在升級 Azure 本機之後管理安全性
適用於:Azure Local 2311.2 和更新版本
本文說明如何管理從 Azure Stack HCI 版本 22H2 升級的 Azure 本地系統之安全性設定。
必要條件
開始之前,請確定您可以存取從 Azure Stack HCI 版本 22H2 升級的 Azure 本機系統。
升級后的安全性變更
當您從 Azure Stack HCI 版本 22H2 升級系統時,系統的安全性狀態不會變更。 強烈建議您在升級之後更新安全性設定,以受益於增強的安全性。
以下是更新安全性設定的優點:
- 藉由停用舊版通訊協定和加密,並強化部署來改善安全性狀態。
- 使用內建漂移保護機制減少作業費用 (OpEx),以透過 Azure Arc Hybrid Edge 基準進行大規模監視。
- 可讓您密切符合 OS 的因特網安全性中心 (CIS) 基準檢驗和防禦資訊系統機構 (DISA) 安全性技術實作指南 (STIG) 需求。
在升級完成之後進行這些高階變更:
- 套用安全性基準。
- 套用待用加密。
- 啟用應用程控。
下列各節將詳細說明這些每一個步驟。
套用安全性基準
Azure Local 的新部署引進了安全性管理層插入的兩個基準檔,而升級的叢集則不會。
重要
套用安全性基準文件之後,會使用新的機制來套用和維護 安全性基準設定。
如果您的伺服器透過 GPO、DSC 或腳稿等機制繼承基準設定,建議您:
- 從這類機制中移除這些重複的設定。
- 或者,套用安全性基準之後, 停用漂移控制機制。
伺服器的新安全性狀態會結合先前的設定、新的設定,以及重疊的設定與更新的值。
注意
Microsoft測試和驗證 Azure 本機安全性設定。 強烈建議您保留這些設定。 使用自定義設定可能會導致系統不穩定、與新產品案例不相容,而且可能需要您進行廣泛的測試和疑難解答。
執行後續命令時,您會發現檔未就緒。 這些 Cmdlet 不會傳回任何輸出。
Get-AzSSecuritySettingsConfiguration Get-AzSSecuredCoreConfiguration若要啟用基準,請移至您升級的每個節點。 使用具特殊權限的系統管理員帳戶在本機或遠端執行下列命令:
Start-AzSSecuritySettingsConfiguration Start-AzSSecuredCoreConfiguration以適當的順序重新啟動節點,讓新設定生效。
確認安全性基準的狀態
重新啟動之後,請重新執行 Cmdlet 以確認安全性基準的狀態:
Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration
您將取得每個 Cmdlet 的輸出,其中包含基準資訊。
以下是基準輸出的範例:
OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"
啟用待用加密
在升級期間,Microsoft會偵測您的系統節點是否已啟用 BitLocker。 如果已啟用 BitLocker,系統會提示您暫停它。 如果您先前已在磁碟區中啟用 BitLocker,請繼續保護。 不需要任何進一步的步驟。
若要確認磁碟區加密的狀態,請執行下列命令:
Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume
如果您需要在任何磁碟區上啟用 BitLocker,請參閱 管理 Azure 本機上的 BitLocker 加密。
啟用應用程控
商務用應用程控(先前稱為 Windows Defender 應用程控或 WDAC)提供絕佳的防禦,以防止執行不受信任的程式碼。
升級系統之後,請考慮啟用應用程控。 如果未採取必要的措施來正確驗證伺服器上現有的現有第三方軟體,這可能會造成干擾。
針對新的部署,應用程控會在強制模式中啟用(封鎖不受信任的二進制檔),而針對升級的系統,建議您遵循下列步驟:
視需要重複步驟 #2 和 #3,直到觀察到任何進一步的稽核事件為止。 切換至 [強制 模式]。
警告
無法建立必要的 AppControl 原則來啟用其他第三方軟體,將會防止該軟體執行。
如需在強制模式中啟用的指示,請參閱管理適用於 Azure 本機的 Windows Defender 應用程控。