Sicherheitsfeatures für Azure Stack HCI, Version 23H2

Gilt für: Azure Stack HCI, Version 23H2

Azure Stack HCI ist ein Standardprodukt mit mehr als 300 aktivierten Sicherheitseinstellungen. Die Standardsicherheitseinstellungen bieten eine konsistente Sicherheitsbaseline, um sicherzustellen, dass Geräte in einem bekannten guten Zustand gestartet werden.

Dieser Artikel bietet eine kurze konzeptionelle Übersicht über die verschiedenen Sicherheitsfeatures, die Ihrem Azure Stack HCI-Cluster zugeordnet sind. Zu den Features gehören Sicherheitsstandards, Windows Defender für die Anwendungssteuerung (WDAC), Volumeverschlüsselung über BitLocker, Geheimnisrotation, lokale integrierte Benutzerkonten, Microsoft Defender für Cloud und vieles mehr.

Standardwerte für die Sicherheit

Ihre Azure Stack HCI verfügt standardmäßig über aktivierte Sicherheitseinstellungen, die eine konsistente Sicherheitsbaseline, ein Baselineverwaltungssystem und einen Driftsteuerungsmechanismus bieten.

Sie können die Sicherheitsbaseline- und Gesicherten Kerneinstellungen sowohl während der Bereitstellung als auch während der Laufzeit überwachen. Sie können die Driftsteuerung auch während der Bereitstellung deaktivieren, wenn Sie Sicherheitseinstellungen konfigurieren.

Wenn die Driftsteuerung angewendet wird, werden die Sicherheitseinstellungen alle 90 Minuten aktualisiert. Dieses Aktualisierungsintervall stellt die Korrektur aller Änderungen aus dem gewünschten Zustand sicher. Kontinuierliche Überwachung und Autoremediation ermöglichen einen konsistenten und zuverlässigen Sicherheitsstatus während des gesamten Lebenszyklus des Geräts.

Sichere Baseline in Azure Stack HCI:

  • Verbessert den Sicherheitsstatus, indem ältere Protokolle und Verschlüsselungen deaktiviert werden.
  • Reduziert OPEX mit einem integrierten Driftschutzmechanismus, der eine konsistente überwachung über die Azure Arc Hybrid Edge-Baseline ermöglicht.
  • Ermöglicht es Ihnen, den CIS-Benchmark (Center for Internet Security) und den DISA-Sicherheitsleitfaden (Security Technical Implementation Guide, STIG) für das Betriebssystem und die empfohlene Sicherheitsbaseline zu erfüllen.

Weitere Informationen finden Sie unter Verwalten von Sicherheitsstandarden in Azure Stack HCI.

Windows Defender Application Control

WDAC ist eine softwarebasierte Sicherheitsebene, die die Angriffsfläche reduziert, indem eine explizite Liste von Software erzwingt wird, die ausgeführt werden darf. WDAC ist standardmäßig aktiviert und schränkt die Anwendungen und den Code ein, die Sie auf der Kernplattform ausführen können. Weitere Informationen finden Sie unter Verwalten Windows Defender Anwendungssteuerung für Azure Stack HCI, Version 23H2.

WDAC bietet zwei Standard Betriebsmodi: Erzwingungsmodus und Überwachungsmodus. Im Erzwingungsmodus wird nicht vertrauenswürdiger Code blockiert, und Ereignisse werden aufgezeichnet. Im Überwachungsmodus darf nicht vertrauenswürdiger Code ausgeführt werden, und Ereignisse werden aufgezeichnet. Weitere Informationen zu WDAC-bezogenen Ereignissen finden Sie unter Liste der Ereignisse.

Wichtig

Führen Sie WDAC immer im Erzwingungsmodus aus, um das Sicherheitsrisiko zu minimieren.

Informationen zum WDAC-Richtlinienentwurf

Microsoft bietet basissignierte Richtlinien in Azure Stack HCI sowohl für den Erzwingungsmodus als auch für den Überwachungsmodus. Darüber hinaus enthalten Richtlinien einen vordefinierten Satz von Plattformverhaltensregeln und Blockregeln, die auf die Anwendungssteuerungsebene angewendet werden sollen.

Zusammensetzung der Basisrichtlinien

Azure Stack HCI-Basisrichtlinien umfassen die folgenden Abschnitte:

  • Metadaten: Die Metadaten definieren eindeutige Eigenschaften der Richtlinie, z. B. Den Richtliniennamen, die Version, die GUID und mehr.
  • Optionsregeln: Diese Regeln definieren das Richtlinienverhalten. Zusätzliche Richtlinien können sich nur von einem kleinen Satz der Optionsregeln unterscheiden, die an ihre Basisrichtlinie gebunden sind.
  • Regeln zulassen und verweigern: Diese Regeln definieren Codevertrauensgrenzen. Regeln können auf Herausgebern, Signern, Dateihash und mehr basieren.

Optionsregeln

In diesem Abschnitt wurden die Optionsregeln erläutert, die von der Basisrichtlinie aktiviert werden.

Für die erzwungene Richtlinie sind standardmäßig die folgenden Optionsregeln aktiviert:

Optionsregel Wert
Aktiviert UMCI
Erforderlich WHQL
Aktiviert Zusätzliche Richtlinien zulassen
Aktiviert Widerrufen abgelaufen als ohne Vorzeichen
Disabled Flight Signing
Aktiviert Systemintegritätsrichtlinie ohne Vorzeichen (Standard)
Aktiviert Sicherheit für dynamischen Code
Aktiviert Menü "Erweiterte Startoptionen"
Disabled Skripterzwingung
Aktiviert Verwalteter Installer
Aktiviert Updaterichtlinie Kein Neustart

Die Überwachungsrichtlinie fügt der Basisrichtlinie die folgenden Optionsregeln hinzu:

Optionsregel Wert
Aktiviert Überwachungsmodus (Standard)

Weitere Informationen finden Sie in der vollständigen Liste der Optionsregeln.

Regeln zulassen und verweigern

Durch Zulassen von Regeln in der Basisrichtlinie können alle microsoft-Komponenten, die vom Betriebssystem und den Cloudbereitstellungen bereitgestellt werden, vertrauenswürdig sein. Ablehnungsregeln blockieren Benutzermodusanwendungen und Kernelkomponenten, die für den Sicherheitsstatus der Lösung als unsicher gelten.

Hinweis

Die Regeln Zulassen und Verweigern in der Basisrichtlinie werden regelmäßig aktualisiert, um die Produktfunktionalität zu verbessern und den Schutz Ihrer Lösung zu maximieren.

Weitere Informationen zu Deny-Regeln finden Sie unter:

BitLocker-Verschlüsselung

Die Verschlüsselung ruhender Daten ist für Datenvolumes aktiviert, die während der Bereitstellung erstellt wurden. Diese Datenvolumes umfassen sowohl Infrastrukturvolumes als auch Workloadvolumes. Wenn Sie Ihren Cluster bereitstellen, können Sie die Sicherheitseinstellungen ändern.

Standardmäßig ist die Verschlüsselung ruhender Daten während der Bereitstellung aktiviert. Es wird empfohlen, die Standardeinstellung zu akzeptieren.

Nachdem Azure Stack HCI erfolgreich bereitgestellt wurde, können Sie BitLocker-Wiederherstellungsschlüssel abrufen. Sie müssen BitLocker-Wiederherstellungsschlüssel an einem sicheren Ort außerhalb des Systems speichern.

Weitere Informationen zur BitLocker-Verschlüsselung finden Sie unter:

Lokale integrierte Benutzerkonten

In diesem Release sind die folgenden lokalen integrierten Benutzer, die mit und RID 501 verknüpft RID 500 sind, auf Ihrem Azure Stack HCI-System verfügbar:

Name im anfänglichen Betriebssystemimage Name nach der Bereitstellung Standardmäßig aktiviert BESCHREIBUNG
Administrator ASBuiltInAdmin True Integriertes Konto für die Verwaltung des Computers/der Domäne.
Gast ASBuiltInGuest False Integriertes Konto für den Gastzugriff auf den Computer/die Domäne, geschützt durch den Driftsteuerungsmechanismus der Sicherheitsbaseline.

Wichtig

Es wird empfohlen, ein eigenes lokales Administratorkonto zu erstellen und das bekannte RID 500 Benutzerkonto zu deaktivieren.

Erstellung und Drehung von Geheimnissen

Der Orchestrator in Azure Stack HCI erfordert mehrere Komponenten, um eine sichere Kommunikation mit anderen Infrastrukturressourcen und -diensten zu gewährleisten. Allen Diensten, die im Cluster ausgeführt werden, sind Authentifizierungs- und Verschlüsselungszertifikate zugeordnet.

Um die Sicherheit zu gewährleisten, implementieren wir interne Funktionen zur Erstellung und Rotation von Geheimnissen. Wenn Sie Ihre Clusterknoten überprüfen, werden mehrere Zertifikate angezeigt, die unter dem Pfad LocalMachine/Personal certificate store (Cert:\LocalMachine\My) erstellt wurden.

In diesem Release sind die folgenden Funktionen aktiviert:

  • Die Möglichkeit, Zertifikate während der Bereitstellung und nach Clusterskalierungsvorgängen zu erstellen.
  • Automatisierte automatischeRotation, bevor Zertifikate ablaufen, und eine Option zum Rotieren von Zertifikaten während der Lebensdauer des Clusters.
  • Die Möglichkeit, zu überwachen und zu warnen, ob Zertifikate noch gültig sind.

Hinweis

Die Erstellungs- und Rotationsvorgänge für Geheimnisse dauern je nach Größe des Clusters etwa zehn Minuten.

Weitere Informationen finden Sie unter Verwalten der Geheimnisrotation.

Syslog-Weiterleitung von Sicherheitsereignissen

Für Kunden und Organisationen, die ein eigenes lokales SIEM-System (Security Information and Event Management) benötigen, enthält Azure Stack HCI Version 23H2 einen integrierten Mechanismus, mit dem Sie sicherheitsbezogene Ereignisse an ein SIEM weiterleiten können.

Azure Stack HCI verfügt über eine integrierte Syslog-Weiterleitung, die nach der Konfiguration syslog-Nachrichten generiert, die in RFC3164 definiert sind, mit der Nutzlast im Common Event Format (CEF).

Das folgende Diagramm veranschaulicht die Integration von Azure Stack HCI mit einem SIEM. Alle Überwachungen, Sicherheitsprotokolle und Warnungen werden auf jedem Host gesammelt und über syslog mit der CEF-Nutzlast verfügbar gemacht.

Im folgenden Diagramm wird die Integration von Azure Stack HCI in ein externes Siem-System (Security Information and Event Management) beschrieben.

Syslog-Weiterleitungs-Agents werden auf jedem Azure Stack HCI-Host bereitgestellt, um Syslog-Nachrichten an den kundenseitig konfigurierten Syslog-Server weiterzuleiten. Syslog-Weiterleitungs-Agents arbeiten unabhängig voneinander, können aber gemeinsam auf einem der Hosts verwaltet werden.

Die Syslog-Weiterleitung in Azure Stack HCI unterstützt verschiedene Konfigurationen, je nachdem, ob die Syslog-Weiterleitung mit TCP oder UDP erfolgt, ob die Verschlüsselung aktiviert ist oder nicht und ob eine unidirektionale oder bidirektionale Authentifizierung vorhanden ist.

Weitere Informationen finden Sie unter Verwalten der Syslogweiterleitung.

Microsoft Defender für Cloud (Vorschauversion)

Microsoft Defender für Cloud ist eine Sicherheitsstatusverwaltungslösung mit erweiterten Bedrohungsschutzfunktionen. Es bietet Ihnen Tools, um die Sicherheits-status Ihrer Infrastruktur zu bewerten, Workloads zu schützen, Sicherheitswarnungen auszulösen und spezifischen Empfehlungen zur Behebung von Angriffen und zukünftigen Bedrohungen zu folgen. Sie führt alle diese Dienste mit hoher Geschwindigkeit in der Cloud durch automatische Bereitstellung und Schutz mit Azure-Diensten ohne Bereitstellungsaufwand aus.

Mit dem grundlegenden Defender für Cloud-Plan erhalten Sie Empfehlungen, wie Sie den Sicherheitsstatus Ihres Azure Stack HCI-Systems ohne zusätzliche Kosten verbessern können. Mit dem kostenpflichtigen Defender für Server-Plan erhalten Sie erweiterte Sicherheitsfeatures, einschließlich Sicherheitswarnungen für einzelne Server und Arc-VMs.

Weitere Informationen finden Sie unter Verwalten der Systemsicherheit mit Microsoft Defender für Cloud (Vorschau).

Nächste Schritte