Předpoklady zabezpečení Azure Stack HCI

Platí pro: Azure Stack HCI, verze 21H2 a 20H2; Windows server 2022, Windows server 2019

V tomto tématu jsou uvedeny požadavky na zabezpečení a doporučení týkající se Azure Stackho operačního systému HCI:

  • Část 1 zahrnuje základní nástroje zabezpečení a technologie pro posílení operačního systému a ochranu dat a identit, aby bylo možné efektivně vytvořit zabezpečenou základ pro vaši organizaci.
  • Část 2 pokrývá prostředky dostupné prostřednictvím Azure Security Center.
  • Část 3 pokrývá pokročilejší požadavky na zabezpečení, aby bylo možné dále posílit stav zabezpečení vaší organizace v těchto oblastech.

Proč jsou důležité důležité informace o zabezpečení?

Zabezpečení má vliv na uživatele ve vaší organizaci na vyšší úroveň správy na informačního pracovníka. Nedostatečné zabezpečení je skutečné riziko pro organizace, protože porušení zabezpečení může mít za následek narušení všech normálních firem a zaznamenání vaší organizace na zastavení. Čím dřív můžete detekovat potenciální útok, tím rychleji můžete zmírnit případné ohrožení zabezpečení.

Po prohledání slabých bodů prostředí za účelem jejich zneužití může útočník obvykle během 24 až 48 hodin od počátečních oprávnění k eskalaci ohrožení převzít kontrolu nad systémy v síti. Dobrá bezpečnostní opatření posílí systémy v prostředí, aby rozšířily dobu, po kterou by útočník mohl převzít kontrolu z hodin na týdny nebo dokonce i po dobu blokování pohybů útočníka. Implementace doporučení zabezpečení v tomto tématu umožňuje vaší organizaci co nejrychleji zjistit a reagovat na tyto útoky.

Část 1: Vytvoření zabezpečeného základu

V následujících částech jsou doporučené nástroje a technologie zabezpečení pro vytvoření zabezpečeného základu pro servery, na kterých běží operační systém Azure Stack HCI ve vašem prostředí.

Posílit zabezpečení prostředí

Tato část popisuje, jak chránit služby a virtuální počítače běžící v operačním systému:

  • Azure Stack s certifikací HCL certifikovaný hardware poskytuje ve svém poli konzistentní zabezpečené spouštění, rozhraní UEFI a nastavení TPM. Kombinování zabezpečení založeného na virtualizaci a certifikovaného hardwaru pomáhá chránit úlohy citlivé na zabezpečení. Tato důvěryhodná infrastruktura se taky dá připojit k Azure Security Center, aby se aktivovaly funkce analýzy chování a vytváření sestav, které vám umožní rychle se měnící zatížení a hrozby.

    • Zabezpečené spouštění je bezpečnostní standard vyvinutý v oboru počítačů, který umožňuje zajistit, že se zařízení spouští jenom pomocí softwaru, který je důvěryhodný pro výrobce OEM (Original Equipment Manufacturer). Další informace najdete v tématu Zabezpečené spouštění.
    • rozhraní UEFI (United Extensible Firmware Interface) řídí spouštěcí proces serveru a poté předá řízení buď Windows, nebo jinému operačnímu systému. Další informace najdete v tématu požadavky na firmware rozhraní UEFI.
    • Technologie TPM (Trusted Platform Module) poskytuje funkce související se zabezpečením založené na hardwaru. Čip TPM je zabezpečený kryptografický procesor, který generuje, ukládá a omezuje použití kryptografických klíčů. Další informace najdete v tématu Přehled technologie Trusted Platform Module.

    Další informace o Azure Stackch certifikovaných hardwarových zprostředkovatelů naleznete na webu řešení Azure Stack HCI .

  • nástroj zabezpečení je nativně dostupný v centru pro správu Windows pro clustery s jedním serverem i Azure Stack HCI, aby bylo možné zjednodušit správu zabezpečení a řízení. Nástroj centralizovat některá klíčová nastavení zabezpečení pro servery a clustery, včetně možnosti Zobrazit stav systémů se zabezpečenými jádry.

    Další informace najdete v tématu zabezpečený Core Server.

  • Ochrana zařízení a ochrana Credential Guard. Ochrana zařízení chrání před malwarem bez známého podpisu, nepodepsaného kódu a malwaru, který získává přístup k jádru pro zachycení citlivých informací nebo poškození systému. Windows Defender Credential Guard používá zabezpečení na základě virtualizace k izolaci tajných kódů, aby k nim měli přístup jenom privilegovaný systémový software.

    další informace najdete v tématu správa Windows Defender credential guard a stažení nástroje Device protestation guard a credential guard guard.

  • aktualizace Windows a firmwaru jsou nezbytné v clusterech, serverech (včetně virtuálních počítačů hosta) a počítačích, které vám pomohou zajistit, aby byl operační systém i systémový hardware chráněn před útočníky. pomocí nástroje Windows aktualizace centra pro správu můžete použít aktualizace na jednotlivé systémy. pokud váš poskytovatel hardwaru zahrnuje Windows podporu centra pro správu pro získání aktualizací ovladačů, firmwaru a řešení, můžete získat tyto aktualizace ve stejnou dobu jako Windows aktualizace, jinak je získat přímo od svého dodavatele.

    Další informace najdete v tématu aktualizace clusteru.

    pokud chcete spravovat aktualizace na několika clusterech a serverech najednou, zvažte přihlášení k odběru volitelné služby Azure Update Management, která je integrovaná s centrem pro správu Windows. další informace najdete v tématu Azure Update Management pomocí centra pro správu Windows.

Ochrana dat

tato část popisuje, jak pomocí centra pro správu Windows chránit data a úlohy v operačním systému:

  • BitLocker pro Prostory úložiště chrání neaktivní neaktivní data. pomocí nástroje BitLocker můžete zašifrovat obsah Prostory úložištěch datových svazků v operačním systému. Použití nástroje BitLocker k ochraně dat může organizacím pomoci zajistit dodržování předpisů pro státní, regionální a průmyslové standardy, jako je FIPS 140-2 nebo HIPAA.

    další informace o používání nástroje BitLocker v centru pro správu Windows najdete v tématu povolení šifrování svazků, odstraňování duplicit a komprimace .

  • šifrování protokolu SMB pro Windows sítě chrání data při přenosu. SMB (Server Message Block) je protokol pro sdílení souborů v síti, který umožňuje aplikacím na počítači číst soubory a zapisovat do nich a požadovat služby od serverových programů v počítačové síti.

    Pokud chcete povolit šifrování protokolu SMB, přečtěte si téma vylepšení zabezpečení protokolu SMB.

  • Antivirová ochrana v programu Windows Defender v centru pro správu Windows chrání operační systém na klientech a serverech před viry, malwarem, spywarem a dalšími hrozbami. další informace najdete v tématu Antivirová ochrana v programu Microsoft Defender v Windows Server 2016 a 2019.

Ochrana identit

tato část popisuje, jak pomocí centra pro správu Windows chránit privilegované identity:

  • Řízení přístupu může zlepšit zabezpečení vaší krajiny pro správu. pokud používáte server centra pro správu Windows (vs. běží na Windows 10 počítači), můžete řídit dvě úrovně přístupu k Windows samotnému centru pro správu: uživatelé brány a správci brány. Mezi možnosti zprostředkovatele identity Správce brány patří:

    • Skupiny služby Active Directory nebo místní počítač pro vymáhání ověřování pomocí čipové karty
    • Azure Active Directory k vykonání podmíněného přístupu a vícefaktorového ověřování.

    další informace najdete v tématu možnosti přístupu uživatele pomocí centra pro správu Windows a konfigurace uživatelských Access Control a oprávnění.

  • provoz v prohlížeči do centra pro správu Windows používá protokol HTTPS. provoz z centra pro správu Windows na spravovaných serverech používá standardní prostředí PowerShell a rozhraní WMI (Windows Management Instrumentation) (WMI) přes Vzdálená správa systému Windows (WinRM). centrum pro správu Windows podporuje řešení hesla místního správce (LAPS), omezené delegování založené na prostředku, řízení přístupu brány pomocí služby Active Directory (AD) nebo Microsoft Azure Active Directory (Azure AD) a řízení přístupu na základě role (RBAC) pro správu cílových serverů.

    centrum pro správu Windows podporuje Microsoft Edge (Windows 10, verze 1709 nebo novější), Google Chrome a Microsoft Edge Insider na Windows 10. centrum pro správu Windows můžete nainstalovat na počítač s Windows 10 nebo na server Windows.

    pokud nainstalujete centrum pro správu Windows na server, který spouští jako bránu, bez uživatelského rozhraní na hostitelském serveru. V tomto scénáři se správci mohou přihlásit k serveru prostřednictvím relace HTTPS zabezpečeného certifikátem zabezpečení podepsanému svým držitelem na hostiteli. Je ale lepší použít pro proces přihlašování vhodný certifikát SSL od důvěryhodné certifikační autority, protože podporované prohlížeče považují připojení podepsané svým držitelem jako nezabezpečené, i když je připojení k místní IP adrese přes důvěryhodnou síť VPN.

    Další informace o možnostech instalace vaší organizace najdete v tématu jaký typ instalace je pro vás nejvhodnější?.

  • CredSSP je poskytovatel ověřování, který Windows centrum pro správu používá v několika případech k předání přihlašovacích údajů počítačům přes konkrétní server, na který cílíte. centrum pro správu Windows v současnosti vyžaduje zprostředkovatele CredSSP pro:

    • Vytvořte nový cluster.
    • Přístup k nástroji Updates pro použití clusteringu s podporou převzetí služeb při selhání nebo aktualizace funkcí Cluster-Aware.
    • Spravujte na virtuálních počítačích neagregované úložiště SMB.

    další informace najdete v tématu o tom, Windows centrum pro správu používá CredSSP?

  • řízení přístupu na základě Role (RBAC) v centru pro správu Windows umožňuje uživatelům omezený přístup k serverům, které potřebují ke správě, a nikoli k tomu, že mají úplné místní správce. pokud chcete použít RBAC v centru pro správu Windows, nakonfigurujete každý spravovaný server pomocí powershellu, který je právě dostatečným koncovým bodem správy.

    Další informace najdete v tématu řízení přístupu na základě role a jen dostatečná Správa.

  • nástroje zabezpečení v centru pro správu Windows, které můžete použít ke správě a ochraně identit, zahrnují službu Active Directory, certifikáty, bránu Firewall, místní uživatele a skupiny a další.

    další informace najdete v tématu správa serverů pomocí centra pro správu Windows.

Část 2: použití Azure Security Center

Azure Security Center je jednotný systém pro správu zabezpečení infrastruktury, který posílí stav zabezpečení vašich datových center a poskytuje rozšířenou ochranu před hrozbami napříč vašimi hybridními úlohami v cloudu i místně. Security Center poskytuje nástroje k vyhodnocení stavu zabezpečení vaší sítě, ochraně úloh, vyvolávání výstrah zabezpečení a dodržování specifických doporučení k nápravě útoků a řešení budoucích hrozeb. Security Center provádí všechny tyto služby s vysokou rychlostí v cloudu bez režie nasazení prostřednictvím automatického zřizování a ochrany se službami Azure.

Security Center chrání virtuální počítače pro servery Windows a servery Linux tím, že na tyto prostředky nainstaluje agenta Log Analytics. Azure koreluje události, které agenti shromažďují do doporučení (posílení úloh), které provádíte, aby vaše úlohy byly zabezpečené. Úlohy posílení zabezpečení založené na osvědčených postupech zabezpečení zahrnují správu a vynucování zásad zabezpečení. Pak můžete sledovat výsledky a spravovat dodržování předpisů a zásad správného řízení prostřednictvím Security Center monitorování a zároveň snížit plochu pro útok napříč všemi vašimi prostředky.

Správa přístupu uživatelů k prostředkům a předplatným Azure představuje důležitou součást strategie zásad správného řízení Azure. Hlavní metodou správy přístupu v Azure je řízení přístupu na základě role (RBAC). Další informace najdete v tématu Správa přístupu k prostředí Azure pomocí řízení přístupu na základě role.

práce s Security Center prostřednictvím centra pro správu Windows vyžaduje předplatné Azure. informace o tom, jak začít, najdete v tématu integrace Azure Security Center s centrem pro správu Windows.

po registraci přístup k Security Center v centru pro správu Windows: na stránce všechna připojení vyberte server nebo virtuální počítač, v části nástrojevyberte Azure Security Centera pak vyberte přihlásit se k Azure.

Další informace najdete v tématu co je Azure Security Center?

Část 3: Přidání rozšířeného zabezpečení

V následujících částech jsou doporučené rozšířené nástroje zabezpečení a technologie pro další posílení serverů, na kterých běží operační systém Azure Stack HCI ve vašem prostředí.

Posílit zabezpečení prostředí

  • Základní hodnoty zabezpečení Microsoftu jsou založené na doporučeních zabezpečení od Microsoftu získaných prostřednictvím partnerství s komerčními organizacemi a vládou USA, jako je Ministerstvo obrany. základní hodnoty zabezpečení zahrnují doporučené nastavení zabezpečení Windows brány Firewall, Windows Defender a mnoha dalších.

    Směrné plány zabezpečení jsou k dispozici jako zálohy objektů Zásady skupiny objektů (GPO), které můžete importovat do Active Directory Domain Services (služba AD DS), a potom je nasadit na servery připojené k doméně za účelem posílení prostředí. Pomocí nástrojů pro místní skripty můžete také nakonfigurovat samostatné servery (nepřipojené k doméně) pomocí standardních hodnot zabezpečení. pokud chcete začít používat základní hodnoty zabezpečení, stáhněte si kompatibilitu zabezpečení od microsoftu Toolkit 1,0.

    Další informace najdete v tématu základní údaje o zabezpečení společnosti Microsoft.

Ochrana dat

  • posílení zabezpečení prostředí Hyper-V vyžaduje posílení Windows serveru spuštěného na virtuálním počítači stejně, jako byste zjednodušili operační systém běžící na fyzickém serveru. Vzhledem k tomu, že virtuální prostředí mají obvykle více virtuálních počítačů sdílejících stejný fyzický hostitel, je nezbytné chránit jak fyzického hostitele, tak i virtuální počítače, které jsou v něm spuštěné. Útočník, který ohrožuje hostitele, může ovlivnit více virtuálních počítačů s větším dopadem na úlohy a služby. tato část pojednává o následujících metodách, které můžete použít k posílení Windows serveru v prostředí Hyper-V:

    • Virtual Trusted Platform Module (vTPM) v Windows Server podporuje čip TPM pro virtuální počítače, který umožňuje používat pokročilé technologie zabezpečení, jako je například BitLocker na virtuálních počítačích. podporu čipu TPM můžete povolit pro libovolný virtuální počítač hyper-v generace 2 pomocí správce technologie hyper-v nebo Enable-VMTPM rutiny Windows PowerShell.

      Další informace najdete v tématu Enable-VMTPM.

    • softwarově definované sítě (SDN) v Azure Stack HCI a Windows Server centrálně konfigurují a spravují virtuální síťová zařízení, jako je nástroj pro vyrovnávání zatížení softwaru, brána firewall datového centra, brány a virtuální přepínače ve vaší infrastruktuře. Prvky virtuální sítě, jako je virtuální přepínač Hyper-V, virtualizace sítě Hyper-V a brána služby RAS, jsou navržené tak, aby byly integrálními prvky vaší infrastruktury SDN.

      Další informace najdete v tématu softwarově definované sítě (SDN).

      Poznámka

      Stíněné virtuální počítače se v Azure Stack HCI nepodporují.

Ochrana identit

  • Řešení hesel místního správce (LAPS) je zjednodušený mechanismus pro systémy připojené k doméně služby Active Directory, který pravidelně nastavuje místní heslo účtu správce počítače na novou náhodnou a jedinečnou hodnotu. Hesla se ukládají do zabezpečeného důvěrného atributu u odpovídajícího objektu počítače ve službě Active Directory, kde je můžou načítat jenom oprávnění uživatelé. LAPS používá místní účty pro vzdálenou správu počítačů způsobem, který nabízí některé výhody při používání doménových účtů. Další informace najdete v tématu vzdálené použití místních účtů: LAPS mění vše.

    Pokud chcete začít používat LAPS, Stáhněte si řešení hesla místního správce (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) je místní produkt, který můžete použít k detekci útočníků, kteří se pokoušejí ohrozit privilegované identity. ATA analyzuje síťový provoz pro protokoly ověřování, autorizace a shromažďování informací, jako jsou Kerberos a DNS. ATA používá data k vytváření profilů chování uživatelů a dalších entit v síti za účelem detekce anomálií a známých vzorů útoku.

    Další informace najdete v tématu co je Advanced Threat Analytics?.

  • Windows Defender remote Credential Guard chrání přihlašovací údaje přes připojení ke vzdálené ploše přesměrováním požadavků Kerberos zpět do zařízení, které žádá o připojení. Poskytuje taky jednotné přihlašování (SSO) pro relace vzdálené plochy. Pokud dojde k ohrožení zabezpečení cílového zařízení v relaci vzdálené plochy, vaše přihlašovací údaje se nezveřejňují, protože pověření i deriváty přihlašovacích údajů se přes síť nikdy předávají cílovému zařízení.

    další informace najdete v tématu správa Windows Defender Credential Guard.

Další kroky

Další informace o dodržování předpisů týkajících se zabezpečení a dodržování předpisů najdete zde: