تأمين منافذ الإدارة الخاصة بك من خلال الوصول في الوقت المناسب

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

قم بتأمين حركة المرور الواردة إلى أجهزة Azure الظاهرية باستخدام ميزة الوصول إلى الجهاز الظاهري (VM) في Microsoft Defender for Cloud. هذا يقلل من التعرض للهجمات مع توفير سهولة الوصول عندما تحتاج إلى الاتصال بجهاز ظاهري.

للحصول على شرح كامل حول كيفية عمل JIT والمنطق الأساسي ، راجع شرح في الوقت المناسب.

للحصول على شرح كامل لمتطلبات الامتياز، راجع ما هي الأذونات المطلوبة لتكوين JIT واستخدامه؟.

تعلمك هذه الصفحة كيفية تضمين JIT في برنامج الأمان الخاص بك. ستتعلم كيفية:

• تمكين JIT على الأجهزة الظاهرية - يمكنك تمكين JIT باستخدام خياراتك المخصصة لجهاز ظاهري واحد أو أكثر باستخدام Defender for Cloud أو PowerShell أو واجهة برمجة تطبيقات REST. بدلا من ذلك، يمكنك تمكين JIT باستخدام معلمات افتراضية مشفرة بشكل ثابت من أجهزة Azure الظاهرية. عند تمكينه، يقوم JIT بتأمين حركة المرور الواردة إلى أجهزة Azure الظاهرية عن طريق إنشاء قاعدة في مجموعة أمان الشبكة.
• طلب الوصول إلى جهاز ظاهري تم تمكين JIT - الهدف من JIT هو التأكد من أنه على الرغم من أن حركة المرور الواردة مقفلة ، إلا أن Defender for Cloud لا يزال يوفر وصولا سهلا للاتصال بالأجهزة الظاهرية عند الحاجة. يمكنك طلب الوصول إلى جهاز ظاهري يدعم JIT من Defender for Cloud أو أجهزة Azure الظاهرية أو PowerShell أو واجهة برمجة تطبيقات REST.
• تدقيق النشاط - لضمان تأمين الأجهزة الظاهرية بشكل مناسب، راجع عمليات الوصول إلى الأجهزة الظاهرية التي تدعم JIT كجزء من عمليات التحقق من الأمان العادية.

التوفر

الجانب	التفاصيل
حالة الإصدار:	التوافر العام (GA)
الأجهزة الظاهرية المدعومة:	الأجهزة الظاهرية التي تم نشرها من خلال Azure Resource Manager. الأجهزة الظاهرية التي تم نشرها باستخدام نماذج النشر الكلاسيكية. تعرف على المزيد حول نماذج النشر هذه. الأجهزة الظاهرية المحمية بواسطة Azure Firewalls1 التي يتحكم فيها Azure Firewall Manager.
الأدوار والأذونات المطلوبة:	يمكن لأدوار القارئ و SecurityReader عرض كل من حالة JIT والمعلمات. لإنشاء أدوار مخصصة يمكنها العمل مع JIT، راجع ما هي الأذونات المطلوبة لتكوين JIT واستخدامه؟. لإنشاء دور أقل امتيازا للمستخدمين الذين يحتاجون إلى طلب وصول JIT إلى جهاز ظاهري، وعدم تنفيذ أي عمليات JIT أخرى، استخدم البرنامج النصي Set-JitLessPrivilegedRole من صفحات مجتمع Defender for Cloud GitHub.
سحب:	⁧⁩ السحب التجارية National (Azure Government, Azure China 21Vianet) حسابات AWS المتصلة

¹ بالنسبة لأي جهاز ظاهري محمي بواسطة جدار حماية Azure، لن يقوم JIT بحماية الجهاز بالكامل إلا إذا كان في نفس VNET مثل جدار الحماية. لن تكون الأجهزة الظاهرية التي تستخدم نظير VNET محمية بالكامل.

تمكين الوصول إلى JIT VM

يمكنك تمكين الوصول إلى JIT VM باستخدام خياراتك المخصصة لجهاز ظاهري واحد أو أكثر باستخدام Defender for Cloud أو برمجيا.

بدلا من ذلك، يمكنك تمكين JIT باستخدام معلمات افتراضية مشفرة بشكل ثابت من أجهزة Azure الظاهرية.

يتم شرح كل خيار من هذه الخيارات في علامة تبويب منفصلة أدناه.

Microsoft Defender للسحابة

تمكين JIT على الأجهزة الظاهرية الخاصة بك من Microsoft Defender for Cloud

من Defender for Cloud، يمكنك تمكين وتكوين الوصول إلى JIT VM.

1. افتح لوحة معلومات حماية عبء العمل ومن منطقة الحماية المتقدمة، حدد الوصول إلى الأجهزة الظاهرية في الوقت المناسب.

   يتم فتح صفحة الوصول إلى الأجهزة الظاهرية في الوقت المناسب مع تجميع الأجهزة الظاهرية في علامات التبويب التالية:

   • تم تكوينه - الأجهزة الظاهرية التي تم تكوينها بالفعل لدعم الوصول إلى الأجهزة الظاهرية في الوقت المناسب. لكل جهاز ظاهري، تظهر علامة التبويب التي تم تكوينها:
     • عدد طلبات JIT المعتمدة في الأيام السبعة الماضية
     • تاريخ ووقت الوصول الأخير
     • تفاصيل الاتصال التي تم تكوينها
     • آخر مستخدم
   • لم يتم تكوينه - الأجهزة الظاهرية بدون تمكين JIT ، ولكن يمكن أن يدعم JIT. نوصي بتمكين JIT لهذه الأجهزة الظاهرية.
   • غير مدعوم - الأجهزة الظاهرية بدون تمكين JIT والتي لا تدعم الميزة. قد يكون الجهاز الظاهري في علامة التبويب هذه للأسباب التالية:
     • مجموعة أمان الشبكة المفقودة (NSG) أو جدار حماية Azure - يتطلب JIT تكوين NSG أو تكوين جدار حماية (أو كليهما)
     • يدعم Classic VM - JIT الأجهزة الظاهرية التي يتم نشرها من خلال Azure Resource Manager، وليس "النشر الكلاسيكي". تعرف على المزيد حول نماذج النشر الكلاسيكية مقابل Azure Resource Manager.
     • آخر - قد يكون الجهاز الظاهري في علامة التبويب هذه إذا تم تعطيل حل JIT في نهج الأمان الخاص بالاشتراك أو مجموعة الموارد.

2. من علامة التبويب لم يتم تكوينه ، حدد الأجهزة الظاهرية للحماية باستخدام JIT وحدد تمكين JIT على الأجهزة الظاهرية.

   تفتح صفحة الوصول إلى JIT VM قائمة بالمنافذ التي توصي Defender for Cloud بحمايتها:

   • 22 - SSH
   • 3389 - RDP
   • 5985 -- وينRM
   • 5986 -- وينرم

   لقبول الإعدادات الافتراضية، حدد حفظ.

3. لتخصيص خيارات JIT:

   • أضف منافذ مخصصة باستخدام الزر إضافة .
   • قم بتعديل أحد المنافذ الافتراضية، عن طريق تحديده من القائمة.

   لكل منفذ (مخصص وافتراضي) يوفر جزء إضافة تكوين منفذ الخيارات التالية:

   • البروتوكول - البروتوكول المسموح به في هذا المنفذ عند الموافقة على طلب
   • عناوين IP المصدر المسموح بها - نطاقات IP المسموح بها على هذا المنفذ عند الموافقة على طلب
   • الحد الأقصى لوقت الطلب - الحد الأقصى للنافذة الزمنية التي يمكن خلالها فتح منفذ معين

   1. اضبط أمان المنفذ على احتياجاتك.

   2. حدد "OK".

4. حدد ⁧⁩حفظ⁧⁩.

تحرير تكوين JIT على جهاز ظاهري يدعم JIT باستخدام Defender for Cloud

يمكنك تعديل تكوين الجهاز الظاهري في الوقت المناسب عن طريق إضافة منفذ جديد وتكوينه للحماية من هذا الجهاز الظاهري، أو عن طريق تغيير أي إعداد آخر يتعلق بمنفذ محمي بالفعل.

لتحرير قواعد JIT الحالية لجهاز ظاهري:

1. افتح لوحة معلومات حماية عبء العمل ومن منطقة الحماية المتقدمة، حدد الوصول إلى الأجهزة الظاهرية في الوقت المناسب.

2. من علامة التبويب تم تكوينه ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري الذي تريد إضافة منفذ إليه ، وحدد تحرير.

   

3. ضمن تكوين الوصول إلى JIT VM، يمكنك إما تحرير الإعدادات الحالية لمنفذ محمي بالفعل أو إضافة منفذ مخصص جديد.

4. عند الانتهاء من تحرير المنافذ، حدد حفظ.

أجهزة Azure الظاهرية

تمكين JIT على الأجهزة الظاهرية من أجهزة Azure الظاهرية

يمكنك تمكين JIT على جهاز ظاهري من صفحات أجهزة Azure الظاهرية في مدخل Azure.

تلميح

إذا كان الجهاز الظاهري قد تم تمكينه بالفعل في الوقت المناسب ، فعند الانتقال إلى صفحة التكوين الخاصة به ، سترى أنه تم تمكين الجهاز الظاهري في الوقت المناسب ويمكنك استخدام الرابط لفتح صفحة الوصول إلى VM في الوقت المناسب في Defender for Cloud ، وعرض الإعدادات وتغييرها.

1. من مدخل Azure، ابحث عن الأجهزة الظاهرية وحددها.

2. حدد الجهاز الظاهري الذي تريد حمايته باستخدام JIT.

3. في القائمة، حدد تكوين.

4. ضمن الوصول في الوقت المناسب، حدد تمكين في الوقت المناسب.

   يتيح ذلك الوصول في الوقت المناسب للجهاز الظاهري باستخدام الإعدادات الافتراضية التالية:

   • آلات Windows:
     • منفذ RDP 3389
     • ثلاث ساعات من الحد الأقصى المسموح به للوصول
     • يتم تعيين عناوين IP المصدر المسموح بها إلى أي
   • أجهزة لينكس:
     • منفذ SSH 22
     • ثلاث ساعات من الحد الأقصى المسموح به للوصول
     • يتم تعيين عناوين IP المصدر المسموح بها إلى أي

5. لتحرير أي من هذه القيم، أو إضافة المزيد من المنافذ إلى تكوين JIT الخاص بك، استخدم صفحة Microsoft Defender for Cloud في الوقت المناسب:

   1. من قائمة Defender for Cloud، حدد الوصول إلى الأجهزة الظاهرية في الوقت المناسب.

   2. من علامة التبويب تم تكوينه ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري الذي تريد إضافة منفذ إليه ، وحدد تحرير.

      

   3. ضمن تكوين الوصول إلى JIT VM، يمكنك إما تحرير الإعدادات الحالية لمنفذ محمي بالفعل أو إضافة منفذ مخصص جديد.

   4. عند الانتهاء من تحرير المنافذ، حدد حفظ.

PowerShell

تمكين JIT على الأجهزة الظاهرية باستخدام PowerShell

لتمكين الوصول إلى الجهاز الظاهري في الوقت المناسب من PowerShell ، استخدم Microsoft Defender الرسمي ل Cloud PowerShell cmdlet Set-AzJitNetworkAccessPolicy.

مثال - تمكين الوصول إلى VM في الوقت المناسب على جهاز ظاهري معين باستخدام القواعد التالية:

• إغلاق المنفذين 22 و3389
• تعيين نافذة زمنية قصوى مدتها 3 ساعات لكل منها بحيث يمكن فتحها لكل طلب تمت الموافقة عليه
• السماح للمستخدم الذي يطلب الوصول بالتحكم في عناوين IP المصدر
• السماح للمستخدم الذي يطلب الوصول بإنشاء جلسة ناجحة بناء على طلب وصول معتمد في الوقت المناسب

تقوم أوامر PowerShell التالية بإنشاء تكوين JIT هذا:

1. قم بتعيين متغير يحتفظ بقواعد الوصول إلى الجهاز الظاهري في الوقت المناسب لجهاز ظاهري:

   $JitPolicy = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
            number=22;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"},
            @{
            number=3389;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"})})
   

2. إدراج قواعد الوصول إلى VM في الوقت المناسب في صفيف:

   $JitPolicyArr=@($JitPolicy)
   

3. قم بتكوين قواعد الوصول إلى VM في الوقت المناسب على الجهاز الظاهري المحدد:

   Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
   

   استخدم المعلمة -Name لتحديد جهاز ظاهري. على سبيل المثال، لإنشاء تكوين JIT لجهازين ظاهريين مختلفين، VM1 وVM2، استخدم: Set-AzJitNetworkAccessPolicy -Name VM1 و Set-AzJitNetworkAccessPolicy -Name VM2.

REST API

تمكين JIT على الأجهزة الظاهرية باستخدام واجهة برمجة تطبيقات REST

يمكن استخدام ميزة الوصول إلى VM في الوقت المناسب عبر Microsoft Defender for Cloud API. استخدم واجهة برمجة التطبيقات هذه للحصول على معلومات حول الأجهزة الظاهرية التي تم تكوينها وإضافة أجهزة جديدة وطلب الوصول إلى جهاز ظاهري والمزيد.

تعرف على المزيد حول سياسات الوصول إلى شبكة JIT.

طلب الوصول إلى جهاز ظاهري يدعم JIT

يمكنك طلب الوصول إلى جهاز ظاهري ممكن بواسطة JIT من مدخل Azure (في Defender for Cloud أو أجهزة Azure الظاهرية) أو برمجيا.

يتم شرح كل خيار من هذه الخيارات في علامة تبويب منفصلة أدناه.

Microsoft Defender للسحابة

طلب الوصول إلى جهاز ظاهري يدعم JIT من Microsoft Defender for Cloud

عندما يتم تمكين JIT في جهاز ظاهري ، يجب عليك طلب الوصول للاتصال به. يمكنك طلب الوصول بأي من الطرق المدعومة، بغض النظر عن كيفية تمكين JIT.

1. من صفحة الوصول إلى الجهاز الظاهري في الوقت المناسب ، حدد علامة التبويب تكوين .

2. حدد الأجهزة الظاهرية التي تريد الوصول إليها.

   • يشير الرمز الموجود في العمود تفاصيل الاتصال إلى ما إذا كان JIT ممكنا على مجموعة أمان الشبكة أو جدار الحماية. إذا تم تمكينه على كليهما، فسيظهر رمز جدار الحماية فقط.

   • يوفر عمود تفاصيل الاتصال المعلومات المطلوبة لتوصيل الجهاز الظاهري ومنافذه المفتوحة.

3. حدد Request access. يتم فتح نافذة طلب الوصول.

4. ضمن طلب الوصول، لكل جهاز ظاهري، قم بتكوين المنافذ التي تريد فتحها وعناوين IP المصدر التي تم فتح المنفذ عليها والنافذة الزمنية التي سيتم فتح المنفذ لها. سيكون من الممكن فقط طلب الوصول إلى المنافذ التي تم تكوينها. يحتوي كل منفذ على الحد الأقصى للوقت المسموح به المشتق من تكوين JIT الذي قمت بإنشائه.

5. حدد فتح المنافذ.

ملاحظة

إذا كان المستخدم الذي يطلب الوصول وراء وكيل، فقد لا يعمل الخيار My IP . قد تحتاج إلى تحديد نطاق عناوين IP الكامل للمؤسسة.

أجهزة Azure الظاهرية

طلب الوصول إلى جهاز ظاهري ممكن بواسطة JIT من صفحة اتصال الجهاز الظاهري Azure

عندما يتم تمكين JIT في جهاز ظاهري ، يجب عليك طلب الوصول للاتصال به. يمكنك طلب الوصول بأي من الطرق المدعومة، بغض النظر عن كيفية تمكين JIT.

لطلب الوصول من أجهزة Azure الظاهرية:

1. في مدخل Azure، افتح صفحات الأجهزة الظاهرية.

2. حدد الجهاز الظاهري الذي تريد الاتصال به، وافتح صفحة الاتصال.

   يتحقق Azure لمعرفة ما إذا كان JIT ممكنا على هذا الجهاز الظاهري.

   • إذا لم يتم تمكين JIT للجهاز الظاهري، فستتم مطالبتك بتمكينه.

   • إذا تم تمكين JIT، فحدد طلب الوصول لتمرير طلب وصول باستخدام عنوان IP والنطاق الزمني والمنافذ التي تم تكوينها لهذا الجهاز الظاهري.

ملاحظة

بعد الموافقة على طلب للحصول على جهاز ظاهري محمي بواسطة جدار حماية Azure، يوفر Defender for Cloud للمستخدم تفاصيل الاتصال المناسبة (تعيين المنفذ من جدول DNAT) لاستخدامها للاتصال بالجهاز الظاهري.

PowerShell

طلب الوصول إلى جهاز ظاهري يدعم JIT باستخدام PowerShell

في المثال التالي، يمكنك رؤية طلب وصول إلى جهاز ظاهري في الوقت المناسب إلى جهاز ظاهري معين يطلب فيه فتح المنفذ 22 لعنوان IP محدد ولفترة زمنية محددة:

قم بتشغيل ما يلي في PowerShell:

1. تكوين خصائص الوصول إلى طلب الجهاز الظاهري:

   $JitPolicyVm1 = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
          number=22;
          endTimeUtc="2020-07-15T17:00:00.3658798Z";
          allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
   

2. إدراج معلمات طلب الوصول إلى الجهاز الظاهري في صفيف:

   $JitPolicyArr=@($JitPolicyVm1)
   

3. إرسال الوصول إلى الطلب (استخدم معرف المورد من الخطوة 1)

   Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
   

تعرف على المزيد في وثائق cmdlet الخاصة ب PowerShell.

REST API

طلب الوصول إلى الأجهزة الظاهرية التي تدعم JIT باستخدام واجهة برمجة تطبيقات REST

يمكن استخدام ميزة الوصول إلى VM في الوقت المناسب عبر Microsoft Defender for Cloud API. استخدم واجهة برمجة التطبيقات هذه للحصول على معلومات حول الأجهزة الظاهرية التي تم تكوينها وإضافة أجهزة جديدة وطلب الوصول إلى جهاز ظاهري والمزيد.

تعرف على المزيد حول سياسات الوصول إلى شبكة JIT.

تدقيق نشاط الوصول إلى JIT في Defender for Cloud

يمكنك الحصول على رؤى حول أنشطة الأجهزة الظاهرية باستخدام البحث في السجل. لعرض السجلات:

1. من الوصول إلى الجهاز الظاهري في الوقت المناسب، حدد علامة التبويب تكوين .

2. بالنسبة إلى الجهاز الظاهري الذي تريد تدقيقه، افتح قائمة علامات الحذف في نهاية الصف.

3. حدد سجل النشاط من القائمة.

   

   يوفر سجل النشاط طريقة عرض تمت تصفيتها للعمليات السابقة لهذا الجهاز الظاهري إلى جانب الوقت والتاريخ والاشتراك.

4. لتنزيل معلومات السجل، حدد تنزيل بتنسيق CSV.

الخطوات التالية

في هذه المقالة، تعلمت كيفية تكوين واستخدام الوصول إلى VM في الوقت المناسب. لمعرفة سبب استخدام JIT ، اقرأ مقالة المفهوم التي تشرح التهديدات التي تدافع عنها:

وأوضح JIT