Předpoklady zabezpečení Azure Stack HCIAzure Stack HCI security considerations

Platí pro: Azure Stack HCI, verze 20H2; Windows Server 2019Applies to: Azure Stack HCI, version 20H2; Windows Server 2019

V tomto tématu jsou uvedeny požadavky na zabezpečení a doporučení týkající se Azure Stackho operačního systému HCI:This topic provides security considerations and recommendations related to the Azure Stack HCI operating system:

  • Část 1 zahrnuje základní nástroje zabezpečení a technologie pro posílení operačního systému a ochranu dat a identit, aby bylo možné efektivně vytvořit zabezpečenou základ pro vaši organizaci.Part 1 covers basic security tools and technologies to harden the operating system, and protect data and identities to efficiently build a secure foundation for your organization.
  • Část 2 pokrývá prostředky dostupné prostřednictvím Azure Security Center.Part 2 covers resources available through the Azure Security Center.
  • Část 3 pokrývá pokročilejší požadavky na zabezpečení, aby bylo možné dále posílit stav zabezpečení vaší organizace v těchto oblastech.Part 3 covers more advanced security considerations to further strengthen the security posture of your organization in these areas.

Proč jsou důležité důležité informace o zabezpečení?Why are security considerations important?

Zabezpečení má vliv na uživatele ve vaší organizaci na vyšší úroveň správy na informačního pracovníka.Security affects everyone in your organization from upper-level management to the information worker. Nedostatečné zabezpečení je skutečné riziko pro organizace, protože porušení zabezpečení může mít za následek narušení všech normálních firem a zaznamenání vaší organizace na zastavení.Inadequate security is a real risk for organizations, as a security breach can potentially disrupt all normal business and bring your organization to a halt. Čím dřív můžete detekovat potenciální útok, tím rychleji můžete zmírnit případné ohrožení zabezpečení.The sooner that you can detect a potential attack, the faster you can mitigate any compromise in security.

Po prohledání slabých bodů prostředí za účelem jejich zneužití může útočník obvykle během 24 až 48 hodin od počátečních oprávnění k eskalaci ohrožení převzít kontrolu nad systémy v síti.After researching an environment's weak points to exploit them, an attacker can typically within 24 to 48 hours of the initial compromise escalate privileges to take control of systems on the network. Dobrá bezpečnostní opatření posílí systémy v prostředí, aby rozšířily dobu, po kterou by útočník mohl převzít kontrolu z hodin na týdny nebo dokonce i po dobu blokování pohybů útočníka.Good security measures harden the systems in the environment to extend the time it takes an attacker to potentially take control from hours to weeks or even months by blocking the attacker's movements. Implementace doporučení zabezpečení v tomto tématu umožňuje vaší organizaci co nejrychleji zjistit a reagovat na tyto útoky.Implementing the security recommendations in this topic position your organization to detect and respond to such attacks as fast as possible.

Část 1: Vytvoření zabezpečeného základuPart 1: Build a secure foundation

V následujících částech jsou doporučené nástroje a technologie zabezpečení pro vytvoření zabezpečeného základu pro servery, na kterých běží operační systém Azure Stack HCI ve vašem prostředí.The following sections recommend security tools and technologies to build a secure foundation for the servers running the Azure Stack HCI operating system in your environment.

Posílit zabezpečení prostředíHarden the environment

Tato část popisuje, jak chránit služby a virtuální počítače běžící v operačním systému:This section discusses how to protect services and virtual machines (VMs) running on the operating system:

  • Azure Stack s certifikací HCL certifikovaný hardware poskytuje ve svém poli konzistentní zabezpečené spouštění, rozhraní UEFI a nastavení TPM.Azure Stack HCI certified hardware provides consistent Secure Boot, UEFI, and TPM settings out of the box. Kombinování zabezpečení založeného na virtualizaci a certifikovaného hardwaru pomáhá chránit úlohy citlivé na zabezpečení.Combining virtualization-based security and certified hardware helps protect security-sensitive workloads. Tato důvěryhodná infrastruktura se taky dá připojit k Azure Security Center, aby se aktivovaly funkce analýzy chování a vytváření sestav, které vám umožní rychle se měnící zatížení a hrozby.You can also connect this trusted infrastructure to Azure Security Center to activate behavioral analytics and reporting to account for rapidly changing workloads and threats.

    • Zabezpečené spouštění je bezpečnostní standard vyvinutý v oboru počítačů, který umožňuje zajistit, že se zařízení spouští jenom pomocí softwaru, který je důvěryhodný pro výrobce OEM (Original Equipment Manufacturer).Secure boot is a security standard developed by the PC industry to help ensure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). Další informace najdete v tématu Zabezpečené spouštění.To learn more, see Secure boot.
    • Rozhraní UEFI (United Extensible Firmware Interface) řídí spouštěcí proces serveru a pak předá řízení buď systému Windows, nebo jinému operačnímu systému.United Extensible Firmware Interface (UEFI) controls the booting process of the server, and then passes control to either Windows or another operating system. Další informace najdete v tématu požadavky na firmware rozhraní UEFI.To learn more, see UEFI firmware requirements.
    • Technologie TPM (Trusted Platform Module) poskytuje funkce související se zabezpečením založené na hardwaru.Trusted Platform Module (TPM) technology provides hardware-based, security-related functions. Čip TPM je zabezpečený kryptografický procesor, který generuje, ukládá a omezuje použití kryptografických klíčů.A TPM chip is a secure crypto-processor that generates, stores, and limits the use of cryptographic keys. Další informace najdete v tématu Přehled technologie Trusted Platform Module.To learn more, see Trusted Platform Module Technology Overview.

    Další informace o Azure Stackch certifikovaných hardwarových zprostředkovatelů naleznete na webu řešení Azure Stack HCI .To learn more about Azure Stack HCI certified hardware providers, see the Azure Stack HCI solutions website.

  • Ochrana zařízení a ochrana Credential Guard.Device Guard and Credential Guard. Ochrana zařízení chrání před malwarem bez známého podpisu, nepodepsaného kódu a malwaru, který získává přístup k jádru pro zachycení citlivých informací nebo poškození systému.Device Guard protects against malware with no known signature, unsigned code, and malware that gains access to the kernel to either capture sensitive information or damage the system. Ochrana Credential Guard v programu Windows Defender používá zabezpečení na základě virtualizace k izolaci tajných kódů, aby k nim měli přístup jenom privilegovaný systémový software.Windows Defender Credential Guard uses virtualization-based security to isolate secrets so that only privileged system software can access them.

    Další informace najdete v tématech Správa ochrany přihlašovacích údajů v programu Windows Defender a stažení nástroje Device ReadinessGuard pro ochranu před hardwarem.To learn more, see Manage Windows Defender Credential Guard and download the Device Guard and Credential Guard hardware readiness tool.

  • Aktualizace pro Windows a firmware jsou nezbytné v clusterech, serverech (včetně virtuálních počítačů hosta) a počítačích, které vám pomohou zajistit, aby byl operační systém i systémový hardware chráněn před útočníky.Windows and firmware updates are essential on clusters, servers (including guest VMs), and PCs to help ensure that both the operating system and system hardware are protected from attackers. Pomocí nástroje aktualizace centra pro správu systému Windows můžete použít aktualizace pro jednotlivé systémy.You can use the Windows Admin Center Updates tool to apply updates to individual systems. Pokud váš poskytovatel hardwaru zahrnuje podporu centra pro správu systému Windows pro získání aktualizací ovladačů, firmwaru a řešení, můžete získat tyto aktualizace ve stejnou dobu jako aktualizace systému Windows, jinak je přímo od dodavatele získat.If your hardware provider includes Windows Admin Center support for getting driver, firmware, and solution updates, you can get these updates at the same time as Windows updates, otherwise get them directly from your vendor.

    Další informace najdete v tématu aktualizace clusteru.To learn more, see Update the cluster.

    Pokud chcete spravovat aktualizace na několika clusterech a serverech najednou, zvažte přihlášení k odběru volitelné služby Azure Update Management, která je integrovaná s centrem pro správu systému Windows.To manage updates on multiple clusters and servers at a time, consider subscribing to the optional Azure Update Management service, which is integrated with Windows Admin Center. Další informace najdete v tématu Azure Update Management pomocí centra pro správu systému Windows.For more information, see Azure Update Management using Windows Admin Center.

Ochrana datProtect data

Tato část popisuje, jak pomocí centra pro správu systému Windows chránit data a úlohy v operačním systému:This section discusses how to use Windows Admin Center to protect data and workloads on the operating system:

  • BitLocker pro prostory úložiště chrání data v klidovém umístění.BitLocker for Storage Spaces protects data at rest. Nástroj BitLocker můžete použít k šifrování obsahu datových svazků prostorů úložiště v operačním systému.You can use BitLocker to encrypt the contents of Storage Spaces data volumes on the operating system. Použití nástroje BitLocker k ochraně dat může organizacím pomoci zajistit dodržování předpisů pro státní, regionální a průmyslové standardy, jako je FIPS 140-2 nebo HIPAA.Using BitLocker to protect data can help organizations stay compliant with government, regional, and industry-specific standards such as FIPS 140-2, and HIPAA.

    Další informace o používání BitLockeru v centru pro správu Windows najdete v tématu povolení šifrování svazků, odstraňování duplicit a komprimace .To learn more about using BitLocker in Windows Admin Center, see Enable volume encryption, deduplication, and compression

  • Šifrování protokolu SMB pro sítě Windows chrání data při přenosu.SMB encryption for Windows networking protects data in transit. SMB (Server Message Block) je protokol pro sdílení souborů v síti, který umožňuje aplikacím na počítači číst soubory a zapisovat do nich a požadovat služby od serverových programů v počítačové síti.Server Message Block (SMB) is a network file sharing protocol that allows applications on a computer to read and write to files and to request services from server programs on a computer network.

    Pokud chcete povolit šifrování protokolu SMB, přečtěte si téma vylepšení zabezpečení protokolu SMB.To enable SMB encryption, see SMB security enhancements.

  • Antivirová ochrana v programu Windows Defender v centru pro správu Windows chrání operační systém na klientech a serverech před viry, malwarem, spywarem a dalšími hrozbami.Windows Defender Antivirus in Windows Admin Center protects the operating system on clients and servers against viruses, malware, spyware, and other threats. Další informace najdete v tématu antivirová ochrana v programu Microsoft Defender v systému Windows Server 2016 a 2019.To learn more, see Microsoft Defender Antivirus on Windows Server 2016 and 2019.

Ochrana identitProtect identities

Tato část popisuje, jak pomocí centra pro správu systému Windows chránit privilegované identity:This section discusses how to use Windows Admin Center to protect privileged identities:

  • Řízení přístupu může zlepšit zabezpečení vaší krajiny pro správu.Access control can improve the security of your management landscape. Pokud používáte server centra pro správu Windows (vs. běží na počítači s Windows 10), můžete řídit dvě úrovně přístupu přímo do centra pro správu Windows: uživatelé brány a správci brány.If you're using a Windows Admin Center server (vs. running on a Windows 10 PC), you can control two levels of access to Windows Admin Center itself: gateway users and gateway administrators. Mezi možnosti zprostředkovatele identity Správce brány patří:Gateway administrator identity provider options include:

    • Skupiny služby Active Directory nebo místní počítač pro vymáhání ověřování pomocí čipové kartyActive Directory or local machine groups to enforce smartcard authentication.
    • Azure Active Directory k vykonání podmíněného přístupu a vícefaktorového ověřování.Azure Active Directory to enforce conditional access and multifactor authentication.

    Další informace najdete v tématu Možnosti uživatelského přístupu v centru pro správu Windows a Konfigurace uživatelských Access Control a oprávnění.To learn more, see User access options with Windows Admin Center and Configure User Access Control and Permissions.

  • Provoz prohlížeče v centru pro správu systému Windows používá protokol HTTPS.Browser traffic to Windows Admin Center uses HTTPS. Provoz z centra pro správu Windows na spravované servery používá standardní PowerShell a rozhraní WMI (Windows Management Instrumentation) (WMI) přes Vzdálená správa systému Windows (WinRM).Traffic from Windows Admin Center to managed servers uses standard PowerShell and Windows Management Instrumentation (WMI) over Windows Remote Management (WinRM). Centrum pro správu systému Windows podporuje řešení hesla místního správce (LAPS), omezené delegování založené na prostředku, řízení přístupu brány pomocí služby Active Directory (AD) nebo Microsoft Azure Active Directory (Azure AD) a řízení přístupu na základě role (RBAC) pro správu cílových serverů.Windows Admin Center supports the Local Administrator Password Solution (LAPS), resource-based constrained delegation, gateway access control using Active Directory (AD) or Microsoft Azure Active Directory (Azure AD), and role-based access control (RBAC) for managing target servers.

    Centrum pro správu Windows podporuje Microsoft Edge (Windows 10, verze 1709 nebo novější), Google Chrome a Microsoft Edge Insider ve Windows 10.Windows Admin Center supports Microsoft Edge (Windows 10, version 1709 or later), Google Chrome, and Microsoft Edge Insider on Windows 10. Centrum pro správu Windows můžete nainstalovat buď na počítač s Windows 10, nebo na Windows Server.You can install Windows Admin Center on either a Windows 10 PC or a Windows server.

    Pokud nainstalujete centrum pro správu Windows na server, který spouští jako bránu, bez uživatelského rozhraní na hostitelském serveru.If you install Windows Admin Center on a server it runs as a gateway, with no UI on the host server. V tomto scénáři se správci mohou přihlásit k serveru prostřednictvím relace HTTPS zabezpečeného certifikátem zabezpečení podepsanému svým držitelem na hostiteli.In this scenario, administrators can log on to the server via an HTTPS session, secured by a self-signed security certificate on the host. Je ale lepší použít pro proces přihlašování vhodný certifikát SSL od důvěryhodné certifikační autority, protože podporované prohlížeče považují připojení podepsané svým držitelem jako nezabezpečené, i když je připojení k místní IP adrese přes důvěryhodnou síť VPN.However, it's better to use an appropriate SSL certificate from a trusted certificate authority for the sign-on process, because supported browsers treat a self-signed connection as unsecure, even if the connection is to a local IP address over a trusted VPN.

    Další informace o možnostech instalace vaší organizace najdete v tématu jaký typ instalace je pro vás nejvhodnější?.To learn more about installation options for your organization, see What type of installation is right for you?.

  • CredSSP je poskytovatel ověřování, který centrum pro správu systému Windows používá v několika případech k předání přihlašovacích údajů do počítačů nad rámec konkrétního serveru, na který cílíte na správu.CredSSP is an authentication provider that Windows Admin Center uses in a few cases to pass credentials to machines beyond the specific server you are targeting to manage. Centrum pro správu systému Windows v současnosti vyžaduje zprostředkovatele CredSSP pro:Windows Admin Center currently requires CredSSP to:

    • Vytvořte nový cluster.Create a new cluster.
    • Přístup k nástroji Updates pro použití funkce clusteringu s podporou převzetí služeb při selhání nebo aktualizace pro clustery.Access the Updates tool to use either the Failover clustering or Cluster-Aware Updating features.
    • Spravujte na virtuálních počítačích neagregované úložiště SMB.Manage disaggregated SMB storage in VMs.

    Další informace najdete v tématu o tom, jak Centrum pro správu Windows používá CredSSP?To learn more, see Does Windows Admin Center use CredSSP?

  • Řízení přístupu na základě role (RBAC) v centru pro správu systému Windows umožňuje uživatelům omezený přístup k serverům, které potřebují ke správě, a nikoli k tomu, aby je nemuseli používat pro úplné místní správce.Role-based access control (RBAC) in Windows Admin Center allows users limited access to the servers they need to manage instead of making them full local administrators. Pokud chcete použít RBAC v centru pro správu Windows, nakonfigurujete každý spravovaný server pomocí PowerShellu, který je právě dostatečným koncovým bodem správy.To use RBAC in Windows Admin Center, you configure each managed server with a PowerShell Just Enough Administration endpoint.

    Další informace najdete v tématu řízení přístupu na základě role a jen dostatečná Správa.To learn more, see Role-based access control and Just Enough Administration.

  • Nástroje zabezpečení v centru pro správu systému Windows, které můžete použít ke správě a ochraně identit, zahrnují službu Active Directory, certifikáty, bránu firewall, místní uživatele a skupiny a další.Security tools in Windows Admin Center that you can use to manage and protect identities include Active Directory, Certificates, Firewall, Local Users and Groups, and more.

    Další informace najdete v tématu Správa serverů pomocí centra pro správu systému Windows.To learn more, see Manage Servers with Windows Admin Center.

Část 2: použití Azure Security CenterPart 2: Use Azure Security Center

Azure Security Center je jednotný systém pro správu zabezpečení infrastruktury, který posílí stav zabezpečení vašich datových center a poskytuje rozšířenou ochranu před hrozbami napříč vašimi hybridními úlohami v cloudu i místně.Azure Security Center is a unified infrastructure security management system that strengthens the security posture of your data centers, and provides advanced threat protection across your hybrid workloads in the cloud and on premises. Security Center poskytuje nástroje k vyhodnocení stavu zabezpečení vaší sítě, ochraně úloh, vyvolávání výstrah zabezpečení a dodržování specifických doporučení k nápravě útoků a řešení budoucích hrozeb.Security Center provides you with tools to assess the security status of your network, protect workloads, raise security alerts, and follow specific recommendations to remediate attacks and address future threats. Security Center provádí všechny tyto služby s vysokou rychlostí v cloudu bez režie nasazení prostřednictvím automatického zřizování a ochrany se službami Azure.Security Center performs all of these services at high speed in the cloud with no deployment overhead through auto-provisioning and protection with Azure services.

Security Center chrání virtuální počítače pro servery Windows i Linux servery instalací agenta Log Analytics na tyto prostředky.Security Center protects VMs for both Windows servers and Linux servers by installing the Log Analytics agent on these resources. Azure koreluje události, které agenti shromažďují do doporučení (posílení úloh), které provádíte, aby vaše úlohy byly zabezpečené.Azure correlates events that the agents collect into recommendations (hardening tasks) that you perform to make your workloads secure. Úlohy posílení zabezpečení založené na osvědčených postupech zabezpečení zahrnují správu a vynucování zásad zabezpečení.The hardening tasks based on security best practices include managing and enforcing security policies. Pak můžete sledovat výsledky a spravovat dodržování předpisů a zásad správného řízení prostřednictvím Security Center monitorování a zároveň snížit plochu pro útok napříč všemi vašimi prostředky.You can then track the results and manage compliance and governance over time through Security Center monitoring while reducing the attack surface across all of your resources.

Správa přístupu uživatelů k prostředkům a předplatným Azure představuje důležitou součást strategie zásad správného řízení Azure.Managing who can access your Azure resources and subscriptions is an important part of your Azure governance strategy. Hlavní metodou správy přístupu v Azure je řízení přístupu na základě role (RBAC).Azure role-based access control (RBAC) is the primary method of managing access in Azure. Další informace najdete v tématu Správa přístupu k prostředí Azure pomocí řízení přístupu na základě role.To learn more, see Manage access to your Azure environment with role-based access control.

Práce s Security Center v centru pro správu Windows vyžaduje předplatné Azure.Working with Security Center through Windows Admin Center requires an Azure subscription. Informace o tom, jak začít, najdete v tématu integrace Azure Security Center s centrem pro správu systému Windows.To get started, see Integrate Azure Security Center with Windows Admin Center.

Po registraci, přístup k Security Center v centru pro správu Windows: na stránce všechna připojení vyberte server nebo virtuální počítač, v části nástrojevyberte Azure Security Centera pak vyberte Přihlásit se k Azure.After registering, access Security Center in Windows Admin Center: On the All Connections page, select a server or VM, under Tools, select Azure Security Center, and then select Sign into Azure.

Další informace najdete v tématu co je Azure Security Center?To learn more, see What is Azure Security Center?

Část 3: Přidání rozšířeného zabezpečeníPart 3: Add advanced security

V následujících částech jsou doporučené rozšířené nástroje zabezpečení a technologie pro další posílení serverů, na kterých běží operační systém Azure Stack HCI ve vašem prostředí.The following sections recommend advanced security tools and technologies to further harden servers running the Azure Stack HCI operating system in your environment.

Posílit zabezpečení prostředíHarden the environment

  • Základní hodnoty zabezpečení Microsoftu jsou založené na doporučeních zabezpečení od Microsoftu získaných prostřednictvím partnerství s komerčními organizacemi a vládou USA, jako je Ministerstvo obrany.Microsoft security baselines are based on security recommendations from Microsoft obtained through partnership with commercial organizations and the US government, such as the Department of Defense. Standardní hodnoty zabezpečení zahrnují doporučené nastavení zabezpečení pro bránu Windows Firewall, program Windows Defender a mnoho dalších.The security baselines include recommended security settings for Windows Firewall, Windows Defender, and many others.

    Směrné plány zabezpečení jsou k dispozici jako zálohy objektů Zásady skupiny objektů (GPO), které můžete importovat do Active Directory Domain Services (služba AD DS), a potom je nasadit na servery připojené k doméně za účelem posílení prostředí.The security baselines are provided as Group Policy Object (GPO) backups that you can import into Active Directory Domain Services (AD DS), and then deploy to domain-joined servers to harden the environment. Pomocí nástrojů pro místní skripty můžete také nakonfigurovat samostatné servery (nepřipojené k doméně) pomocí standardních hodnot zabezpečení.You can also use Local Script tools to configure standalone (non domain-joined) servers with security baselines. Pokud chcete začít používat standardní hodnoty zabezpečení, Stáhněte si sadu Microsoft Security Security Toolkit 1,0.To get started using the security baselines, download the Microsoft Security Compliance Toolkit 1.0.

    Další informace najdete v tématu základní údaje o zabezpečení společnosti Microsoft.To learn more, see Microsoft Security Baselines.

Ochrana datProtect data

  • Posílení zabezpečení prostředí Hyper-V vyžaduje posílení zabezpečení Windows serveru běžícího na virtuálním počítači stejně, jako byste zjednodušili operační systém běžící na fyzickém serveru.Hardening the Hyper-V environment requires hardening Windows Server running on a VM just as you would harden the operating system running on a physical server. Vzhledem k tomu, že virtuální prostředí mají obvykle více virtuálních počítačů sdílejících stejný fyzický hostitel, je nezbytné chránit jak fyzického hostitele, tak i virtuální počítače, které jsou v něm spuštěné.Because virtual environments typically have multiple VMs sharing the same physical host, it is imperative to protect both the physical host and the VMs running on it. Útočník, který ohrožuje hostitele, může ovlivnit více virtuálních počítačů s větším dopadem na úlohy a služby.An attacker who compromises a host can affect multiple VMs with a greater impact on workloads and services. Tato část pojednává o následujících metodách, které můžete použít k posílení Windows serveru v prostředí Hyper-V:This section discusses the following methods that you can use to harden Windows Server in a Hyper-V environment:

    • Chráněné prostředky infrastruktury a stíněné virtuální počítače posílí zabezpečení virtuálních počítačů, které běží v prostředích Hyper-V, tím, že útočníkům brání v úpravách souborů virtuálního počítače.Guarded fabric and shielded VMs strengthen the security for VMs running in Hyper-V environments by preventing attackers from modifying VM files. Chráněné prostředky infrastruktury se skládají ze služby strážce hostitele (HGS), což je obvykle cluster tří uzlů, jeden nebo více chráněných hostitelů a sada chráněných virtuálních počítačů.A guarded fabric consists of a Host Guardian Service (HGS) that is typically a cluster of three nodes, one or more guarded hosts, and a set of shielded VMs. Služba ověření identity vyhodnocuje platnost žádostí hostitelů, zatímco služba ochrany klíčů určuje, jestli se mají vydávat klíče, které můžou chráněné hostitele použít ke spuštění stíněného virtuálního počítače.The Attestation Service evaluates the validity of hosts requests, while the Key Protection Service determines whether to release keys that the guarded hosts can use to start the shielded VM.

      Další informace najdete v tématu Přehled chráněných prostředků infrastruktury a chráněných virtuálních počítačů.To learn more, see Guarded fabric and shielded VMs overview.

    • Virtual Trusted Platform Module (vTPM) ve Windows serveru podporuje čip TPM pro virtuální počítače, který umožňuje používat pokročilé technologie zabezpečení, jako je třeba BitLocker na virtuálních počítačích.Virtual Trusted Platform Module (vTPM) in Windows Server supports TPM for VMs, which lets you use advanced security technologies, such as BitLocker in VMs. Podporu čipu TPM můžete povolit pro libovolný virtuální počítač Hyper-V generace 2 pomocí Správce technologie Hyper-V nebo Enable-VMTPM rutiny prostředí Windows PowerShell.You can enable TPM support on any Generation 2 Hyper-V VM by using either Hyper-V Manager or the Enable-VMTPM Windows PowerShell cmdlet.

      Další informace najdete v tématu Enable-VMTPM.To learn more, see Enable-VMTPM.

    • Softwarově definované sítě (SDN) v Azure Stack HCI a Windows Server centrálně konfigurují a spravují fyzická a virtuální síťová zařízení, jako jsou směrovače, přepínače a brány ve vašem datovém centru.Software Defined Networking (SDN) in Azure Stack HCI and Windows Server centrally configures and manages physical and virtual network devices, such as routers, switches, and gateways in your datacenter. Prvky virtuální sítě, jako je virtuální přepínač Hyper-V, virtualizace sítě Hyper-V a brána služby RAS, jsou navržené tak, aby byly integrálními prvky vaší infrastruktury SDN.Virtual network elements, such as Hyper-V Virtual Switch, Hyper-V Network Virtualization, and RAS Gateway are designed to be integral elements of your SDN infrastructure.

      Další informace najdete v tématu softwarově definované sítě (SDN).To learn more, see Software Defined Networking (SDN).

Ochrana identitProtect identities

  • Řešení hesel místního správce (LAPS) je zjednodušený mechanismus pro systémy připojené k doméně služby Active Directory, který pravidelně nastavuje místní heslo účtu správce počítače na novou náhodnou a jedinečnou hodnotu.Local Administrator Password Solution (LAPS) is a lightweight mechanism for Active Directory domain-joined systems that periodically sets each computer’s local admin account password to a new random and unique value. Hesla se ukládají do zabezpečeného důvěrného atributu u odpovídajícího objektu počítače ve službě Active Directory, kde je můžou načítat jenom oprávnění uživatelé.Passwords are stored in a secured confidential attribute on the corresponding computer object in Active Directory, where only specifically-authorized users can retrieve them. LAPS používá místní účty pro vzdálenou správu počítačů způsobem, který nabízí některé výhody při používání doménových účtů.LAPS uses local accounts for remote computer management in a way that offers some advantages over using domain accounts. Další informace najdete v tématu vzdálené použití místních účtů: LAPS mění vše.To learn more, see Remote Use of Local Accounts: LAPS Changes Everything.

    Pokud chcete začít používat LAPS, Stáhněte si řešení hesla místního správce (LAPS).To get started using LAPS, download Local Administrator Password Solution (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) je místní produkt, který můžete použít k detekci útočníků, kteří se pokoušejí ohrozit privilegované identity.Microsoft Advanced Threat Analytics (ATA) is an on-premises product that you can use to help detect attackers attempting to compromise privileged identities. ATA analyzuje síťový provoz pro protokoly ověřování, autorizace a shromažďování informací, jako jsou Kerberos a DNS.ATA parses network traffic for authentication, authorization, and information gathering protocols, such as Kerberos and DNS. ATA používá data k vytváření profilů chování uživatelů a dalších entit v síti za účelem detekce anomálií a známých vzorů útoku.ATA uses the data to build behavioral profiles of users and other entities on the network to detect anomalies and known attack patterns.

    Další informace najdete v tématu co je Advanced Threat Analytics?.To learn more, see What is Advanced Threat Analytics?.

  • Ochrana před vzdálenými přihlašovacími údaji v programu Windows Defender chrání přihlašovací údaje přes připojení ke vzdálené ploše přesměrováním požadavků protokolu Kerberos zpět na zařízení, které žádá o připojení.Windows Defender Remote Credential Guard protects credentials over a Remote Desktop connection by redirecting Kerberos requests back to the device that's requesting the connection. Poskytuje taky jednotné přihlašování (SSO) pro relace vzdálené plochy.It also provides single sign-on (SSO) for Remote Desktop sessions. Pokud dojde k ohrožení zabezpečení cílového zařízení v relaci vzdálené plochy, vaše přihlašovací údaje se nezveřejňují, protože pověření i deriváty přihlašovacích údajů se přes síť nikdy předávají cílovému zařízení.During a Remote Desktop session, if the target device is compromised, your credentials are not exposed because both credential and credential derivatives are never passed over the network to the target device.

    Další informace najdete v tématu Správa ochrany přihlašovacích údajů v programu Windows Defender.To learn more, see Manage Windows Defender Credential Guard.

Další krokyNext steps

Další informace o dodržování předpisů týkajících se zabezpečení a dodržování předpisů najdete zde:For more information on security and regulatory compliance, see also: