Gestire la sicurezza dopo l'aggiornamento locale di Azure

2025-07-07

Si applica a: Azure Locale 2311.2 e versioni successive

Questo articolo descrive come gestire le impostazioni di sicurezza in un ambiente locale di Azure aggiornato da Azure Stack HCI versione 22H2.

Prerequisiti

Prima di iniziare, assicurarsi di avere accesso a un sistema locale di Azure aggiornato da Azure Stack HCI versione 22H2.

Modifiche alla sicurezza post-aggiornamento

Quando si aggiorna il sistema da Azure Stack HCI versione 22H2, il comportamento di sicurezza del sistema non cambia. È consigliabile aggiornare le impostazioni di sicurezza dopo l'aggiornamento per trarre vantaggio dalla sicurezza avanzata.

Ecco i vantaggi dell'aggiornamento delle impostazioni di sicurezza:

Migliora il comportamento di sicurezza disabilitando protocolli e crittografie legacy e rafforzando la distribuzione.
Riduce le spese operative (OpEx) con un meccanismo di protezione della deriva predefinito per il monitoraggio coerente su larga scala tramite la baseline di Azure Arc Hybrid Edge.
Consente di soddisfare a stretto contatto i benchmark di Center for Internet Security (CIS) e i requisiti della Defense Information System Agency (DISA) Security Technical Implementation Guide (STIG) per il sistema operativo.

Apportare queste modifiche generali al termine dell'aggiornamento:

Applicare la baseline di sicurezza.
Applicare la crittografia dei dati inattivi.
Abilitare il controllo delle applicazioni.

Ogni passaggio viene descritto dettagliatamente nelle sezioni seguenti.

Applicare le baseline di sicurezza

Una nuova distribuzione di Azure Locale introduce due documenti di base inseriti dal livello di gestione della sicurezza, mentre il cluster aggiornato non lo fa.

Importante

Dopo aver applicato i documenti della baseline di sicurezza, viene usato un nuovo meccanismo per applicare e gestire le impostazioni della baseline di sicurezza.

Se i server ereditano le impostazioni di base tramite meccanismi quali oggetti Criteri di gruppo, DSC o script, è consigliabile:
- Rimuovere queste impostazioni duplicate da tali meccanismi.
- In alternativa, dopo aver applicato la baseline di sicurezza, disabilitare il meccanismo di controllo della deriva.
Il nuovo comportamento di sicurezza dei server combina le impostazioni precedenti, le nuove impostazioni e le impostazioni sovrapposte con i valori aggiornati.

Nota

Microsoft testa e valida le impostazioni di sicurezza locali di Azure. È consigliabile mantenere queste impostazioni. L'uso di impostazioni personalizzate può potenzialmente causare instabilità del sistema, incompatibilità con nuovi scenari di prodotto e potrebbe richiedere test e risoluzione dei problemi completi da parte dell'utente.
Quando si eseguono i comandi seguenti, i documenti non sono presenti. Questi cmdlet non restituiranno alcun output.
```
Get-ASOSConfigSecuredCoreDoc
Get-ASOSConfigSecuritySettingsDoc
```
Per abilitare le linee di base, passare a ognuno dei nodi aggiornati. Eseguire i comandi seguenti in locale o in remoto usando un account amministratore con privilegi:
```
Start-AzSSecuritySettingsConfiguration
Start-AzSSecuredCoreConfiguration
```
Riavviare i nodi in una sequenza corretta per rendere effettive le nuove impostazioni.

Confermare lo stato delle baseline di sicurezza

Dopo il riavvio, eseguire di nuovo i cmdlet seguenti per confermare lo stato delle baseline di sicurezza:

Get-ASOSConfigSecuredCoreDoc
Get-ASOSConfigSecuritySettingsDoc

Si ottiene un output per ogni cmdlet con informazioni di base.

Di seguito è riportato un esempio dell'output di base:

OsConfiguration": {
"Document": {
"schemaversion": "1.0",
"id": "<GUID>", "version": "1.0",
"context": "device",
"scenario": "ApplianceSecurityBaselineConfig"

Abilitare la crittografia a riposo

Durante l'aggiornamento, Microsoft rileva se i nodi di sistema hanno BitLocker abilitato. Se BitLocker è abilitato, viene richiesto di sospenderlo. Se hai abilitato BitLocker su tutti i volumi, riprendi la protezione. Non sono necessari altri passaggi.

Per verificare lo stato della crittografia nei volumi, eseguire i comandi seguenti:

Get-AsBitlocker -VolumeType BootVolume
Get-AsBitlocker -VolumeType ClusterSharedVolume

Se è necessario abilitare BitLocker in uno dei volumi, vedere Gestire la crittografia BitLocker in Locale di Azure.

Abilitare il controllo delle applicazioni

Il controllo delle applicazioni per le aziende (noto in precedenza come Controllo delle applicazioni di Windows Defender o WDAC) offre un ottimo livello di difesa rispetto all'esecuzione di codice non attendibile.

Dopo aver aggiornato il sistema, prendere in considerazione l'abilitazione del controllo delle applicazioni. Ciò può comportare interruzioni se le misure necessarie non vengono adottate per la corretta convalida del software non Microsoft esistente già esistente nei server.

Per le nuove distribuzioni, Controllo applicazione è abilitato in modalità Enforced (bloccando binari non attendibili), mentre per i sistemi aggiornati è consigliabile seguire questi passaggi:

Abilitare il controllo delle applicazioni in modalità di controllo (presupponendo che sia presente software sconosciuto).
Monitorare gli eventi di controllo delle applicazioni.
Creare le politiche supplementari necessarie.
Ripetere i passaggi 2 e 3 in base alle esigenze fino a quando non vengono osservati altri eventi di controllo. Passare alla modalità forzata.

Avviso

La mancata creazione dei criteri AppControl necessari per abilitare il software non Microsoft potrebbe impedire l'esecuzione del software.

Per istruzioni su come abilitare in modalità forzata, vedere Gestire il Controllo delle Applicazioni di Windows Defender di Microsoft per Azure Locale.

Passaggi successivi

Informazioni sulla crittografia BitLocker.