在升级 Azure 本地后管理安全性
适用于:Azure 本地版本 23H2
本文介绍如何管理从版本 22H2 升级到版本 23H2 的 Azure Local 上的安全设置。
先决条件
在开始之前,请确保有权访问从版本 22H2 升级的 Azure 本地版本 23H2 系统。
升级后的安全更改
将 Azure Local 从版本 22H2 升级到版本 23H2 时,系统的安全状况不会更改。 强烈建议在升级后更新安全设置,以便从增强的安全性中受益。
下面是更新安全设置的好处:
- 通过禁用旧协议和密码以及强化部署来提高安全态势。
- 使用内置的偏移保护机制减少运营费用(OpEx),以便通过 Azure Arc 混合 Edge 基线进行一致的大规模监视。
- 使你能够密切满足 OS 的 Internet 安全中心(CIS)基准和国防信息系统机构(DISA)安全技术实施指南(STIG)要求。
升级完成后进行以下高级更改:
- 应用安全基线。
- 应用静态加密。
- 启用应用程序控制。
以下部分详细介绍了这些步骤。
应用安全基线
Azure Local 的新部署引入了安全管理层注入的两个基线文档,而升级后的群集则不会。
重要
应用安全基线文档后,将使用新机制来应用和维护 安全基线设置。
如果服务器通过 GPO、DSC 或脚本等机制继承基线设置,建议:
- 从此类机制中删除这些重复设置。
- 或者,应用安全基线后, 禁用偏移控制机制。
服务器的新安全状况会将以前的设置、新设置和重叠设置与更新的值组合在一起。
注意
Microsoft测试和验证 Azure 本地版本 23H2 安全设置。 强烈建议保留这些设置。 使用自定义设置可能会导致系统不稳定,与新产品方案不兼容,并且可能需要在一定程度上进行广泛的测试和故障排除。
运行 followign 命令时,你将发现文档未到位。 这些 cmdlet 不会返回任何输出。
Get-AzSSecuritySettingsConfiguration Get-AzSSecuredCoreConfiguration若要启用基线,请转到升级的每个节点。 使用特权管理员帐户在本地或远程运行以下命令:
Start-AzSSecuritySettingsConfiguration Start-AzSSecuredCoreConfiguration按正确的顺序重新启动节点,使新设置生效。
确认安全基线的状态
重新启动后,重新运行 cmdlet 以确认安全基线的状态:
Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration
你将获得每个 cmdlet 的输出,其中包含基线信息。
下面是基线输出的示例:
OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"
启用静态加密
在升级期间,Microsoft检测系统节点是否已启用 BitLocker。 如果启用了 BitLocker,系统会提示你暂停它。 如果以前跨卷启用了 BitLocker,请恢复保护。 无需执行其他步骤。
若要验证卷中的加密状态,请运行以下命令:
Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume
如果需要在任何卷上启用 BitLocker,请参阅 管理 Azure 本地上的 BitLocker 加密。
启用应用程序控制
适用于企业的应用程序控制(以前称为 Windows Defender 应用程序控制或 WDAC)提供了一个很大的防御层,防止运行不受信任的代码。
升级到版本 23H2 后,请考虑启用应用程序控制。 如果未采取必要的措施来正确验证服务器上已有的现有第三方软件,这可能会造成中断。
对于新的部署,应用程序控制是在 强制 模式下启用的(阻止不受信任的二进制文件),而对于升级的系统,我们建议你执行以下步骤:
根据需要重复步骤 #2 和 #3,直到未观察到进一步的审核事件。 切换到 强制模式 。
警告
未能创建必要的 AppControl 策略来启用其他第三方软件将阻止该软件运行。
有关在 强制 模式下启用的说明,请参阅 管理适用于 Azure 本地的 Windows Defender 应用程序控制。