配置 Azure Stack Hub 安全控制

本文介绍可在 Azure Stack Hub 中更改的安全控制，并强调如何在适当的情况下进行取舍。

Azure Stack Hub 体系结构构建在两大安全原则支柱之上：假想违规和默认强化。 有关 Azure Stack Hub 安全性的详细信息，请参阅 Azure Stack Hub 基础结构安全态势。 当 Azure Stack Hub 的默认安全局势适合生产环境时，仍有一些部署方案需要额外的强化。

TLS 版本策略

传输层安全性 (TLS) 协议是广为采用的加密协议，可通过网络建立加密的通信。 TLS 的发展已有一段时间，并已发布多个版本。 Azure Stack Hub 基础结构对其所有通信专门使用 TLS 1.2。 对于外部接口，Azure Stack Hub 目前默认使用 TLS 1.2。 但是，为了实现后向兼容，它也支持向下协商到 TLS 1.1 和 1.0。 当 TLS 客户端请求通过 TLS 1.1 或 TLS 1.0 通信时，Azure Stack Hub 将通过与更低的 TLS 版本协商来接受请求。 如果客户端请求 TLS 1.2，Azure Stack Hub 将使用 TLS 1.2 建立 TLS 连接。

由于 TLS 1.0 和 1.1 因组织和合规性标准逐渐被淘汰或禁用，你可以在 Azure Stack Hub 中配置 TLS 策略。 可以强制使用仅限 TLS 1.2 的策略，使用低于 1.2 的版本尝试建立任何 TLS 会话都将被禁止或拒绝。

获取 TLS 策略

使用特权终结点 (PEP) 查看所有 Azure Stack Hub 终结点的 TLS 策略：

Get-TLSPolicy

示例输出：

TLS_1.2

设置 TLS 策略

使用特权终结点 (PEP) 设置所有 Azure Stack Hub 终结点的 TLS 策略：

Set-TLSPolicy -Version <String>

Set-TLSPolicy cmdlet 的参数：

参数	说明	类型	必须
版本	Azure Stack Hub 中允许的 TLS 版本	String	是

使用以下值之一为所有 Azure Stack Hub 终结点配置允许的 TLS 版本：

版本值	说明
TLS_All	Azure Stack Hub TLS 终结点支持 TLS 1.2，但可向下协商到 TLS 1.1 和 TLS 1.0。
TLS_1.2	Azure Stack Hub TLS 终结点仅支持 TLS 1.2。

完成 TLS 策略更新需要几分钟的时间。

强制实施 TLS 1.2 配置的示例

本示例将 TLS 策略设置为仅强制实施 TLS 1.2。

Set-TLSPolicy -Version TLS_1.2

示例输出：

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

允许所有 TLS 版本（1.2、1.1 和 1.0）的配置示例

本示例将 TLS 策略设置为允许所有 TLS 版本（1.2、1.1 和 1.0）。

Set-TLSPolicy -Version TLS_All

示例输出：

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

PEP 会话法律声明

某些情况下，登录特权终结点 (PEP) 会话时，显示法律声明非常有用。 Set-AzSLegalNotice 和 Get-AzSLegalNotice cmdlet 用于管理此类法律声明文本的标题和正文。

若要设置法律声明标题和文本，请参阅 Set-AzSLegalNotice cmdlet。 如果之前已设置法律声明标题和文本，可以使用 Get-AzSLegalNotice cmdlet 进行查看。

后续步骤

• 了解 Azure Stack Hub 基础结构安全态势。
• 了解如何在 Azure Stack Hub 中轮换机密。
• 在 Azure Stack Hub 上更新 Windows Defender 防病毒。