Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Implementaciones hiperconvergidas de Azure Local
En este artículo se describe cómo administrar los valores predeterminados de seguridad para su instancia de Azure Local. También puede modificar la configuración de seguridad protegida y de control de deriva definida durante la implementación para que su dispositivo se inicie en un estado bueno conocido.
Requisitos previos
Antes de empezar, asegúrese de que tiene acceso a un sistema local de Azure implementado, registrado y conectado a Azure.
Ver la configuración predeterminada de seguridad en el portal Azure
Para ver la configuración predeterminada de seguridad en el portal Azure, asegúrese de haber aplicado la iniciativa MCSB. Para obtener más información, consulte Aplicación de la iniciativa Microsoft Cloud Security Benchmark.
Use la configuración predeterminada de seguridad para administrar la seguridad del sistema, el control de desfase y la configuración de núcleo seguro en el sistema.
Vea el estado de firma de SMB en la pestaña Protección de datos>Protección de red. La firma de SMB permite firmar digitalmente el tráfico SMB entre una instancia local de Azure y otros sistemas.
Ver el cumplimiento de la línea de base de seguridad en el portal Azure
Después de inscribir la instancia local de Azure con Microsoft Defender para la nube o asignar la directiva integrada , las máquinas Windows deben cumplir los requisitos de la línea de base de seguridad de proceso de Azure, se genera un informe de cumplimiento. Para obtener la lista completa de reglas a las que se compara la instancia local de Azure, consulte Línea de base de seguridad de Windows.
En el caso de una máquina host local de Azure, cuando se cumplen todos los requisitos de hardware para secured-core, la puntuación de cumplimiento predeterminada es 99% de las reglas son compatibles.
En la tabla siguiente se explican las reglas que no son conformes y el motivo de la diferencia actual:
Nota:
A partir de la versión 2604 de Azure Local, las dos reglas Inicio de sesión interactivo de la tabla siguiente (texto del mensaje y título del mensaje) se establecen con los valores predeterminados en la configuración de referencia de seguridad y quedan protegidas por el control de desviaciones, por lo que ya no se notifican como no conformes. Para personalizar cualquiera de los valores, primero deshabilite el control de desfase. En versiones anteriores, esta configuración no se administraba mediante la línea base.
| Nombre de la regla | Estado de cumplimiento | Motivo | Comentarios |
|---|---|---|---|
| Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión | Compatible en 2604+; de lo contrario, no es compatible | Advertencia - ""es igual a"" | Consulte la nota anterior. |
| Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión | Compatible en 2604+; de lo contrario, no es compatible | Advertencia - "" es igual a "" | Consulte la nota anterior. |
| Longitud mínima de contraseña | No compatible | Crítico: siete es menor que el valor mínimo de 14. | Esto debe ser definido por el cliente, no tiene control de deriva habilitado para permitir que esta configuración se alinee con las políticas de su organización. |
Corregir el cumplimiento de las reglas
Para corregir el cumplimiento de las reglas, ejecute los siguientes comandos o use cualquier otra herramienta que prefiera. En Azure Local, versión 2604 y posteriores, el aviso legal ya está configurado por la línea base y protegido por el control de desviaciones; omita el paso 1, a menos que tenga previsto personalizarlo (y primero deshabilite el control de desviaciones).
Aviso legal: cree un valor personalizado para el aviso legal en función de las necesidades y directivas de su organización. Ejecute los comandos siguientes:
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice" Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"Longitud mínima de contraseña: establezca la directiva de longitud mínima de contraseña en 14 caracteres en la máquina local de Azure. El valor por defecto es 7, y cualquier valor por debajo de 14 sigue siendo marcado por la política de línea de base de monitorización. Ejecute los comandos siguientes:
net accounts /minpwlen:14
Administrar valores predeterminados de seguridad con PowerShell
Con la protección contra desvíos activada, solo puede modificar la configuración de seguridad no protegida. Para modificar la configuración de seguridad protegida que forma la línea de base, primero debe desactivar la protección contra desfases.
Visualización y descarga de la configuración de seguridad
Use la tabla siguiente para ver y descargar la lista completa de la configuración de seguridad en función de la versión de software que está ejecutando.
| Versión de la solución local de Azure | Ejecución de la versión del sistema operativo local de Azure | Vínculo de descarga para el archivo CSV de configuración |
|---|---|---|
| Implementaciones que ejecutan la versión 2505 y anteriores | Ejecución de la compilación del SO 25398.xxxx y unido a un dominio | Descargar línea base de seguridad |
| Implementaciones que ejecutan la versión 2506 y posteriores | Ejecución de la compilación del SO 26100.xxxx y unido a un dominio | Descargar línea base de seguridad |
| Implementaciones que ejecutan la versión 2506 y posteriores | Ejecución de la compilación del SO 26100.xxxx y no unido a un dominio (también conocido como AD-less) | Descargar línea base de seguridad |
Modificación de los valores predeterminados de seguridad
Comience con la línea de base de seguridad inicial y, a continuación, modifique el control de desvíos y los valores de seguridad protegidos definidos durante la implementación.
Habilitar el control de desfase
Siga estos pasos para habilitar el control de desfase:
Conéctese a su máquina Azure Local.
Ejecute el siguiente cmdlet:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local : afecta solo al nodo local.
- Clúster : afecta a todos los nodos del clúster mediante el orquestador.
Deshabilite el control de desfase
Siga estos pasos para deshabilitar el control de desfase:
Conéctese a su máquina Azure Local.
Ejecute el siguiente cmdlet:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Local : afecta solo al nodo local.
- Clúster : afecta a todos los nodos del clúster mediante el orquestador.
Importante
Si desactiva el control de desfase, se podrá modificar la configuración protegida. Si vuelve a habilitar el control de desfase, se sobrescribirán todos los cambios que haya realizado en la configuración protegida.
Configure los parámetros de seguridad durante la implementación
Como parte de la implementación, puede modificar el control de deriva y otros parámetros de seguridad que constituyen la línea de base de seguridad en su clúster.
En la tabla siguiente se describen los ajustes de seguridad que se pueden configurar en su instancia de Azure Local durante la implementación.
| Área de características | Característica | Descripción | ¿Admite control de desfase? |
|---|---|---|---|
| Gobernanza | Línea base de seguridad | Mantiene los valores predeterminados de seguridad en cada nodo. Ayuda a proteger contra cambios. | Sí |
| Protección de credenciales | Windows Defender Credential Guard | Utiliza la seguridad basada en la virtualización para aislar los secretos de los ataques de robo de credenciales. | Sí |
| Control de la aplicación | Control de aplicación de Windows Defender | Controla qué controladores y aplicaciones pueden ejecutarse directamente en cada nodo. | No |
| Cifrado de datos en reposo | BitLocker para la unidad de arranque del sistema operativo | Cifra el volumen de arranque del SO en cada nodo. | No |
| Cifrado de datos en reposo | BitLocker para volúmenes de datos | Cifra los volúmenes compartidos en clúster (CSV) en este sistema | No |
| Protección de datos en tránsito | Firma del tráfico SMB externo | Firma el tráfico SMB entre este sistema y otros para ayudar a evitar ataques de retransmisión. | Sí |
| Protección de datos en tránsito | Cifrado SMB para el tráfico en clúster | Cifra el tráfico entre los nodos del sistema (en su red de almacenamiento). | No |
Modificación de la configuración de seguridad después de la implementación
Una vez finalizada la implementación, puede utilizar PowerShell para modificar la configuración de seguridad para mantener el control del desfase. Algunas funciones requieren un reinicio para surtir efecto.
Propiedades del cmdlet de PowerShell
Las siguientes propiedades del cmdlet son para el módulo AzureStackOSConfigAgent . El módulo se instala durante la implementación.
Get-AzsSecurity-Scope: <Local | PerNode | TodosLosNodos | Clúster>- Local : proporciona un valor booleano (true/False) en el nodo local. Puede ejecutarse desde una sesión PowerShell remota normal.
- PerNode : proporciona un valor booleano (true/False) por nodo.
-
Informe - requiere que se utilice CredSSP o una máquina local de Azure utilizando una conexión mediante el protocolo de escritorio remoto (RDP).
- AllNodes: proporciona un valor booleano (true/False) calculado en todos los nodos.
- Cluster - Proporciona un valor booleano del almacén ECE. Interactúa con el orquestador y actúa sobre todos los nodos del clúster.
Enable-AzsSecurity-Scope< Local | Clúster>Disable-AzsSecurity-Scope< Local | Clúster>FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Control de desfase
- Protector de Credenciales
- VBS (Virtualization Based Security): Solo soportamos el comando enable.
- DRTM (Raíz dinámica segura para medición)
- HVCI (integridad de código protegida por hipervisor)
- Mitigación del canal lateral
- Firma SMB
- Cifrado de clúster SMB
Importante
Enable AzsSecurityyDisable AzsSecuritycmdlets solo están disponibles en nuevas implementaciones o en implementaciones actualizadas después de que las líneas de base de seguridad se hayan aplicado correctamente a los nodos. Para más información, consulte Administración de la seguridad después de actualizar Azure Local.
La siguiente tabla documenta las funciones de seguridad compatibles, si admiten el control de desvíos y si es necesario reiniciar para implementar la función.
| Nombre | Característica | Admite control de desfase | Es necesario reiniciar |
|---|---|---|---|
| Habilitar |
Seguridad basada en virtualización (VBS) | Sí | Sí |
| Habilitar |
Protector de Credenciales | Sí | Sí |
| Habilitar Deshabilitar |
Raíz dinámica segura para medición (DRTM) | Sí | Sí |
| Habilitar Deshabilitar |
Integridad de código protegido por hipervisor (HVCI) | Sí | Sí |
| Habilitar Deshabilitar |
Mitigación del canal lateral | Sí | Sí |
| Habilitar Deshabilitar |
Firma SMB | Sí | Sí |
| Habilitar Deshabilitar |
Cifrado de clúster SMB | No, configuración de clúster | No |