Compartilhar via

Gerenciar a segurança após a atualização do Azure Local

  • Artigo

Aplica-se a: Azure Local 2311.2 e posterior

Este artigo descreve como gerenciar as configurações de segurança em um Azure Local que foi atualizado da versão 22H2 para a versão 23H2.

Pré-requisitos

Antes de começar, verifique se você tem acesso a um sistema Azure Local, versão 23H2, que foi atualizado da versão 22H2.

Alterações de segurança pós-atualização

Quando você atualiza o Azure Local da versão 22H2 para a versão 23H2, a postura de segurança do sistema não é alterada. É altamente recomendável que você atualize as configurações de segurança após a atualização para se beneficiar da segurança aprimorada.

Aqui estão os benefícios de atualizar as configurações de segurança:

  • Melhora a postura de segurança desabilitando protocolos e cifras herdados e fortalecendo sua implantação.
  • Reduz as despesas operacionais (OpEx) com um mecanismo interno de proteção contra desvios para monitoramento consistente em escala por meio da linha de base do Azure Arc Hybrid Edge.
  • Permite que você atenda de perto aos benchmarks do Center for Internet Security (CIS) e aos requisitos do Guia de Implementação Técnica de Segurança (STIG) da Defense Information System Agency (DISA) para o sistema operacional.

Faça estas alterações de alto nível após a conclusão da atualização:

  1. Aplique a linha de base de segurança.
  2. Aplique criptografia em repouso.
  3. Ative o Controle de Aplicativos.

Cada uma dessas etapas é descrita mais detalhadamente nas seções a seguir.

Aplicar linhas de base de segurança

Uma nova implantação do Azure Local apresenta dois documentos de linhas de base injetados pela camada de gerenciamento de segurança, enquanto o cluster atualizado não.

Importante

Depois de aplicar os documentos de linha de base de segurança, um novo mecanismo é usado para aplicar e manter as configurações de linha de base de segurança.

  1. Se os servidores herdarem as configurações de linha de base por meio de mecanismos como GPO, DSC ou scripts, recomendamos que você:

    • Remova essas configurações duplicadas desses mecanismos.
    • Como alternativa, depois de aplicar a linha de base de segurança, desative o mecanismo de controle de desvio.

    A nova postura de segurança de seus servidores combinará as configurações anteriores, as novas configurações e as configurações sobrepostas com valores atualizados.

    Observação

    A Microsoft testa e disponibiliza as configurações de segurança do Azure Local, versão 23H2. É altamente recomendável que você mantenha essas configurações. O uso de configurações personalizadas pode levar à instabilidade do sistema, incompatibilidade com os novos cenários de produtos e pode exigir testes extensivos e solução de problemas de sua parte.

  2. Ao executar os comandos a seguir, você descobrirá que os documentos não estão no lugar. Esses cmdlets não retornarão nenhuma saída.

    Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

  3. Para habilitar as linhas de base, vá para cada um dos nós que você atualizou. Execute os seguintes comandos local ou remotamente usando uma conta de administrador privilegiado:

    Start-AzSSecuritySettingsConfiguration
Start-AzSSecuredCoreConfiguration

  4. Reinicialize os nós em uma sequência adequada para que as novas configurações entrem em vigor.

Confirme o status das linhas de base de segurança

Após a reinicialização, execute novamente os cmdlets para confirmar o status das linhas de base de segurança:

Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration

Você obterá uma saída para cada cmdlet com as informações de linha de base.

Aqui está um exemplo da saída da linha de base:

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

Habilitar criptografia em repouso

Durante a atualização, a Microsoft detecta se os nós do sistema têm o BitLocker habilitado. Se o BitLocker estiver habilitado, você será solicitado a suspendê-lo. Se você habilitou o BitLocker anteriormente em seus volumes, retome a proteção. Não são necessárias outras etapas.

Para verificar o status da criptografia em seus volumes, execute os seguintes comandos:

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

Se você precisar habilitar o BitLocker em qualquer um dos seus volumes, consulte Gerenciar a criptografia do BitLocker no Azure Local.

Ativar o controle de aplicativos

O controle de aplicativos para empresas (anteriormente conhecido como Windows Defender Application Control ou WDAC) fornece uma ótima camada de defesa contra a execução de código não confiável.

Depois de atualizar para a versão 23H2, considere habilitar o Controle de Aplicativos. Isso pode ser perturbador se as medidas necessárias não forem tomadas para a validação adequada do software de terceiros existente já existente nos servidores.

Para novas implantações, o Controle de Aplicativos é habilitado no modo Imposto (bloqueando binários não confiáveis), enquanto para sistemas atualizados, recomendamos que você siga estas etapas:

  1. Habilite o Controle de Aplicativos no modo de Auditoria (supondo que um software desconhecido possa estar presente).

  2. Monitore eventos de Controle de Aplicativos.

  3. Crie as políticas complementares necessárias.

  4. Repita as etapas #2 e #3 conforme necessário até que nenhum outro evento de auditoria seja observado. Alterne para o modo Imposto .

    Aviso

    A falha ao criar as políticas de AppControl necessárias para habilitar software adicional de terceiros impedirá que esse software seja executado.

Para obter instruções sobre como habilitar no modo Imposto , consulte Gerenciar o Windows Defender Application Control para Azure Local.

Próximas etapas