Управление пересылкой системного журнала для локальной службы Azure

Область применения: Локальная версия Azure, версия 23H2

В этой статье описывается, как настроить события безопасности для перенаправления в систему, управляемую клиентом, в систему управления безопасностью и событиями (SIEM) с помощью протокола системного журнала для локальной среды Azure версии 23H2.

Используйте перенаправление системного журнала для интеграции с решениями мониторинга безопасности и получения соответствующих журналов событий безопасности для хранения их на собственной платформе SIEM. Дополнительные сведения о функциях безопасности в этом выпуске см. в разделе "Безопасность" для локальной версии 23H2.

Настройка пересылки системного журнала

Агенты пересылки системных журналов развертываются на каждом локальном узле Azure по умолчанию, готовы к настройке. Каждый из агентов перенаправит события безопасности в формате системного журнала с узла на сервер системного журнала, настроенный клиентом.

Агенты пересылки системного журнала работают независимо друг от друга, но могут управляться вместе на любом из узлов. Используйте командлеты PowerShell с правами администратора на любом узле для управления поведением всех агентов пересылки.

Средство пересылки системных журналов в Azure Local поддерживает следующие конфигурации:

• Пересылка системного журнала с помощью TCP, взаимной проверки подлинности (клиента и сервера) и шифрования TLS. В этой конфигурации сервер системного журнала и клиент системного журнала проверяют удостоверение друг друга с помощью сертификатов. Сообщения отправляются через зашифрованный канал TLS. Дополнительные сведения см. в разделе "Пересылка системного журнала" с помощью TCP, взаимной проверки подлинности (клиента и сервера) и шифрования TLS.

• Пересылка системного журнала с помощью протокола TCP, проверки подлинности сервера и шифрования TLS. В этой конфигурации клиент системного журнала проверяет удостоверение сервера системного журнала с помощью сертификата. Сообщения отправляются через зашифрованный канал TLS. Дополнительные сведения см. в разделе "Переадресация системного журнала" с помощью TCP, проверки подлинности сервера и шифрования TLS.

• Пересылка системного журнала с помощью TCP и шифрования не выполняется. В этой конфигурации не проверяются удостоверения клиента системного журнала и сервера системного журнала. Сообщения отправляются по протоколу TCP. Дополнительные сведения см. в статье "Переадресация системного журнала с помощью TCP и без шифрования".

• Системный журнал с UDP и без шифрования: в этой конфигурации клиент системного журнала и удостоверения сервера системного журнала не проверяются. Сообщения отправляются по протоколу UDP. Дополнительные сведения см. в разделе "Пересылка системного журнала с помощью UDP" и без шифрования.

  Внимание

  Чтобы защититься от атак злоумышленника и перехвата сообщений, корпорация Майкрософт настоятельно рекомендует использовать TCP с проверкой подлинности и шифрованием в рабочих средах. Версия шифрования TLS зависит от подтверждения между конечными точками. Протокол TLS 1.2 и TLS 1.3 поддерживаются по умолчанию.

Командлеты для настройки перенаправления системного журнала

Для настройки пересылки системного журнала требуется доступ к физическому узлу с помощью учетной записи администратора домена. Набор командлетов PowerShell был добавлен ко всем локальным узлам Azure для управления поведением сервера пересылки системного журнала.

Командлет Set-AzSSyslogForwarder используется для настройки конфигурации пересылки системного журнала для всех узлов. В случае успешного выполнения экземпляр плана действий будет запущен для настройки агентов пересылки системного журнала на всех узлах. Будет возвращен идентификатор экземпляра плана действий.

Используйте следующий командлет, чтобы передать сведения о сервере syslog в сервер пересылки и настроить транспортный протокол, шифрование, проверку подлинности и необязательный сертификат, используемый между клиентом и сервером:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Параметры командлета

В следующей таблице приведены параметры командлета Set-AzSSyslogForwarder :

Параметр	Описание	Тип	Обязательное поле
ServerName	Полное доменное имя или IP-адрес сервера системного журнала.	Строка	Да
ServerPort	Номер порта, через который сервер системного журнала ожидает передачи данных.	UInt16	Да
NoEncryption	Принудительная отправка сообщений из клиента системного журнала в формате открытого текста.	Флаг	No
SkipServerCertificateCheck	Отмена проверки сертификата, который предоставляется сервером системного журнала во время первоначального подтверждения TLS.	Флаг	No
SkipServerCNCheck	Отмена проверки общего имени сертификата, который предоставляется сервером системного журнала во время первоначального подтверждения TLS.	Флаг	No
UseUDP	Использование UDP в качестве транспортного протокола для системного журнала.	Флаг	No
ClientCertificateThumbprint	Отпечаток сертификата клиента, используемого для взаимодействия с сервером системного журнала.	Строка	Нет
OutputSeverity	Уровень ведения журнала выходных данных. Возможные значения Default (По умолчанию) и Verbose (Подробно). Значение "По умолчанию" включает следующие уровни серьезности: "предупреждение", "критические ошибки"и "ошибка". Значение Verbose включает в себя все уровни серьезности — "подробная информация", "информация", "предупреждение", "критические ошибки" и "ошибка".	Строка	Нет
Удалить	Удалите текущую конфигурацию пересылки системного журнала и остановите средство пересылки системного журнала.	Флаг	No

Пересылка системного журнала с помощью TCP, взаимной проверки подлинности (клиента и сервера) и шифрования TLS

В этой конфигурации клиент системного журнала в локальной службе Azure перенаправит сообщения на сервер системного журнала через TCP с шифрованием TLS. При первоначальном подтверждении клиент проверяет, что сервер предоставил действительный доверенный сертификат. Клиент также предоставляет серверу сертификат для подтверждения своей идентификации.

Эта конфигурация является самой безопасной, так как она обеспечивает полную проверку удостоверения клиента и сервера, а также отправляет сообщения через зашифрованный канал.

Внимание

Корпорация Майкрософт рекомендует использовать эту конфигурацию для рабочих сред.

Чтобы настроить сервер пересылки системных журналов с помощью TCP, взаимной проверки подлинности и шифрования TLS, настройте сервер и предоставьте клиенту сертификат для проверки подлинности на сервере.

Выполните следующий командлет для физического узла:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Внимание

Сертификат клиента должен содержать закрытый ключ. Если сертификат клиента подписан с помощью самозаверяющего корневого сертификата, необходимо также импортировать корневой сертификат.

Пересылка системного журнала с помощью TCP, проверки подлинности сервера и шифрования TLS

В этой конфигурации средство пересылки системного журнала в локальной среде Azure перенаправит сообщения на сервер системного журнала через TCP с шифрованием TLS. При первоначальном подтверждении клиент проверяет подлинность и доверие предоставленного сервером сертификата.

Такая конфигурация не позволяет клиенту отправить сообщения ненадежным получателям. Протокол TCP с проверкой подлинности и шифрованием используется как конфигурация по умолчанию, так как корпорация Майкрософт считает такой уровень безопасности минимально допустимым для рабочих сред.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Если вы хотите проверить интеграцию сервера системного журнала с локальным сервером пересылки системного журнала Azure с помощью самозаверяющего или ненадежного сертификата, используйте эти флаги, чтобы пропустить проверку сервера, выполненную клиентом во время первоначального подтверждения.

1. Пропустить проверку значения common Name в сертификате сервера. Используйте этот флаг, если указать IP-адрес для сервера системного журнала.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Пропустите проверку сертификата сервера.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Внимание

   Корпорация Майкрософт рекомендует не использовать -SkipServerCertificateCheck флаг в рабочих средах.

Пересылка системного журнала с помощью TCP и без шифрования

В этой конфигурации клиент системного журнала в локальной службе Azure перенаправит сообщения на сервер системного журнала по протоколу TCP без шифрования. Клиент не проверяет удостоверение сервера, а также не предоставляет собственное удостоверение серверу для проверки.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Внимание

Корпорация Майкрософт рекомендует не использовать эту конфигурацию в рабочих средах.

Переадресация системного журнала с помощью UDP и без шифрования

В этой конфигурации клиент системного журнала в локальной среде Azure перенаправит сообщения на сервер системного журнала по протоколу UDP без шифрования. Клиент не проверяет удостоверение сервера, а также не предоставляет собственное удостоверение серверу для проверки.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Хотя UDP без шифрования является самым простым для настройки, он не обеспечивает никакой защиты от атак в середине или перехвата сообщений.

Внимание

Корпорация Майкрософт рекомендует не использовать эту конфигурацию в рабочих средах.

Включение пересылки системного журнала

Выполните следующий командлет, чтобы включить пересылку системного журнала:

Enable-AzSSyslogForwarder [-Force]

Средство пересылки системного журнала будет включено с хранимой конфигурацией, предоставленной последним успешным Set-AzSSyslogForwarder вызовом. Командлет завершится ошибкой, если конфигурация не была предоставлена.Set-AzSSyslogForwarder

Отключение пересылки системного журнала

Выполните следующий командлет, чтобы отключить пересылку системного журнала:

Disable-AzSSyslogForwarder [-Force] 

Параметр для Enable-AzSSyslogForwarder командлетов:Disable-AzSSyslogForwarder

Параметр	Описание	Тип	Обязательное поле
Force	Если задано, план действий всегда будет активирован, даже если целевое состояние совпадает с текущим. Это может быть полезно для сброса изменений вне диапазона.	Флаг	No

Проверка установки системного журнала

После успешного подключения клиента системного журнала к серверу системного журнала вы начнете получать уведомления о событиях. Если уведомления не отображаются, проверьте конфигурацию сервера пересылки системного журнала кластера, выполнив следующий командлет:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Каждый узел имеет собственный агент пересылки системного журнала, использующий локальную копию конфигурации кластера. Они всегда должны совпадать с конфигурацией кластера. Текущую конфигурацию можно проверить на каждом узле с помощью следующего командлета:

Get-AzSSyslogForwarder -PerNode 

Можно также использовать следующий командлет, чтобы проверить конфигурацию на узле, к которому вы подключены:

Get-AzSSyslogForwarder -Local

Параметры командлета для командлета Get-AzSSyslogForwarder :

Параметр	Описание	Тип	Обязательное поле
Local	Отображение текущей конфигурации на текущем узле.	Флаг	No
PerNode	Отображение текущей используемой конфигурации на каждом узле.	Флаг	No
Кластер	Отображение текущей глобальной конфигурации в локальной среде Azure. Это поведение по умолчанию, если параметр не указан.	Флаг	No

Удаление пересылки системного журнала

Выполните следующую команду, чтобы удалить конфигурацию пересылки системного журнала и остановить средство пересылки системного журнала:

Set-AzSSyslogForwarder -Remove 

Справочник по схеме сообщений и журналу событий

В следующих справочных материалах содержатся сведения о схеме и определениях событий системного журнала.

Схема сообщения системного журнала

Средство пересылки системного журнала локальной инфраструктуры Azure отправляет сообщения, отформатированные по протоколу системного журнала BSD, определенному в RFC3164. CEF также используется для форматирования полезных данных сообщения системного журнала.

Каждое сообщение системного журнала структурировано на основе этой схемы: Priority (PRI) | Время | Узел | Полезные данные CEF |

Часть PRI содержит два значения: объект и серьезность. Оба зависят от типа сообщения, например события Windows и т. д.

Схема и определения полезных данных в формате распространенных событий

Полезные данные общего формата событий (CEF) основаны на следующей структуре. Сопоставление для каждого поля зависит от типа сообщения, например события Windows и т. д.

CEF: |Версия | Поставщик устройств | Продукт устройства | Версия устройства | Идентификатор подписи | Имя | Серьезность | Расширения |

• Версия: 0.0
• Поставщик устройств: Майкрософт
• Продукт устройства: Microsoft Azure Local
• Версия устройства: 1.0

Сопоставление событий Windows и примеры

Все события Windows используют значение PRI 10.

• Идентификатор подписи: ProviderName:EventID
• Имя: Имя задачи
• Серьезность: уровень. Дополнительные сведения см. в следующей таблице серьезности.
• Расширение: пользовательское имя расширения. Дополнительные сведения см. в следующей таблице.

Серьезность событий Windows

Значение серьезности PRI	Уровень серьезности CEF	Уровень события Windows	Значение MasLevel (в расширении)
7	0	Undefined	Значение: 0. Указывает журналы на всех уровнях.
2	10	Критически важно	Значение: 1. Указывает журналы для критического оповещения.
3	8	Ошибка	Значение: 2. Указывает журналы ошибки.
4	5	Предупреждение	Значение: 3. Указывает журналы для предупреждения.
6	2	Информация	Значение: 4. Указывает журналы для информационного сообщения.
7	0	Подробный	Значение: 5. Указывает журналы для подробного сообщения.

Пользовательские расширения и события Windows в локальной среде Azure

Имя пользовательского расширения	Событие Windows
MasChannel	Системные
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription	Параметры групповой политики для пользователя были успешно обработаны. Не обнаружено изменений с момента последней успешной обработки групповой политики.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Audit Success
MasLevel	4
MasOpcode	1
MasOpcodeName	info
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	ИД безопасности Windows
MasTask	0
MasTaskCategory	Создание процесса
MasUserData	KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Прочие события

Другие события, которые пересылаются. Эти события нельзя настроить.

Тип события	Запрос события
События проверки подлинности беспроводной локальной сети 802.1x с одноранговым MAC-адресом	query="Security!*[System[(EventID=5632)]]
Новая служба (4697)	query="Security!*[System[(EventID=4697)]]
Повторное подключение сеанса TS (4778), отключение сеанса TS (4779)	query="Security!*[System[(EventID=4778 или EventID=4779)]]
Доступ к объекту общего доступа к сети без общих папок IPC$ и Netlogon	query="Security![System[(EventID=5140)] и EventData[Data[@Name='ShareName']!='\\IPC$'] и EventData[Data[@Name='ShareName']!='\\NetLogon']]
Изменение системного времени (4616)	query="Security!*[System[(EventID=4616)]]
Локальный вход без событий сети или службы	query="Security!*[System[(EventID=4624)] и EventData[Data[@Name='LogonType']!='3'] и EventData[Data[@Name='LogonType']!='5']]
События очистки журнала безопасности (1102), завершение работы службы EventLog (1100)	query="Security!*[System[(EventID=1102 или EventID=1100)]]
Вход, инициированный пользователем	query="Security!*[System[(EventID=4647)]]
Выход пользователя для всех сеансов входа в систему, отличных от сети	query="Security!*[System[(EventID=4634)] и EventData[Data[@Name='LogonType'] != '3']]"
События входа в службу, если учетная запись пользователя не является LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] и EventData[Data[@Name='LogonType']='5'] и EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18 '] и EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] и EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]
Создание сетевого ресурса (5142), удаление общей папки (5144)	query="Security!*[System[(EventID=5142 или EventID=5144)]]
Создание процесса (4688)	query="Security!*[System[EventID=4688]]
События службы журналов событий, относящиеся к каналу безопасности	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]
Специальные привилегии (доступ, эквивалентный администратору), назначенные новому входу, за исключением LocalSystem	query="Security!*[System[(EventID=4672)] и EventData[Data[1] != 'S-1-5-18']]
Новый пользователь, добавленный в локальную, глобальную или универсальную группу безопасности	query="Security!*[System[(EventID=4732 или EventID=4728 или EventID=4756)]]
Пользователь удален из локальной группы администраторов	query="Security!*[System[(EventID=4733)] и EventData[Data[@Name='TargetUserName']='Administrators']]"
Службы сертификатов получили запрос на сертификат (4886), утвержденный и выданный сертификат (4887), отклоненный запрос (4888)	query="Security!*[System[(EventID=4886 или EventID=4887 или EventID=4888)]]
Новая учетная запись пользователя создана (4720), включена учетная запись пользователя (4722), учетная запись пользователя отключена (4725), удалена учетная запись пользователя (4726)	query="Security!*[System[(EventID=4720 или EventID=4722 или EventID=4725 или EventID=4726)]]
Старые события защиты от вредоносных программ, но только обнаружение событий (сокращает шум)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] и (EventID >= 1116 и EventID <= 1119)]]
Запуск системы (12 — включает ОС/SP/Version) и завершение работы	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] и (EventID=12 или EventID=13)]]
Установка службы (7000), сбой запуска службы (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] и (EventID = 7000 или EventID=7045)]]
Завершение работы инициирует запросы, используя пользователя, процесс и причину (если задано)	query="System!*[System[Provider[@Name='USER32'] и (EventID=1074)]]
События службы журнала событий	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]
Другие события очистки журнала (104)	query="System!*[System[(EventID=104)]]
События защиты EMET/Эксплойт	query="Application!*[System[Provider[@Name='EMET']]]
События WER только для сбоев приложений	query="Application!*[System[Provider[@Name='отчеты об ошибках Windows']] и EventData[Data[3]='APPCRASH']]"
Вход пользователей с помощью временного профиля (1511), не может создать профиль с помощью временного профиля (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] и (EventID=1511 или EventID=1518)]]
События сбоя приложения или зависания, аналогичные WER/1001. К ним относится полный путь к ошибке EXE/Module.	query="Application!*[System[Provider[@Name='Application Error'] и (EventID=1000)] или System[Provider[@Name='Application Hang'] и (EventID=1002)]]
Зарегистрированная задача планировщика задач (106), регистрация задач удалена (141), удалена задача (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[provider[@Name='Microsoft-Windows-TaskScheduler'] и (EventID=106 или EventID=141 или EventID=142 )]]
Выполнение упакованных приложений AppLocker (современный пользовательский интерфейс)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
Установка упакованных приложений AppLocker (современный пользовательский интерфейс)	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Попытка подключения журналов к удаленному серверу	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Получает все события проверки держателя карт смарт-карты (CHV) (успешное выполнение и сбой), выполненные на узле.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Возвращает все UNC/сопоставленные диски успешное подключение	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 или EventID=30624)]]
Современный поставщик событий SysMon	query="Microsoft-Windows-Sysmon/Operational!*"
События обнаружения современных поставщиков событий Защитника Windows (1006-1009) и (1116-1119); plus (5001 5010 5012) req'd от клиентов	query="Microsoft-Windows-Windows-Defender/Operational!*[System[( (EventID >= 1006 и EventID <= 1009) или (EventID >= 1116 и EventID <= 1119) или (EventID = 5001 или EventID = 5010 или EventID = 5012) )]]
События целостности кода	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[provider[@Name='Microsoft-Windows-CodeIntegrity'] и (EventID=3076 или EventID=3077)]]
Остановка цС и запуск событий ЦС остановлена (4880), служба ЦС запущена (4881), удалены строки ЦС (4896), шаблон ЦС загружен (4898)	query="Security!*[System[(EventID=4880 или EventID = 4881 или EventID = 4896 или EventID = 4898)]]
События RRAS — только на сервере Microsoft IAS	query="Security!*[System[( (EventID >= 6272 и EventID <= 6280) )]]"
Завершение процесса (4689)	query="Security!*[System[(EventID = 4689)]]
События изменения реестра для операций: создано новое значение реестра (%1904), существующее значение реестра изменено (%1905), значение реестра удалено (%1906)	query="Security!*[System[(EventID=4657)] и (EventData[Data[@Name='OperationType'] = '%1904'] или EventData[Data[@Name='OperationType'] = '%1905'] или EventData[Data[@Name='OperationType'] = '%1906']]]
Запрос на проверку подлинности в беспроводной сети (включая одноранговый MAC (5632))	query="Security!*[System[(EventID=5632)]]
Новое внешнее устройство было распознано системой (6416)	query="Security!*[System[(EventID=6416)]]
События проверки подлинности RADIUS, назначенный пользователем (20274), пользователь успешно прошел проверку подлинности (20250), отключен пользователь (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] и (EventID=20274 или EventID=20250 или EventID=20275)]]
Цепочка событий CAPI (11), доступ к закрытому ключу (70), объект X509 (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 или EventID=70 или EventID=90)]]
Группы, назначенные новому имени входа (за исключением известных встроенных учетных записей)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] и EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] и EventData[Data[Data[@Name='TargetUserSid'] != 'S-1-5-18'] и EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]
События DNS-клиента	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] и EventData[Data[@Name='QueryOptions'] != '140737488355328'] и EventData[Data[@Name='QueryResults']]]
Обнаружение загруженных драйверов в режиме пользователя — для потенциального обнаружения BadUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Устаревшие сведения о выполнении конвейера PowerShell (800)	query="Windows PowerShell!*[System[(EventID=800)]]
События, остановленные в Защитнике	query="System!*[System[(EventID=7036)] и EventData[Data[@Name='param1']='антивирусная программа в Microsoft Defender Служба проверки сети'] и EventData[Data[@Name='param2']='остановлен']"
События управления BitLocker	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Следующие шаги

Дополнительные сведения:

• Параметры базовых показателей безопасности для локальной среды Azure.
• Управление приложениями в Защитнике Windows для локальной среды Azure.
• BitLocker для Azure Local.