Gerenciar padrões de segurança para Azure Stack HCI, versão 23H2
Aplica-se a: Azure Stack HCI, versão 23H2
Este artigo descreve como gerenciar as configurações de segurança padrão para o cluster do Azure Stack HCI. Você também pode modificar o controle de desvio e as configurações de segurança protegidas definidas durante a implantação para que seu dispositivo seja iniciado em um bom estado conhecido.
Pré-requisitos
Antes de começar, verifique se você tem acesso a um sistema Azure Stack HCI, versão 23H2 implantado, registrado e conectado ao Azure.
Exibir configurações padrão de segurança no portal do Azure
Para exibir as configurações padrão de segurança no portal do Azure, verifique se você aplicou a iniciativa MCSB. Para obter mais informações, consulte Aplicar a iniciativa Microsoft Cloud Security Benchmark.
Você pode usar as configurações padrão de segurança para gerenciar a segurança do cluster, o controle de desvios e as configurações do servidor núcleo protegido no cluster.
Exiba o status de assinatura SMB na guia Proteção de rede de proteções de>dados. A assinatura SMB permite que você assine digitalmente o tráfego SMB entre um sistema Azure Stack HCI e outros sistemas.
Exibir a conformidade da linha de base de segurança no portal do Azure
Depois de registrar seu sistema Azure Stack HCI com o Microsoft Defender para Nuvem ou atribuir a política interna que os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure, um relatório de conformidade é gerado. Para obter a lista completa de regras com as quais seu servidor Azure Stack HCI é comparado, consulte Linha de base de segurança do Windows.
Para o servidor Azure Stack HCI, quando todos os requisitos de hardware para o núcleo seguro são atendidos, a pontuação de conformidade é 281 de 288 regras, ou seja, 281 de 288 regras estão em conformidade.
A tabela a seguir explica as regras que não estão em conformidade e a lógica da lacuna atual:
| Nome da regra | Esperado | Real | Lógica | Comentários |
|---|---|---|---|---|
| Logon interativo: texto de mensagem para usuários tentando fazer logon | Esperado: | Real: | Operador: NOTAS |
Esperamos que você defina esse valor sem nenhum controle de desvio. |
| Logon interativo: Título da mensagem para usuários tentando fazer logon | Esperado: | Real: | Operador: NOTAS |
Esperamos que você defina esse valor sem nenhum controle de desvio. |
| Comprimento mínimo da senha | Esperado: 14 | Real: 0 | Operador: GRANDE IMPORTÂNCIA |
Esperamos que você defina esse valor sem nenhum controle de desvio que se alinhe à política da sua organização. |
| Impedir a recuperação de metadados do dispositivo da Internet | Esperado: 1 | Real: (nulo) | Operador: EQUALS |
Esse controle não se aplica ao Azure Stack HCI. |
| Impede que usuários e aplicativos acessem sites perigosos | Esperado: 1 | Real: (nulo) | Operador: EQUALS |
Esse controle faz parte das proteções do Windows Defender, não habilitado por padrão. Você pode avaliar se deseja habilitar. |
| Caminhos UNC protegidos – NETLOGON | Esperado: RequireMutualAuthentication=1 RequireIntegrity=1 |
Real: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operador: EQUALS |
O Azure Stack HCI é mais restritivo. Essa regra pode ser ignorada com segurança. |
| Caminhos UNC protegidos – SYSVOL | Esperado: RequireMutualAuthentication=1 RequireIntegrity=1 |
Real: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operador: EQUALS |
O Azure Stack HCI é mais restritivo. Essa regra pode ser ignorada com segurança. |
Gerenciar padrões de segurança com o PowerShell
Com a proteção contra desvios de variações ativada, você só pode modificar as configurações de segurança desprotegidas. Para modificar as configurações de segurança protegidas que formam a linha de base, você deve primeiro desabilitar a proteção contra desvios. Para exibir e baixar a lista completa de configurações de segurança, consulte Linha de base de segurança.
Modificar padrões de segurança
Comece com a linha de base de segurança inicial e, em seguida, modifique o controle de descompasso e as configurações de segurança protegidas definidas durante a implantação.
Ativar controle de desvio
Use as seguintes etapas para ativar o controle de desvio:
Conecte-se ao nó do Azure Stack HCI.
Execute o cmdlet a seguir:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local - Afeta apenas o nó local.
- Cluster - Afeta todos os nós no cluster usando o orquestrador.
Desativar o controle de desvio
Use as seguintes etapas para desativar o controle de desvio:
Conecte-se ao nó do Azure Stack HCI.
Execute o cmdlet a seguir:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local - Afeta apenas o nó local.
- Cluster - Afeta todos os nós no cluster usando o orquestrador.
Importante
Se você desativar o controle de desvio, as configurações protegidas poderão ser modificadas. Se você ativar o controle de desvio novamente, todas as alterações feitas nas configurações protegidas serão substituídas.
Definir configurações de segurança durante a implantação
Como parte da implantação, você pode modificar o controle de desvio e outras configurações de segurança que constituem a linha de base de segurança no cluster.
A tabela a seguir descreve as configurações de segurança que podem ser definidas no cluster do Azure Stack HCI durante a implantação.
| Área do recurso | Recurso | Descrição | Suporta controle de desvio? |
|---|---|---|---|
| Governança | Linha de base de segurança | Mantém os padrões de segurança em cada servidor. Ajuda a proteger contra alterações. | Sim |
| Proteção de credenciais | Guarda de credenciais do Windows Defender | Usa segurança baseada em virtualização para isolar segredos de ataques de roubo de credenciais. | Sim |
| Controle do aplicativo | Controle de aplicativos do Windows Defender | Controla quais drivers e aplicativos podem ser executados diretamente em cada servidor. | Não |
| Criptografia de dados em repouso | BitLocker para volume de inicialização do sistema operacional | Criptografa o volume de inicialização do sistema operacional em cada servidor. | Não |
| Criptografia de dados em repouso | BitLocker para volumes de dados | Criptografa volumes compartilhados de cluster (CSVs) neste cluster | Não |
| Proteção de dados em trânsito | Assinatura para tráfego SMB externo | Assina o tráfego SMB entre este sistema e outros para ajudar a evitar ataques de retransmissão. | Sim |
| Proteção de dados em trânsito | Criptografia SMB para tráfego no cluster | Criptografa o tráfego entre servidores no cluster (em sua rede de armazenamento). | Não |
Modificar configurações de segurança após a implantação
Após a conclusão da implantação, você pode usar o PowerShell para modificar as configurações de segurança, mantendo o controle de desvios. Alguns recursos exigem uma reinicialização para entrar em vigor.
Propriedades do cmdlet do PowerShell
As propriedades de cmdlet a seguir são para o módulo AzureStackOSConfigAgent . O módulo é instalado durante a implantação.
Get-AzsSecurity-Escopo: <Local | PerNode | Todos os nós | Cluster>- Local - Fornece valor booleano (verdadeiro/Falso) no nó local. Pode ser executado em uma sessão remota regular do PowerShell.
- PerNode - Fornece valor booleano (verdadeiro/Falso) por nó.
- Relatório – requer o CredSSP ou um servidor Azure Stack HCI usando uma conexão RDP (protocolo de área de trabalho remota).
- AllNodes – Fornece valor booleano (verdadeiro/Falso) calculado entre nós.
- Cluster – Fornece valor booleano do armazenamento ECE. Interage com o orquestrador e atua em todos os nós do cluster.
Enable-AzsSecurity-Escopo <Local | Cluster>Disable-AzsSecurity-Escopo <Local | Cluster>- Nome do recurso - <CredentialGuard | Controle de Deriva | DRTM | HVCI | Mitigação de Canal Lateral | SMBEncryption | SMBSigning | EBF>
- Controle de deriva
- Credential Guard
- VBS (Virtualization Based Security) - Oferecemos suporte apenas ao comando enable.
- DRTM (Raiz Dinâmica de Confiança para Medição)
- HVCI (hipervisor imposto se a integridade do código)
- Mitigação de canal lateral
- Assinatura SMB
- Criptografia de cluster SMB
- Nome do recurso - <CredentialGuard | Controle de Deriva | DRTM | HVCI | Mitigação de Canal Lateral | SMBEncryption | SMBSigning | EBF>
A tabela a seguir documenta os recursos de segurança com suporte, se eles dão suporte ao controle de descompasso e se uma reinicialização é necessária para implementar o recurso.
| Nome | Recurso | Suporta controle de desvio | Reinicialização necessária |
|---|---|---|---|
| Habilitar |
Segurança baseada em virtualização (VBS) | Sim | Sim |
| Habilitar |
Credential Guard | Sim | Sim |
| Habilitar Desabilitar |
Raiz dinâmica de confiança para medição (DRTM) | Sim | Sim |
| Habilitar Desabilitar |
HVCI (integridade de código protegida por hipervisor) | Sim | Sim |
| Habilitar Desabilitar |
Mitigação de canal lateral | Sim | Sim |
| Habilitar Desabilitar |
Assinatura de SMB | Sim | Sim |
| Habilitar Desabilitar |
Criptografia de cluster SMB | Não, configuração de cluster | Não |
Próximas etapas
- Entenda a criptografia do BitLocker.