管理 Azure 本機版本 23H2 的安全性預設值
適用於:Azure 本機版本 23H2
本文說明如何管理 Azure 本機實例的預設安全性設定。 您也可以修改部署期間定義的漂移控制和受保護的安全性設定,讓您的裝置以已知的良好狀態啟動。
必要條件
開始之前,請確定您可以存取已部署、註冊及連線至 Azure 的 Azure 本機版本 23H2 系統。
在 Azure 入口網站 中檢視安全性預設設定
若要檢視 Azure 入口網站 中的安全性預設設定,請確定您已套用MCSB方案。 如需詳細資訊,請參閱 套用 Microsoft Cloud Security Benchmark 方案。
您可以使用安全性預設設定來管理系統上的系統安全性、漂移控制和安全核心設定。
![顯示 Azure 入口網站 中 [安全性預設值] 頁面的螢幕快照。](media/manage-secure-baseline/manage-secure-baseline.png#lightbox)
在 [數據保護>網路保護] 索引卷標下檢視 SMB 簽署狀態。SMB 簽署可讓您以數位方式簽署 Azure 本機實例與其他系統之間的 SMB 流量。
在 Azure 入口網站 中檢視安全性基準合規性
使用 適用於雲端的 Microsoft Defender 註冊 Azure 本機實例或指派內建原則 Windows 機器應符合 Azure 計算安全性基準的需求之後,會產生合規性報告。 如需 Azure 本機實例所比較之規則的完整清單,請參閱 Windows 安全性基準。
針對 Azure 本機電腦,當符合安全核心的所有硬體需求時,預設預期的合規性分數為 321,超過 324 個規則,也就是 99% 的規則符合規範。
下表說明不符合規範的規則,以及目前差距的理由:
| 規則名稱 | 合規性狀態 | 原因 | 註解 |
|---|---|---|---|
| 互動式登入: 給登入使用者的訊息本文 | 不相容 | 警告 - “”等於“” | 這必須由客戶定義,它未啟用漂移控制。 |
| 互動式登入: 給登入使用者的訊息標題 | 不符合規範 | 警告 - “” 等於 “” | 這必須由客戶定義,它未啟用漂移控制。 |
| 密碼長度下限 | 不符合規範 | 重大 - 七個小於最小值 14。 | 這必須由客戶定義,它未啟用漂移控制,以便允許此設定與貴組織的原則一致。 |
修正規則的合規性
若要修正規則的合規性,請執行下列命令,或使用您偏好的任何其他工具:
法律聲明:根據貴組織的需求和原則,建立法律通知的自定義值。 執行下列命令:
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice" Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"密碼長度下限:將 Azure 本機電腦上的密碼長度下限原則設定為 14 個字元。 默認值為 7,且低於 14 的任何值仍會由監視基準原則標示。 執行下列命令:
net accounts /minpwlen:14
使用 PowerShell 管理安全性預設值
啟用漂移保護后,您只能修改未受保護的安全性設定。 若要修改形成基準的受保護安全性設定,您必須先停用漂移保護。 若要檢視及下載安全性設定的完整清單,請參閱 安全性基準。
修改安全性預設值
從初始安全性基準開始,然後修改部署期間定義的漂移控制和受保護的安全性設定。
啟用漂移控制
使用下列步驟來啟用漂移控制:
線上到您的 Azure 本機電腦。
執行下列 Cmdlet:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- 本機 - 僅影響本機節點。
- 叢集 - 使用協調器影響叢集中的所有節點。
停用漂移控制
使用下列步驟來停用漂移控制:
線上到您的 Azure 本機電腦。
執行下列 Cmdlet:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- 本機 - 僅影響本機節點。
- 叢集 - 使用協調器影響叢集中的所有節點。
重要
如果您停用漂移控制,則可以修改受保護的設定。 如果您再次啟用漂移控制,則會覆寫您對受保護設定所做的任何變更。
在部署期間設定安全性設定
在部署的過程中,您可以修改漂移控件和其他構成叢集安全性基準的安全性設定。
下表描述可在部署期間於 Azure 本機實例上設定的安全性設定。
| 功能區域 | 功能 | 描述 | 支援漂移控制? |
|---|---|---|---|
| 治理 | 安全性基準 | 維護每個節點上的安全性預設值。 協助防止變更。 | Yes |
| 認證保護 | Windows Defender Credential Guard | 使用虛擬化式安全性來隔離秘密與認證竊取攻擊。 | Yes |
| 應用程式控制 | Windows Defender 應用程控 | 控制哪些驅動程式和應用程式可以直接在每個節點上執行。 | No |
| 待用數據加密 | 適用於OS開機磁碟區的 BitLocker | 加密每個節點上的OS啟動磁碟區。 | No |
| 待用數據加密 | 數據磁碟區的 BitLocker | 加密此系統上的叢集共享磁碟區 (CSV) | No |
| 傳輸中數據保護 | 簽署外部SMB流量 | 簽署此系統與其他系統之間的SMB流量,以協助防止轉送攻擊。 | Yes |
| 傳輸中數據保護 | 叢集中流量的SMB加密 | 加密系統中節點之間的流量(在您的記憶體網路上)。 | No |
在部署後修改安全性設定
部署完成之後,您可以使用PowerShell修改安全性設定,同時維護漂移控制。 某些功能需要重新啟動才會生效。
PowerShell Cmdlet 屬性
下列 Cmdlet 屬性適用於 AzureStackOSConfigAgent 模組。 模組會在部署期間安裝。
Get-AzsSecurity-Scope: <Local |PerNode |AllNodes |簇>- Local - 提供本機節點上的布爾值 (true/False)。 可以從一般遠端 PowerShell 工作階段執行。
- PerNode - 提供每個節點的布爾值(true/False)。
- 報告 - 需要使用遠端桌面通訊協定 (RDP) 連線的 CredSSP 或 Azure 本機電腦。
- AllNodes – 提供跨節點計算的布爾值 (true/False)。
- 叢集 – 從 ECE 存放區提供布爾值。 與協調器互動,並作用於叢集中的所有節點。
Enable-AzsSecurity-Scope Local <|簇>Disable-AzsSecurity-Scope Local <|簇>FeatureName - <CredentialGuard |DriftControl |DRTM |HVCI |SideChannelMitigation |SMBEncryption |SMBSigning |VBS>
- 漂移控制
- Credential Guard
- VBS(虛擬化型安全性)- 我們僅支持啟用命令。
- DRTM (測量的動態信任根目錄)
- HVCI (如果程式代碼完整性,則強制執行 Hypervisor)
- 側邊通道風險降低
- SMB 簽署
- SMB 叢集加密
重要
Enable AzsSecurity和Disable AzsSecurityCmdlet 只能在新的部署或升級的部署上使用,之後安全性基準會正確套用至節點。 如需詳細資訊,請參閱 在升級 Azure 本機之後管理安全性。
下表說明支援的安全性功能、是否支援漂移控制,以及是否需要重新啟動才能實作此功能。
| 名稱 | 功能 | 支援漂移控制 | 需要重新開機 |
|---|---|---|---|
| 使 |
虛擬化型安全性 (VBS) | Yes | Yes |
| 使 |
Credential Guard | Yes | Yes |
| 使 停用 |
測量的動態信任根 (DRTM) | Yes | Yes |
| 使 停用 |
Hypervisor 保護的程式代碼完整性 (HVCI) | Yes | Yes |
| 使 停用 |
側邊通道風險降低 | Yes | Yes |
| 使 停用 |
SMB 簽署 | Yes | Yes |
| 使 停用 |
SMB 叢集加密 | 否,叢集設定 | No |