在升級 Azure 本機之後管理安全性
適用於:Azure 本機版本 23H2
本文說明如何在從 22H2 版升級至 23H2 版的 Azure 本機上管理安全性設定。
必要條件
開始之前,請確定您可以存取從 22H2 版升級的 Azure Local 版本 23H2 系統。
升級后的安全性變更
當您將 Azure Local 從 22H2 版升級至 23H2 版時,系統的安全性狀態不會變更。 強烈建議您在升級之後更新安全性設定,以受益於增強的安全性。
以下是更新安全性設定的優點:
- 藉由停用舊版通訊協定和加密,並強化部署來改善安全性狀態。
- 使用內建漂移保護機制減少作業費用 (OpEx),以透過 Azure Arc Hybrid Edge 基準進行大規模監視。
- 可讓您密切符合 OS 的因特網安全性中心 (CIS) 基準檢驗和防禦資訊系統機構 (DISA) 安全性技術實作指南 (STIG) 需求。
在升級完成之後進行這些高階變更:
- 套用安全性基準。
- 套用待用加密。
- 啟用應用程控。
下列各節將詳細說明這些每一個步驟。
套用安全性基準
Azure Local 的新部署引進了安全性管理層插入的兩個基準檔,而升級的叢集則不會。
重要
套用安全性基準文件之後,會使用新的機制來套用和維護 安全性基準設定。
如果您的伺服器透過 GPO、DSC 或腳稿等機制繼承基準設定,建議您:
- 從這類機制中移除這些重複的設定。
- 或者,套用安全性基準之後, 停用漂移控制機制。
伺服器的新安全性狀態會結合先前的設定、新的設定,以及重疊的設定與更新的值。
注意
Microsoft測試並虛構 Azure 本機版本 23H2 安全性設定。 強烈建議您保留這些設定。 使用自定義設定可能會導致系統不穩定、與新產品案例不相容,而且可能需要您進行廣泛的測試和疑難解答。
執行後續命令時,您會發現檔未就緒。 這些 Cmdlet 不會傳回任何輸出。
Get-AzSSecuritySettingsConfiguration Get-AzSSecuredCoreConfiguration若要啟用基準,請移至您升級的每個節點。 使用具特殊權限的系統管理員帳戶在本機或遠端執行下列命令:
Start-AzSSecuritySettingsConfiguration Start-AzSSecuredCoreConfiguration以適當的順序重新啟動節點,讓新設定生效。
確認安全性基準的狀態
重新啟動之後,請重新執行 Cmdlet 以確認安全性基準的狀態:
Get-AzSSecuritySettingsConfiguration
Get-AzSSecuredCoreConfiguration
您將取得每個 Cmdlet 的輸出,其中包含基準資訊。
以下是基準輸出的範例:
OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"
啟用待用加密
在升級期間,Microsoft會偵測您的系統節點是否已啟用 BitLocker。 如果已啟用 BitLocker,系統會提示您暫停它。 如果您先前已在磁碟區中啟用 BitLocker,請繼續保護。 不需要任何進一步的步驟。
若要確認磁碟區加密的狀態,請執行下列命令:
Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume
如果您需要在任何磁碟區上啟用 BitLocker,請參閱 管理 Azure 本機上的 BitLocker 加密。
啟用應用程控
商務用應用程控(先前稱為 Windows Defender 應用程控或 WDAC)提供絕佳的防禦,以防止執行不受信任的程式碼。
升級至 23H2 版之後,請考慮啟用應用程控。 如果未採取必要的措施來正確驗證伺服器上現有的現有第三方軟體,這可能會造成干擾。
針對新的部署,應用程控會在強制模式中啟用(封鎖不受信任的二進制檔),而針對升級的系統,建議您遵循下列步驟:
視需要重複步驟 #2 和 #3,直到觀察到任何進一步的稽核事件為止。 切換至 [強制 模式]。
警告
無法建立必要的 AppControl 原則來啟用其他第三方軟體,將會防止該軟體執行。
如需在強制模式中啟用的指示,請參閱管理適用於 Azure 本機的 Windows Defender 應用程控。