Azure 本地版本 23H2 的安全功能
适用于:Azure 本地版本 23H2
Azure Local 是一种默认安全产品,它从一开始就启用了 300 多个安全设置。 默认安全设置提供一致的安全基线,以确保设备以已知良好状态启动。
本文简要概述了与 Azure 本地实例关联的各种安全功能。 功能包括安全默认值、Windows Defender for Application Control (WDAC)、通过 BitLocker 进行卷加密、机密轮换、本地内置用户帐户、Microsoft Defender for Cloud 等。
安全默认值
默认情况下,Azure Local 已启用安全设置,可提供一致的安全基线、基线管理系统和偏移控制机制。
可以在部署和运行时期间监视安全基线和安全核心设置。 配置安全设置时,还可以在部署期间禁用偏移控制。
应用偏移控制后,每 90 分钟刷新一次安全设置。 此刷新间隔可确保从所需状态修正任何更改。 持续监视和自动护理可在整个设备的生命周期内实现一致且可靠的安全态势。
Azure 本地安全基线:
- 通过禁用旧协议和密码来提高安全态势。
- 使用内置的偏移保护机制减少 OPEX,该机制通过 Azure Arc 混合 Edge 基线实现一致的大规模监视。
- 使你能够满足 OS 的 Internet 安全中心(CIS)基准和防御信息系统机构(DISA)安全技术实施指南(STIG)要求和建议的安全基线。
有关详细信息,请参阅 “管理 Azure 本地”上的安全默认值。
Windows Defender 应用程序控制
WDAC 是一个基于软件的安全层,通过强制实施允许运行的软件的显式列表来减少攻击面。 WDAC 默认启用,并限制可在核心平台上运行的应用程序和代码。 有关详细信息,请参阅 管理适用于 Azure 本地版本 23H2 的 Windows Defender 应用程序控制。
WDAC 提供两种主要操作模式:强制模式和审核模式。 在强制模式下,将阻止不受信任的代码并记录事件。 在审核模式下,允许运行不受信任的代码并记录事件。 若要了解有关 WDAC 相关事件的详细信息,请参阅 事件列表。
重要
若要最大程度地降低安全风险,请始终在强制模式下运行 WDAC。
关于 WDAC 策略设计
Microsoft在 Azure 本地为强制模式和审核模式提供基本签名策略。 此外,策略还包括一组预定义的平台行为规则,以及要应用于应用程序控制层的阻止规则。
基本策略的构成
Azure 本地基本策略包含以下部分:
- 元数据:元数据定义策略的唯一属性,例如策略名称、版本、GUID 等。
- 选项规则:这些规则定义策略行为。 补充策略只能与绑定到其基本策略的一小部分选项规则不同。
- 允许和拒绝规则:这些规则定义代码信任边界。 规则可以基于发布者、签名者、文件哈希等。
选项规则
本部分讨论了基本策略启用的选项规则。
对于强制实施的策略,默认启用以下选项规则:
| 选项规则 | 值 |
|---|---|
| 已启用 | UMCI |
| 必须 | WHQL |
| 已启用 | 允许补充策略 |
| 已启用 | 已撤销的已过期为未签名 |
| 已禁用 | 外部测试版签名 |
| 已启用 | 未签名的系统完整性策略(默认) |
| 已启用 | 动态代码安全性 |
| 已启用 | “高级启动选项”菜单 |
| 已禁用 | 脚本强制 |
| 已启用 | 托管安装程序 |
| 已启用 | 更新策略无重启 |
审核策略将以下选项规则添加到基本策略:
| 选项规则 | 值 |
|---|---|
| 已启用 | 审核模式 (默认值) |
有关详细信息,请参阅选项规则的完整列表。
允许和拒绝规则
允许基本策略中的规则允许 OS 和云部署提供的所有Microsoft组件都受信任。 拒绝规则会阻止用户模式应用程序和内核组件,这些组件认为解决方案的安全状况不安全。
注意
基本策略中的“允许”和“拒绝”规则会定期更新,以提高产品功能并最大限度地保护解决方案。
若要了解有关拒绝规则的详细信息,请参阅:
BitLocker 加密
在部署期间创建的数据卷上启用了静态数据加密。 这些数据卷包括基础结构卷和工作负荷卷。 部署系统时,可以修改安全设置。
默认情况下,在部署期间启用静态数据加密。 我们建议你接受默认设置。
成功部署 Azure 本地后,可以检索 BitLocker 恢复密钥。 必须将 BitLocker 恢复密钥存储在系统外部的安全位置。
有关 BitLocker 加密的详细信息,请参阅:
- 将 BitLocker 与群集共享卷(CSV)配合使用。
- 管理 Azure 本地上的 BitLocker 加密。
本地内置用户帐户
在此版本中,与 Azure 本地系统上关联的RID 500RID 501以下本地内置用户可用:
| 初始 OS 映像中的名称 | 部署后的名称 | 默认启用 | 说明 |
|---|---|---|---|
| 管理员 | ASBuiltInAdmin | True | 用于管理计算机/域的内置帐户。 |
| 来宾 | ASBuiltInGuest | False | 用于来宾访问计算机/域的内置帐户,受安全基线偏移控制机制保护。 |
重要
建议创建自己的本地管理员帐户,并禁用已知 RID 500 用户帐户。
机密创建和轮换
Azure Local 中的业务流程协调程序需要多个组件来维护与其他基础结构资源和服务的安全通信。 系统上运行的所有服务都具有与其关联的身份验证和加密证书。
为了确保安全性,我们实现了内部机密创建和轮换功能。 查看系统节点时,会看到在 LocalMachine/Personal 证书存储Cert:\LocalMachine\My()路径下创建的多个证书。
在此版本中,已启用以下功能:
- 能够在部署期间和系统缩放操作之后创建证书。
- 证书过期前自动自动轮换,以及用于在系统生存期内轮换证书的选项。
- 监视和警报证书是否仍然有效的功能。
注意
机密创建和轮换操作需要大约 10 分钟才能完成,具体取决于系统的大小。
有关详细信息,请参阅 “管理机密轮换”。
安全事件的 Syslog 转发
对于需要自己的本地安全信息和事件管理(SIEM)系统的客户和组织,Azure Local 版本 23H2 包含一种集成机制,可用于将安全相关事件转发到 SIEM。
Azure Local 具有集成的 syslog 转发器,一旦配置,就会生成在 RFC3164 中定义的 syslog 消息,其有效负载为通用事件格式 (CEF)。
下图说明了 Azure Local 与 SIEM 的集成。 所有审核、安全日志和警报都会在每个主机上收集,并通过具有 CEF 有效负载的 syslog 公开。
Syslog 转发代理部署在每个 Azure 本地主机上,以将 syslog 消息转发到客户配置的 syslog 服务器。 Syslog 转发代理彼此独立工作,但可以在任一主机上共同管理。
Azure Local 中的 syslog 转发器支持各种配置,具体取决于 syslog 转发是使用 TCP 还是 UDP、是否启用加密,以及是否存在单向或双向身份验证。
有关详细信息,请参阅 管理 syslog 转发。
Microsoft Defender for Cloud (预览版)
Microsoft Defender for Cloud 是一种具有高级威胁防护功能的安全态势管理解决方案。 它提供用于评估基础结构的安全状态、保护工作负载、引发安全警报以及遵循特定建议来修正攻击和解决未来威胁的工具。 它通过自动预配和保护 Azure 服务在云中以高速方式执行所有这些服务,无需部署开销。
使用基本的 Defender for Cloud 计划,可获取有关如何提高 Azure 本地系统安全状况的建议,无需额外付费。 使用付费 Defender for Servers 计划,可以获得增强的安全功能,包括单个计算机和 Arc VM 的安全警报。
有关详细信息,请参阅使用 Microsoft Defender for Cloud 管理系统安全性(预览版)。
后续步骤
- 通过环境检查器评估部署就绪情况。
- 阅读 Azure 本地安全手册。
- 查看 Azure 本地安全标准。