Hantera säkerhet efter uppgradering av Azure Local

Gäller för: Azure Local, version 23H2

Den här artikeln beskriver hur du hanterar säkerhetsinställningar på en Azure Local som har uppgraderats från version 22H2 till version 23H2.

Förutsättningar

Innan du börjar kontrollerar du att du har åtkomst till ett Azure Local version 23H2-system som har uppgraderats från version 22H2.

Säkerhetsändringar efter uppgradering

När du uppgraderar Azure Local från version 22H2 till version 23H2 ändras inte systemets säkerhetsstatus. Vi rekommenderar starkt att du uppdaterar säkerhetsinställningarna efter uppgraderingen för att dra nytta av förbättrad säkerhet.

Här är fördelarna med att uppdatera säkerhetsinställningarna:

• Förbättrar säkerhetsstatusen genom att inaktivera äldre protokoll och chiffer och härda distributionen.
• Minskar driftskostnaden (OpEx) med en inbyggd driftskyddsmekanism för konsekvent övervakning i stor skala via Azure Arc Hybrid Edge-baslinjen.
• Gör att du kan uppfylla cis-riktmärken (Center for Internet Security) och STIG-krav (Defense Information System Agency) för STIG (Security Technical Implementation Guide) för operativsystemet.

Gör dessa ändringar på hög nivå när uppgraderingen är klar:

1. Använd säkerhetsbaslinjen.
2. Använd kryptering i vila.
3. Aktivera programkontroll.

Vart och ett av dessa steg beskrivs ingående i följande avsnitt.

Tillämpa säkerhetsbaslinjer

En ny distribution av Azure Local introducerar två baslinjedokument som matas in av säkerhetshanteringsskiktet, medan det uppgraderade klustret inte gör det.

Viktigt!

När du har tillämpat säkerhetsbaslinjedokumenten används en ny mekanism för att tillämpa och underhålla säkerhetsbaslinjeinställningarna.

1. Om dina servrar ärver baslinjeinställningar via mekanismer som grupprincipobjekt, DSC eller skript rekommenderar vi att du:

   • Ta bort de här duplicerade inställningarna från sådana mekanismer.
   • Du kan också inaktivera driftkontrollmekanismen när du har tillämpat säkerhetsbaslinjen.

   Servrarnas nya säkerhetsstatus kombinerar de tidigare inställningarna, de nya inställningarna och de överlappande inställningarna med uppdaterade värden.

   Kommentar

   Microsoft testar och vaildaterar säkerhetsinställningarna för Azure Local, version 23H2. Vi rekommenderar starkt att du behåller de här inställningarna. Användning av anpassade inställningar kan potentiellt leda till systeminstabilitet, inkompatibilitet med de nya produktscenarierna och kan kräva omfattande testning och felsökning från din sida.

2. När du kör kommandot followign ser du att dokumenten inte är på plats. Dessa cmdletar returnerar inga utdata.

   Get-AzSSecuritySettingsConfiguration
   Get-AzSSecuredCoreConfiguration
   

3. Om du vill aktivera baslinjerna går du till var och en av de noder som du uppgraderade. Kör följande kommandon lokalt eller via fjärranslutning med ett privilegierat administratörskonto:

   Start-AzSSecuritySettingsConfiguration
   Start-AzSSecuredCoreConfiguration
   

4. Starta om noderna i en korrekt sekvens för att de nya inställningarna ska börja gälla.

Bekräfta statusen för säkerhetsbaslinjerna

När du har startat om kör du cmdletarna igen för att bekräfta statusen för säkerhetsbaslinjerna:

Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

Du får utdata för varje cmdlet med baslinjeinformationen.

Här är ett exempel på baslinjeutdata:

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

Aktivera kryptering i vila

Under uppgraderingen identifierar Microsoft om dina systemnoder har BitLocker aktiverat. Om BitLocker är aktiverat uppmanas du att pausa det. Om du tidigare har aktiverat BitLocker på dina volymer återupptar du skyddet. Inga ytterligare steg krävs.

Kör följande kommandon för att verifiera krypteringens status för dina volymer:

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

Om du behöver aktivera BitLocker på någon av dina volymer kan du läsa Hantera BitLocker-kryptering på Azure Local.

Aktivera programkontroll

Programkontroll för företag (tidigare kallat Windows Defender-programkontroll eller WDAC) ger ett bra skydd mot att köra obetrodd kod.

När du har uppgraderat till version 23H2 bör du överväga att aktivera Programkontroll. Detta kan vara störande om nödvändiga åtgärder inte vidtas för korrekt validering av befintlig programvara från tredje part som redan finns på servrarna.

För nya distributioner är programkontrollen aktiverad i framtvingat läge (blockerar ej betrodda binärfiler), medan vi rekommenderar att du följer dessa steg för uppgraderade system:

1. Aktivera programkontroll i granskningsläge (förutsatt att okänd programvara kan finnas).

2. Övervaka programkontrollhändelser.

3. Skapa nödvändiga tilläggsprinciper.

4. Upprepa steg 2 och 3 efter behov tills inga ytterligare granskningshändelser har observerats. Växla till framtvingat läge.

   Varning

   Om du inte skapar de nödvändiga AppControl-principerna för att aktivera ytterligare programvara från tredje part hindrar det programmet från att köras.

Instruktioner för att aktivera i framtvingat läge finns i Hantera Windows Defender-programkontroll för Azure Local.

Nästa steg

• Förstå BitLocker-kryptering.