設定 Azure Stack Hub 安全性控制

本文說明可在 Azure Stack Hub 中變更的安全性控制，並醒目提示適用的取捨。

Azure Stack Hub 架構建置於兩項安全性原則之上：預設遭侵入的假定以及自動強化的原則。 如需 Azure Stack Hub 安全性的詳細資訊，請參閱 Azure Stack Hub 基礎結構安全性狀態。 雖然 Azure Stack Hub 的預設安全性狀態已就緒，但有些部署案例需要額外的強化。

TLS 版本原則

傳輸層安全性 （TLS） 通訊協定是廣泛採用的密碼編譯通訊協定，可透過網路建立加密通訊。 TLS 經過一段時間的演進，並發行了多個版本。 Azure Stack Hub 基礎結構專門使用 TLS 1.2 進行其所有通訊。 針對外部介面，Azure Stack Hub 目前預設為使用 TLS 1.2。 不過，為了向後相容，它也支援降級到 TLS 1.1。 和 1.0。 當 TLS 用戶端要求透過 TLS 1.1 或 TLS 1.0 進行通訊時，Azure Stack Hub 會透過交涉到較低的 TLS 版本來接受要求。 如果用戶端要求 TLS 1.2，Azure Stack Hub 會使用 TLS 1.2 建立 TLS 連線。

由於 TLS 1.0 和 1.1 會逐漸被組織和合規性標準取代或禁止，因此您現在可以在 Azure Stack Hub 中設定 TLS 原則。 您只能強制執行 TLS 1.2 原則，其中任何嘗試建立版本低於 1.2 的 TLS 會話都不允許且遭到拒絕。

重要

Microsoft建議只針對 Azure Stack Hub 生產環境使用 TLS 1.2 原則。

取得 TLS 政策

使用 特殊許可權端點 （PEP） 來檢視所有 Azure Stack Hub 端點的 TLS 原則：

Get-TLSPolicy

範例輸出：

TLS_1.2

設定 TLS 原則

使用 特殊許可權端點 （PEP） 來設定所有 Azure Stack Hub 端點的 TLS 原則：

Set-TLSPolicy -Version <String>

Set-TLSPolicy Cmdlet 的參數：

參數	描述	類型	必填
版本	Azure Stack Hub 中允許的 TLS 版本	字串	是的

使用下列其中一個值，為所有 Azure Stack Hub 端點設定允許的 TLS 版本：

版本值	描述
TLS_All	Azure Stack Hub TLS 端點支援 TLS 1.2，但允許對 TLS 1.1 和 TLS 1.0 進行向下交涉。
TLS_1.2	Azure Stack Hub TLS 端點僅支援 TLS 1.2。

更新 TLS 原則需要幾分鐘的時間才能完成。

強制執行 TLS 1.2 組態範例

本範例會將 TLS 原則設定為僅強制執行 TLS 1.2。

Set-TLSPolicy -Version TLS_1.2

範例輸出：

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

允許所有版本的 TLS （1.2、1.1 和 1.0） 組態範例

此範例會將 TLS 原則設定為允許所有 TLS 版本（1.2、1.1 和 1.0）。

Set-TLSPolicy -Version TLS_All

範例輸出：

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

PEP 課程的法律聲明

在某些情況下，在登入 具備權限的端點（PEP） 連線時，顯示法律通知會很有用。 Set-AzSLegalNotice 和 Get-AzSLegalNotice cmdlet 可用來管理這類法律通知文字的標題和本文。

若要設定法律通知標題和文字，請參閱 Set-AzSLegalNotice Cmdlet。 如果先前已設定法律通知標題和文字，您可以使用 Get-AzSLegalNotice Cmdlet加以檢閱。

後續步驟

• 瞭解 Azure Stack Hub 基礎結構安全性狀態。
• 瞭解如何在 Azure Stack Hub更換機密資料。
• 更新 Azure Stack Hub 上的 Windows Defender 防病毒軟體。