Управление безопасностью после обновления локальной службы Azure

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описывается, как управлять параметрами безопасности в локальной среде Azure, которая была обновлена с azure Stack HCI версии 22H2.

Необходимые компоненты

Прежде чем начать, убедитесь, что у вас есть доступ к локальной системе Azure, которая была обновлена с azure Stack HCI версии 22H2.

Изменения системы безопасности после обновления

При обновлении системы с Azure Stack HCI версии 22H2 безопасность системы не изменяется. Настоятельно рекомендуется обновить параметры безопасности после обновления, чтобы воспользоваться улучшенной безопасностью.

Ниже приведены преимущества обновления параметров безопасности.

• Улучшает состояние безопасности, отключив устаревшие протоколы и шифры, а также ужесточив развертывание.
• Уменьшает операционные расходы (OpEx) с помощью встроенного механизма защиты смещения для согласованного мониторинга в масштабе с помощью базовой базы гибридных пограничных вычислений Azure Arc.
• Обеспечивает тесное соответствие требованиям Центра по безопасности в Интернете (CIS) и требованиям к информационной системе обороны (DISA) По технической реализации безопасности (STIG) для ОС.

Внесите эти высокоуровневые изменения после завершения обновления:

1. Примените базовые показатели безопасности.
2. Примените шифрование неактивных данных.
3. Включите элемент управления приложениями.

В следующих разделах каждый этап рассматривается более подробно.

Применение базовых показателей безопасности

Новое развертывание Azure Local представляет два базовых документа, внедренных уровнем управления безопасностью, в то время как обновленный кластер не выполняется.

Внимание

После применения базовых документов безопасности новый механизм используется для применения и поддержания параметров базовых показателей безопасности.

1. Если серверы наследуют базовые параметры с помощью таких механизмов, как GPO, DSC или скрипты, рекомендуется:

   • Удалите эти повторяющиеся параметры из таких механизмов.
   • Кроме того, после применения базового плана безопасности отключите механизм управления смещением.

   Новое состояние безопасности серверов будет объединять предыдущие параметры, новые параметры и перекрывающиеся параметры с обновленными значениями.

   Примечание.

   Корпорация Майкрософт тестирует и подтверждает параметры локальной безопасности Azure. Настоятельно рекомендуется сохранить эти параметры. Использование пользовательских параметров может привести к нестабильности системы, несовместимости с новыми сценариями продукта и может потребоваться обширное тестирование и устранение неполадок со своей стороны.

2. При выполнении приведенных ниже команд вы обнаружите, что документы не выполняются. Эти командлеты не возвращают выходные данные.

   Get-AzSSecuritySettingsConfiguration
   Get-AzSSecuredCoreConfiguration
   

3. Чтобы включить базовые показатели, перейдите к каждому из узлов, которые вы обновили. Выполните следующие команды локально или удаленно с помощью привилегированной учетной записи администратора:

   Start-AzSSecuritySettingsConfiguration
   Start-AzSSecuredCoreConfiguration
   

4. Перезагрузите узлы в правильной последовательности, чтобы новые параметры стали эффективными.

Подтверждение состояния базовых показателей безопасности

После перезагрузки повторно запустите командлеты, чтобы подтвердить состояние базовых показателей безопасности:

Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

Вы получите выходные данные для каждого командлета с базовыми сведениями.

Ниже приведен пример выходных данных базовых показателей.

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

Включение шифрования неактивных данных

Во время обновления корпорация Майкрософт обнаруживает, включены ли системные узлы BitLocker. Если BitLocker включен, вам будет предложено приостановить его. Если вы ранее включили BitLocker в томах, возобновите защиту. Дальнейшие шаги не требуются.

Чтобы проверить состояние шифрования в томах, выполните следующие команды:

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

Если необходимо включить BitLocker на любом из томов, см. статью "Управление шифрованием BitLocker в локальной среде Azure".

Включение элемента управления приложениями

Управление приложениями для бизнеса (ранее известное как управление приложениями в Защитнике Windows или WDAC) обеспечивает большой уровень защиты от выполнения ненадежного кода.

После обновления системы рассмотрите возможность включения управления приложениями. Это может быть нарушено, если необходимые меры не принимаются для надлежащей проверки существующего стороннего программного обеспечения, уже существующего на серверах.

Для новых развертываний управление приложениями включено в режиме принудительного применения (блокируя ненадежные двоичные файлы), в то время как для обновленных систем рекомендуется выполнить следующие действия.

1. Включение элемента управления приложениями в режиме аудита (если неизвестное программное обеспечение может присутствовать).

2. Мониторинг событий управления приложениями.

3. Создайте необходимые дополнительные политики.

4. Повторите шаги #2 и #3 по мере необходимости, пока не будут наблюдаться дальнейшие события аудита. Переключитесь в режим принудительного применения .

   Предупреждение

   Сбой при создании необходимых политик AppControl для включения дополнительного стороннего программного обеспечения предотвратит выполнение этого программного обеспечения.

Инструкции по включению в принудительном режиме см. в статье "Управление управлением приложениями Защитника Windows" для локальной среды Azure.

Следующие шаги

• Общие сведения о шифровании BitLocker.