Azure Stack HCI biztonsági megfontolásokAzure Stack HCI security considerations

A következőkre vonatkozik: Azure Stack HCI, Version 20H2; Windows Server 2019Applies to: Azure Stack HCI, version 20H2; Windows Server 2019

Ez a témakör a Azure Stack HCI operációs rendszerrel kapcsolatos biztonsági szempontokat és javaslatokat tartalmaz:This topic provides security considerations and recommendations related to the Azure Stack HCI operating system:

  • Az 1. rész az operációs rendszer megerősítő alapszintű biztonsági eszközeit és technológiáit, valamint az adatok és identitások védelmét nyújtja a szervezete biztonságos alapjainak hatékony kiépítéséhez.Part 1 covers basic security tools and technologies to harden the operating system, and protect data and identities to efficiently build a secure foundation for your organization.
  • A 2. rész a Azure Security Centeron keresztül elérhető erőforrásokat fedi le.Part 2 covers resources available through the Azure Security Center.
  • A 3. rész több speciális biztonsági szempontot is tartalmaz, amelyekkel tovább erősíthető a szervezete biztonsági helyzete ezekben a területeken.Part 3 covers more advanced security considerations to further strengthen the security posture of your organization in these areas.

Miért fontos a biztonsági megfontolások?Why are security considerations important?

A biztonság a szervezeten belüli mindenkire hatással van a felső szintű felügyelettől az információs feldolgozóig.Security affects everyone in your organization from upper-level management to the information worker. A nem megfelelő biztonság valós kockázat a szervezetek számára, mivel a biztonsági rések megzavarják az összes szokásos üzleti tevékenységet, és leállítják a szervezetet.Inadequate security is a real risk for organizations, as a security breach can potentially disrupt all normal business and bring your organization to a halt. Minél hamarabb észlelheti a lehetséges támadásokat, annál gyorsabban csökkentheti a biztonságot.The sooner that you can detect a potential attack, the faster you can mitigate any compromise in security.

A környezet gyenge pontjainak kihasználása után a támadók általában 24 – 48 órán belül elérhetik a kezdeti kompromisszumos jogosultságokat a hálózatban található rendszerek felügyeletének megkezdéséhez.After researching an environment's weak points to exploit them, an attacker can typically within 24 to 48 hours of the initial compromise escalate privileges to take control of systems on the network. A megfelelő biztonsági intézkedések megerősítik a környezet rendszereit annak érdekében, hogy a támadók az idő múlásával akár hetekig, akár hónapokig is átvehetik az irányítást a támadó mozgásának blokkolásával.Good security measures harden the systems in the environment to extend the time it takes an attacker to potentially take control from hours to weeks or even months by blocking the attacker's movements. Az ebben a témakörben található biztonsági javaslatok bevezetésével a szervezetnek a lehető leggyorsabban kell felderíteni és reagálnia az ilyen támadásokra.Implementing the security recommendations in this topic position your organization to detect and respond to such attacks as fast as possible.

1. rész: biztonságos alaprendszer létrehozásaPart 1: Build a secure foundation

A következő fejezetek a biztonsági eszközöket és technológiákat ismertetik a környezetében a Azure Stack HCI operációs rendszert futtató kiszolgálók biztonságos alapjainak létrehozásához.The following sections recommend security tools and technologies to build a secure foundation for the servers running the Azure Stack HCI operating system in your environment.

A környezet megerősítéseHarden the environment

Ez a szakasz azt ismerteti, hogyan biztosítható az operációs rendszeren futó szolgáltatások és virtuális gépek (VM-EK) elleni védelem:This section discusses how to protect services and virtual machines (VMs) running on the operating system:

  • Azure stack a HCI tanúsítvánnyal rendelkező hardverek biztosítják az egységes biztonságos rendszerindítási, UEFI-és TPM-beállításokat a dobozból.Azure Stack HCI certified hardware provides consistent Secure Boot, UEFI, and TPM settings out of the box. A virtualizálás-alapú biztonság és a tanúsítvánnyal rendelkező hardverek kombinálásával megvédheti a biztonság szempontjából érzékeny munkaterheléseket.Combining virtualization-based security and certified hardware helps protect security-sensitive workloads. Ezt a megbízható infrastruktúrát úgy is összekapcsolhatja, hogy Azure Security Center a viselkedési elemzések és jelentéskészítés aktiválásához a gyorsan változó munkaterhelések és fenyegetések miatt.You can also connect this trusted infrastructure to Azure Security Center to activate behavioral analytics and reporting to account for rapidly changing workloads and threats.

    • A biztonságos rendszerindítás a számítógépes iparág által kifejlesztett biztonsági szabvány, amellyel biztosítható, hogy egy eszköz csak az eredeti BERENDEZÉSGYÁRTÓ (OEM) által megbízhatónak ítélt szoftvereket használjon.Secure boot is a security standard developed by the PC industry to help ensure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). További információ: biztonságos rendszerindítás.To learn more, see Secure boot.
    • Az egyesült Extensible Firmware Interface (UEFI) szabályozza a kiszolgáló rendszerindítási folyamatát, majd átirányítja a vezérlést Windows vagy más operációs rendszerre.United Extensible Firmware Interface (UEFI) controls the booting process of the server, and then passes control to either Windows or another operating system. További információért lásd az UEFI belső vezérlőprogram-követelményeitismertető témakört.To learn more, see UEFI firmware requirements.
    • A platformmegbízhatósági modul (TPM) technológia hardveres, biztonsággal kapcsolatos funkciókat biztosít.Trusted Platform Module (TPM) technology provides hardware-based, security-related functions. A TPM-lapka egy biztonságos kriptográfiai processzor, amely a titkosítási kulcsok használatát állítja elő, tárolja és korlátozza.A TPM chip is a secure crypto-processor that generates, stores, and limits the use of cryptographic keys. További információ: platformmegbízhatósági modul Technology – áttekintés.To learn more, see Trusted Platform Module Technology Overview.

    Ha többet szeretne megtudni a Azure Stack HCI Certified-szolgáltatókról, tekintse meg a következő témakört: Azure stack HCI Solutions webhelye.To learn more about Azure Stack HCI certified hardware providers, see the Azure Stack HCI solutions website.

  • Device Guard és hitelesítőadat-őr.Device Guard and Credential Guard. Az Eszközkezelő olyan kártevők elleni védelmet biztosít, amelyeknek nincs ismert aláírása, aláíratlan kód, valamint a kernelhez való hozzáférést biztosító kártevők bizalmas információk rögzítésére vagy a rendszer károsodására.Device Guard protects against malware with no known signature, unsigned code, and malware that gains access to the kernel to either capture sensitive information or damage the system. A Windows Defender hitelesítőadat-őr virtualizálás-alapú biztonságot használ a titkok elkülönítésére, így csak a rendszerjogosultságú rendszerszoftverek férhetnek hozzájuk.Windows Defender Credential Guard uses virtualization-based security to isolate secrets so that only privileged system software can access them.

    További információ: a Windows Defender hitelesítő adatainak kezelése és az Eszközkezelő és a Hitelesítőadat-kezelő hardveres készültségi eszközletöltése.To learn more, see Manage Windows Defender Credential Guard and download the Device Guard and Credential Guard hardware readiness tool.

  • A Windows és a belső vezérlőprogram frissítései elengedhetetlenek a fürtök, a kiszolgálók (beleértve a vendég virtuális gépeket) és a számítógépek számára, így biztosítva, hogy az operációs rendszer és a rendszer hardvere is védve legyen a támadók ellen.Windows and firmware updates are essential on clusters, servers (including guest VMs), and PCs to help ensure that both the operating system and system hardware are protected from attackers. A Windows felügyeleti központ frissítések eszközével az egyes rendszereken is alkalmazhat frissítéseket.You can use the Windows Admin Center Updates tool to apply updates to individual systems. Ha a hardveres szolgáltató a Windows felügyeleti központot is támogatja az illesztőprogram, a belső vezérlőprogram és a megoldás frissítéseinek beszerzéséhez, akkor a frissítéseket a Windows frissítéseivel megegyező időpontban is beszerezheti, ellenkező esetben közvetlenül a gyártótól kérheti le őket.If your hardware provider includes Windows Admin Center support for getting driver, firmware, and solution updates, you can get these updates at the same time as Windows updates, otherwise get them directly from your vendor.

    További információ: a fürt frissítése.To learn more, see Update the cluster.

    Ha egyszerre több fürt és kiszolgáló frissítéseit szeretné kezelni, érdemes lehet előfizetni az opcionális Azure Update Management szolgáltatásra, amely integrálva van a Windows felügyeleti központba.To manage updates on multiple clusters and servers at a time, consider subscribing to the optional Azure Update Management service, which is integrated with Windows Admin Center. További információ: Azure Update Management a Windows felügyeleti központban.For more information, see Azure Update Management using Windows Admin Center.

Adatok védelmeProtect data

Ez a szakasz azt ismerteti, hogyan használható a Windows felügyeleti központ az adatok és a számítási feladatok az operációs rendszeren való védelme érdekében:This section discusses how to use Windows Admin Center to protect data and workloads on the operating system:

  • A tárolóhelyek BitLocker szolgáltatás védi a nyugalmi állapotban lévő adatok védelmét.BitLocker for Storage Spaces protects data at rest. A BitLocker használatával titkosíthatja a tárolóhelyek adatköteteinek tartalmát az operációs rendszeren.You can use BitLocker to encrypt the contents of Storage Spaces data volumes on the operating system. Az adatvédelemre szolgáló BitLocker használatával a szervezetek a kormányzati, regionális és iparági szabványoknak megfelelő, például az FIPS 140-2-es és a HIPAA-szabványoknak is eleget tesznek.Using BitLocker to protect data can help organizations stay compliant with government, regional, and industry-specific standards such as FIPS 140-2, and HIPAA.

    Ha többet szeretne megtudni a BitLocker használatáról a Windows felügyeleti központban, tekintse meg a mennyiségi titkosítás, a deduplikálás és a tömörítés engedélyezése című témakört.To learn more about using BitLocker in Windows Admin Center, see Enable volume encryption, deduplication, and compression

  • A Windows hálózat SMB -titkosítása védi az átvitt adatforgalmat.SMB encryption for Windows networking protects data in transit. A kiszolgáló-üzenetblokk (SMB) egy hálózati fájlmegosztás protokoll, amely lehetővé teszi, hogy az alkalmazások a számítógépeken a fájlok olvasását és írását, illetve a számítógép-hálózatban lévő kiszolgálói programoktól származó szolgáltatásokat kérjenek.Server Message Block (SMB) is a network file sharing protocol that allows applications on a computer to read and write to files and to request services from server programs on a computer network.

    Az SMB-titkosítás engedélyezéséhez tekintse meg az SMB biztonsági fejlesztéseitismertető témakört.To enable SMB encryption, see SMB security enhancements.

  • A Windows Defender Antivirus a Windows felügyeleti központban védi az operációs rendszert az ügyfeleken és a kiszolgálókon a vírusok, kártevők, kémprogramok és más fenyegetések ellen.Windows Defender Antivirus in Windows Admin Center protects the operating system on clients and servers against viruses, malware, spyware, and other threats. További információ: Microsoft Defender Antivirus a Windows Server 2016 és 2019.To learn more, see Microsoft Defender Antivirus on Windows Server 2016 and 2019.

Identitások elleni védelemProtect identities

Ebből a szakaszból megtudhatja, hogyan használhatja a Windows felügyeleti központot a Kiemelt identitások védelemmel való ellátásához:This section discusses how to use Windows Admin Center to protect privileged identities:

  • A hozzáférés-vezérlés növelheti a felügyeleti környezet biztonságát.Access control can improve the security of your management landscape. Ha Windows felügyeleti központú kiszolgálót használ (Windows 10 rendszerű számítógépen futtatva), akkor a Windows felügyeleti központhoz való hozzáférés két szintjét vezérelheti: átjáró-felhasználók és átjáró-rendszergazdák.If you're using a Windows Admin Center server (vs. running on a Windows 10 PC), you can control two levels of access to Windows Admin Center itself: gateway users and gateway administrators. Az átjáró-rendszergazdai identitás-szolgáltató beállításai a következők:Gateway administrator identity provider options include:

    • Active Directory vagy helyi számítógép-csoportok az intelligens kártya hitelesítésének érvényesítéséhez.Active Directory or local machine groups to enforce smartcard authentication.
    • Azure Active Directory a feltételes hozzáférés és a többtényezős hitelesítés érvénybe léptetéséhez.Azure Active Directory to enforce conditional access and multifactor authentication.

    További információ: felhasználói hozzáférési beállítások a Windows felügyeleti központban és a felhasználói Access Control és engedélyek konfigurálása.To learn more, see User access options with Windows Admin Center and Configure User Access Control and Permissions.

  • A Windows felügyeleti központba való böngésző-forgalom HTTPS protokollt használ.Browser traffic to Windows Admin Center uses HTTPS. A Windows felügyeleti központ és a felügyelt kiszolgálók közötti forgalom szabványos PowerShell és Windows Management Instrumentation (WMI) protokollt használ a Rendszerfelügyeleti webszolgáltatások (WinRM) használatával.Traffic from Windows Admin Center to managed servers uses standard PowerShell and Windows Management Instrumentation (WMI) over Windows Remote Management (WinRM). A Windows felügyeleti központ támogatja a helyi rendszergazdai jelszó megoldását (körök), az erőforrás-alapú korlátozott delegálást, az átjáró hozzáférés-vezérlését Active Directory (AD) vagy Microsoft Azure Active Directory (Azure AD) és szerepköralapú hozzáférés-vezérlés (RBAC) használatával a célkiszolgáló kezeléséhez.Windows Admin Center supports the Local Administrator Password Solution (LAPS), resource-based constrained delegation, gateway access control using Active Directory (AD) or Microsoft Azure Active Directory (Azure AD), and role-based access control (RBAC) for managing target servers.

    A Windows felügyeleti központ támogatja a Microsoft Edge (Windows 10, 1709-es vagy újabb verzió), a Google Chrome és a Microsoft Edge Insider használatát a Windows 10 rendszeren.Windows Admin Center supports Microsoft Edge (Windows 10, version 1709 or later), Google Chrome, and Microsoft Edge Insider on Windows 10. A Windows felügyeleti központot Windows 10 rendszerű vagy Windows Server rendszerű számítógépre is telepítheti.You can install Windows Admin Center on either a Windows 10 PC or a Windows server.

    Ha a Windows felügyeleti központot egy olyan kiszolgálóra telepíti, amely átjáróként fut, a gazdagépen nincs felhasználói felület.If you install Windows Admin Center on a server it runs as a gateway, with no UI on the host server. Ebben az esetben a rendszergazdák egy HTTPS-munkameneten keresztül jelentkezhetnek be a kiszolgálóra, amelyet a gazdagépen egy önaláírt biztonsági tanúsítvány biztosít.In this scenario, administrators can log on to the server via an HTTPS session, secured by a self-signed security certificate on the host. Azonban jobb, ha egy megbízható hitelesítésszolgáltatótól származó megfelelő SSL-tanúsítványt használ a bejelentkezési folyamathoz, mert a támogatott böngészők nem biztonságosként kezelik az önaláírt kapcsolatokat, még akkor is, ha a kapcsolat egy helyi IP-címhez csatlakozik egy megbízható VPN-en keresztül.However, it's better to use an appropriate SSL certificate from a trusted certificate authority for the sign-on process, because supported browsers treat a self-signed connection as unsecure, even if the connection is to a local IP address over a trusted VPN.

    Ha többet szeretne megtudni a szervezet telepítési lehetőségeiről, tekintse meg az Ön számára legmegfelelőbb telepítési típust.To learn more about installation options for your organization, see What type of installation is right for you?.

  • A CredSSP egy hitelesítési szolgáltató, amelyet a Windows felügyeleti központ néhány esetben használ a hitelesítő adatoknak a felügyelni kívánt kiszolgálón kívüli gépekre való továbbítására.CredSSP is an authentication provider that Windows Admin Center uses in a few cases to pass credentials to machines beyond the specific server you are targeting to manage. A Windows felügyeleti központban jelenleg a következő CredSSP szükséges:Windows Admin Center currently requires CredSSP to:

    • Hozzon létre egy új fürtöt.Create a new cluster.
    • A frissítési eszköz eléréséhez használja a feladatátvételi fürtszolgáltatást vagy a fürtöket támogató frissítési funkciókat.Access the Updates tool to use either the Failover clustering or Cluster-Aware Updating features.
    • A nem aggregált SMB-tárolók kezelése a virtuális gépeken.Manage disaggregated SMB storage in VMs.

    További információ: a Windows felügyeleti központ használata a CredSSP?To learn more, see Does Windows Admin Center use CredSSP?

  • A Windows felügyeleti központban a szerepköralapú hozzáférés-vezérlés (RBAC) lehetővé teszi a felhasználók számára a felügyelethez szükséges kiszolgálók hozzáférését a teljes helyi rendszergazdák helyett.Role-based access control (RBAC) in Windows Admin Center allows users limited access to the servers they need to manage instead of making them full local administrators. Ha a RBAC-t a Windows felügyeleti központban szeretné használni, az egyes felügyelt kiszolgálókat egy elég rendszergazdai végponttal kell konfigurálnia.To use RBAC in Windows Admin Center, you configure each managed server with a PowerShell Just Enough Administration endpoint.

    További információ: szerepköralapú hozzáférés-vezérlés és elég felügyelet.To learn more, see Role-based access control and Just Enough Administration.

  • Az identitások kezeléséhez és védelméhez használható Windows felügyeleti központban található biztonsági eszközök közé tartozik a Active Directory, a tanúsítványok, a tűzfal, a helyi felhasználók és a csoportok.Security tools in Windows Admin Center that you can use to manage and protect identities include Active Directory, Certificates, Firewall, Local Users and Groups, and more.

    További információ: kiszolgálók kezelése a Windows felügyeleti központtal.To learn more, see Manage Servers with Windows Admin Center.

2. rész: a Azure Security Center használataPart 2: Use Azure Security Center

Azure Security Center egy egységes infrastruktúra-alapú biztonsági felügyeleti rendszer, amely erősíti az adatközpontok biztonsági állapotát, és komplex veszélyforrások elleni védelmet biztosít a felhőben és a helyszínen lévő hibrid számítási feladatokban.Azure Security Center is a unified infrastructure security management system that strengthens the security posture of your data centers, and provides advanced threat protection across your hybrid workloads in the cloud and on premises. A Security Center eszközöket biztosít a hálózat biztonsági állapotának felméréséhez, a munkaterhelések védelméhez, a biztonsági riasztások megadásához, valamint a támadások elhárításához és a jövőbeli fenyegetések megoldásához szükséges konkrét javaslatok követéséhez.Security Center provides you with tools to assess the security status of your network, protect workloads, raise security alerts, and follow specific recommendations to remediate attacks and address future threats. Security Center az Azure-szolgáltatásokkal való automatikus kiépítés és védelem nélkül hajtja végre az összes ilyen szolgáltatást nagy sebességgel a felhőben.Security Center performs all of these services at high speed in the cloud with no deployment overhead through auto-provisioning and protection with Azure services.

Security Center védi a virtuális gépeket a Windows-kiszolgálók és a Linux-kiszolgálók számára, ha telepíti az Log Analytics ügynököt ezekre az erőforrásokra.Security Center protects VMs for both Windows servers and Linux servers by installing the Log Analytics agent on these resources. Az Azure összekapcsolja azokat az eseményeket, amelyekkel az ügynökök begyűjtik a munkaterhelések biztonságossá tételéhez szükséges javaslatokat (megerősítő feladatok).Azure correlates events that the agents collect into recommendations (hardening tasks) that you perform to make your workloads secure. Az ajánlott biztonsági eljárások alapján megerősítő feladatok közé tartozik a biztonsági házirendek kezelése és érvényesítése.The hardening tasks based on security best practices include managing and enforcing security policies. Ezután nyomon követheti az eredményeket, és kezelheti a megfelelőséget és a szabályozást az idő múlásával Security Center figyeléssel, miközben csökkenti a támadási felületet az összes erőforráson.You can then track the results and manage compliance and governance over time through Security Center monitoring while reducing the attack surface across all of your resources.

Annak kezelése, hogy ki férhet hozzá az Azure-erőforrásokhoz és -előfizetésekhez, az Azure-szabályozási stratégia fontos részét képezi.Managing who can access your Azure resources and subscriptions is an important part of your Azure governance strategy. Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) az Azure-beli hozzáférések kezelésének első számú módja.Azure role-based access control (RBAC) is the primary method of managing access in Azure. További információ: Az Azure-környezethez való hozzáférés kezelése szerepköralapú hozzáférés-vezérléssel.To learn more, see Manage access to your Azure environment with role-based access control.

Az Security Center a Windows felügyeleti központban való használata Azure-előfizetést igényel.Working with Security Center through Windows Admin Center requires an Azure subscription. Első lépésként tekintse meg a Azure Security Center integrálása a Windows felügyeleti központtalcímű témakört.To get started, see Integrate Azure Security Center with Windows Admin Center.

A regisztrálás után a Security Center a Windows felügyeleti központban: a minden kapcsolat lapon válasszon ki egy kiszolgálót vagy virtuális gépet, az eszközökterületen válassza a Azure Security Centerlehetőséget, majd válassza a Bejelentkezés az Azure-balehetőséget.After registering, access Security Center in Windows Admin Center: On the All Connections page, select a server or VM, under Tools, select Azure Security Center, and then select Sign into Azure.

További információ: What is Azure Security Center?To learn more, see What is Azure Security Center?

3. rész: fokozott biztonság hozzáadásaPart 3: Add advanced security

A következő részekben a speciális biztonsági eszközöket és technológiákat ajánljuk a környezetében a Azure Stack HCI operációs rendszert futtató kiszolgálók további megerősítéséhez.The following sections recommend advanced security tools and technologies to further harden servers running the Azure Stack HCI operating system in your environment.

A környezet megerősítéseHarden the environment

  • A Microsoft biztonsági alapkonfigurációi a Microsoft által a kereskedelmi szervezetekkel és az Egyesült Államok kormányával, például a védelmi minisztériumtal való együttműködés során szerzett biztonsági javaslatokon alapulnak.Microsoft security baselines are based on security recommendations from Microsoft obtained through partnership with commercial organizations and the US government, such as the Department of Defense. A biztonsági alapkonfigurációk a Windows tűzfal, a Windows Defender és sok más ajánlott biztonsági beállításait tartalmazzák.The security baselines include recommended security settings for Windows Firewall, Windows Defender, and many others.

    A biztonsági alapkonfigurációk Csoportházirend objektumként (GPO) vannak megadva, amelyeket importálhat Active Directory tartományi szolgáltatásokba (AD DS), majd üzembe helyezheti a tartományhoz csatlakoztatott kiszolgálókon, hogy megerősítse a környezetet.The security baselines are provided as Group Policy Object (GPO) backups that you can import into Active Directory Domain Services (AD DS), and then deploy to domain-joined servers to harden the environment. Helyi parancsfájl-eszközöket is használhat a biztonsági alapkonfigurációkkal rendelkező önálló (nem tartományhoz csatlakozó) kiszolgálók konfigurálásához.You can also use Local Script tools to configure standalone (non domain-joined) servers with security baselines. A biztonsági alapkonfigurációk használatának megkezdéséhez töltse le a Microsoft biztonsági megfelelőségi eszközkészlet 1,0-es verziójára.To get started using the security baselines, download the Microsoft Security Compliance Toolkit 1.0.

    További információ: Microsoft biztonságialapkonfigurációk.To learn more, see Microsoft Security Baselines.

Adatok védelmeProtect data

  • A Hyper-V környezet megkeményedése megköveteli, hogy a virtuális gépen futó Windows Server megerősítse a fizikai kiszolgálón futó operációs rendszert.Hardening the Hyper-V environment requires hardening Windows Server running on a VM just as you would harden the operating system running on a physical server. Mivel a virtuális környezetek jellemzően több, ugyanazon a fizikai gazdagépen található virtuális géppel rendelkeznek, elengedhetetlen a fizikai gazdagép és a rajta futó virtuális gépek elleni védelem.Because virtual environments typically have multiple VMs sharing the same physical host, it is imperative to protect both the physical host and the VMs running on it. Egy gazdagépet veszélyeztető támadó több virtuális gépre is hatással lehet, és nagyobb hatással van a munkaterhelésekre és szolgáltatásokra.An attacker who compromises a host can affect multiple VMs with a greater impact on workloads and services. Ez a szakasz a Windows Server Hyper-V környezetben való megerősítő következő módszereit ismerteti:This section discusses the following methods that you can use to harden Windows Server in a Hyper-V environment:

    • A védett hálók és a védett virtuális gépek megerősítik a Hyper-V környezetekben futó virtuális gépek biztonságát azáltal, hogy a támadók nem módosítják a virtuálisgép-fájlokat.Guarded fabric and shielded VMs strengthen the security for VMs running in Hyper-V environments by preventing attackers from modifying VM files. A védett háló egy olyan gazda Guardian-szolgáltatásból (HGS) áll, amely általában három csomópontból álló fürt, egy vagy több védett gazdagép és egy védett virtuális gép egy készlete.A guarded fabric consists of a Host Guardian Service (HGS) that is typically a cluster of three nodes, one or more guarded hosts, and a set of shielded VMs. Az igazolási szolgáltatás értékeli a gazdagépek kérelmének érvényességét, míg a kulcskezelő szolgáltatás meghatározza, hogy ki kell-e szabadítani azokat a kulcsokat, amelyeket a védett gazdagépek használhatnak a védett virtuális gép elindításához.The Attestation Service evaluates the validity of hosts requests, while the Key Protection Service determines whether to release keys that the guarded hosts can use to start the shielded VM.

      További információt a védett hálók és a védett virtuális gépek áttekintésecímű témakörben talál.To learn more, see Guarded fabric and shielded VMs overview.

    • A Windows Server Virtual platformmegbízhatósági modul (vTPM) támogatja a TPM használatát a virtuális gépek számára, amely lehetővé teszi a speciális biztonsági technológiák, például a BitLocker használata a virtuális gépeken.Virtual Trusted Platform Module (vTPM) in Windows Server supports TPM for VMs, which lets you use advanced security technologies, such as BitLocker in VMs. A TPM-támogatást bármely 2. generációs Hyper-V virtuális gépen engedélyezheti a Hyper-V kezelőjével vagy a Enable-VMTPM Windows PowerShell-parancsmag használatával.You can enable TPM support on any Generation 2 Hyper-V VM by using either Hyper-V Manager or the Enable-VMTPM Windows PowerShell cmdlet.

      További információ: enable-VMTPM.To learn more, see Enable-VMTPM.

    • A Azure Stack HCI és a Windows Server rendszerekben a szoftveres hálózatkezelés (Sdn) központilag konfigurálja és felügyeli a fizikai és virtuális hálózati eszközöket, például az útválasztókat, a kapcsolókat és az adatközpontban lévő átjárókat.Software Defined Networking (SDN) in Azure Stack HCI and Windows Server centrally configures and manages physical and virtual network devices, such as routers, switches, and gateways in your datacenter. A virtuális hálózati elemek, például a Hyper-V virtuális kapcsoló, a Hyper-V hálózati virtualizálás és a RAS-átjáró úgy vannak kialakítva, hogy az SDN-infrastruktúra szerves elemei legyenek.Virtual network elements, such as Hyper-V Virtual Switch, Hyper-V Network Virtualization, and RAS Gateway are designed to be integral elements of your SDN infrastructure.

      További információ: szoftveresen definiált hálózatkezelés (Sdn).To learn more, see Software Defined Networking (SDN).

Identitások elleni védelemProtect identities

  • A helyi rendszergazda jelszavas megoldás (kör) egy egyszerű mechanizmus a tartományhoz csatlakoztatott rendszerek Active Directory, amelyek rendszeres időközönként beállítja az egyes számítógépek helyi rendszergazdai fiókjának jelszavát egy új véletlenszerű és egyedi értékre.Local Administrator Password Solution (LAPS) is a lightweight mechanism for Active Directory domain-joined systems that periodically sets each computer’s local admin account password to a new random and unique value. A jelszavak tárolása a Active Directory megfelelő számítógép-objektumának biztonságos bizalmas attribútumában történik, ahol csak a kifejezetten jogosult felhasználók kérhetik le őket.Passwords are stored in a secured confidential attribute on the corresponding computer object in Active Directory, where only specifically-authorized users can retrieve them. A körök a távoli számítógépek felügyeletére szolgáló helyi fiókokat használják olyan módon, amely némi előnyt biztosít a tartományi fiókok használatával kapcsolatban.LAPS uses local accounts for remote computer management in a way that offers some advantages over using domain accounts. További információ : a helyi fiókok távoli használata: a körök mindent megváltoztatnak.To learn more, see Remote Use of Local Accounts: LAPS Changes Everything.

    A körök használatának megkezdéséhez töltse le a helyi rendszergazda jelszavas megoldását (kör).To get started using LAPS, download Local Administrator Password Solution (LAPS).

  • A Microsoft Advanced Threat Analytics (ATA) egy helyszíni termék, amellyel felderítheti a rendszerjogosultságú identitásokat veszélyeztető támadókat.Microsoft Advanced Threat Analytics (ATA) is an on-premises product that you can use to help detect attackers attempting to compromise privileged identities. Az ATA elemzi a hitelesítési, engedélyezési és információgyűjtési protokollok (például a Kerberos és a DNS) hálózati forgalmát.ATA parses network traffic for authentication, authorization, and information gathering protocols, such as Kerberos and DNS. Az ATA az adatelemzéssel a felhasználók és más entitások viselkedési profilját használja a hálózatban, hogy észlelje a rendellenességeket és az ismert támadási mintákat.ATA uses the data to build behavioral profiles of users and other entities on the network to detect anomalies and known attack patterns.

    További információ: Mi az Advanced Threat Analytics?.To learn more, see What is Advanced Threat Analytics?.

  • A Windows Defender távoli hitelesítő adatok védelme távoli asztal kapcsolaton keresztül védi a hitelesítő adatokat azáltal, hogy a Kerberos-kérelmeket visszairányítja a kapcsolódást kérő eszközre.Windows Defender Remote Credential Guard protects credentials over a Remote Desktop connection by redirecting Kerberos requests back to the device that's requesting the connection. Emellett egyszeri bejelentkezést (SSO) is biztosít Távoli asztal munkamenetekhez.It also provides single sign-on (SSO) for Remote Desktop sessions. Egy Távoli asztal-munkamenet során, ha a céleszköz sérült, a hitelesítő adatai nem jelennek meg, mert a hitelesítő adatok és a hitelesítő adatok származtatása nem történik meg a hálózaton a célként megadott eszközön.During a Remote Desktop session, if the target device is compromised, your credentials are not exposed because both credential and credential derivatives are never passed over the network to the target device.

    További információ: a Windows Defender hitelesítőadat-őr kezelése.To learn more, see Manage Windows Defender Credential Guard.

További lépésekNext steps

A biztonsággal és a szabályozás megfelelőségével kapcsolatos további információkért lásd még:For more information on security and regulatory compliance, see also: