizados, recomendamos que você siga estas etapas:

  1. Habilite o controle de aplicativos no modo de auditoria (supondo que um software desconhecido possa estar presente).

  2. Monitore eventos de controle de aplicativos.

  3. Crie as políticas suplementares necessárias.

  4. Repita as etapas #2 e #3 conforme necessário até que nenhum outro evento de auditoria seja observado. Mude para o modo Forçado .

    Aviso

    A falha na criação das políticas AppControl necessárias para habilitar software adicional de terceiros impedirá que esse software seja executado.

Para obter instruções para habilitar no modo Imposto , consulte Gerenciar o Controle de Aplicativo do Windows Defender para Azure Local.

Próximos passos