Beveiligings overwegingen voor Azure Stack HCIAzure Stack HCI security considerations

Van toepassing op: Azure Stack HCI, versie 20H2; Windows Server 2019Applies to: Azure Stack HCI, version 20H2; Windows Server 2019

Dit onderwerp bevat beveiligings overwegingen en aanbevelingen met betrekking tot het HCI-besturings systeem van Azure Stack:This topic provides security considerations and recommendations related to the Azure Stack HCI operating system:

  • Deel 1 bevat basis beveiligings tools en-technologieën voor het beveiligen van het besturings systeem en het beschermen van gegevens en identiteiten om een veilige basis voor uw organisatie efficiënt te bouwen.Part 1 covers basic security tools and technologies to harden the operating system, and protect data and identities to efficiently build a secure foundation for your organization.
  • Deel 2 omvat bronnen die beschikbaar zijn via de Azure Security Center.Part 2 covers resources available through the Azure Security Center.
  • Deel 3 bevat meer geavanceerde beveiligings overwegingen om de beveiligings postuur van uw organisatie op deze gebieden verder te verbeteren.Part 3 covers more advanced security considerations to further strengthen the security posture of your organization in these areas.

Waarom zijn beveiligings overwegingen belang rijk?Why are security considerations important?

Beveiliging heeft gevolgen voor iedereen in uw organisatie van beheer van het hoogste niveau tot de informatie medewerker.Security affects everyone in your organization from upper-level management to the information worker. Ontoereikende beveiliging is een echt risico voor organisaties, omdat een inbreuk op de beveiliging het normale bedrijf kan verstoren en uw organisatie kan worden gestopt.Inadequate security is a real risk for organizations, as a security breach can potentially disrupt all normal business and bring your organization to a halt. Hoe snel u een mogelijke aanval kunt detecteren, des te sneller kunt u een inbreuk op de beveiliging oplossen.The sooner that you can detect a potential attack, the faster you can mitigate any compromise in security.

Na het doorzoeken van de zwakke punten van een omgeving om ze te kunnen exploiteren, kan een aanvaller doorgaans binnen 24 tot 48 uur na de eerste bevoegdheid om het beheer van systemen in het netwerk over te nemen.After researching an environment's weak points to exploit them, an attacker can typically within 24 to 48 hours of the initial compromise escalate privileges to take control of systems on the network. Goede beveiligings maatregelen zorgen ervoor dat de systemen in de omgeving de tijd verg Roten die een aanvaller in staat moet zijn om de controle over uur tot weken of zelfs maanden uit te voeren door de bewegingen van de aanvaller te blok keren.Good security measures harden the systems in the environment to extend the time it takes an attacker to potentially take control from hours to weeks or even months by blocking the attacker's movements. De implementatie van de beveiligings aanbevelingen in dit onderwerp positioneert uw organisatie om dergelijke aanvallen zo snel mogelijk te detecteren en erop te reageren.Implementing the security recommendations in this topic position your organization to detect and respond to such attacks as fast as possible.

Deel 1: een beveiligde basis bouwenPart 1: Build a secure foundation

In de volgende secties worden beveiligings tools en-technologieën aanbevolen om een beveiligde basis te maken voor de servers waarop het Azure Stack HCI-besturings systeem in uw omgeving wordt uitgevoerd.The following sections recommend security tools and technologies to build a secure foundation for the servers running the Azure Stack HCI operating system in your environment.

De omgeving beveiligenHarden the environment

In deze sectie wordt beschreven hoe u services en virtuele machines (Vm's) die worden uitgevoerd op het besturings systeem kunt beveiligen:This section discusses how to protect services and virtual machines (VMs) running on the operating system:

  • Azure stack HCI-gecertificeerde hardware biedt consistente instellingen voor beveiligd opstarten, UEFI en TPM.Azure Stack HCI certified hardware provides consistent Secure Boot, UEFI, and TPM settings out of the box. Het combi neren van beveiliging op basis van virtualisatie en gecertificeerde hardware helpt beveiligings gevoelige werk belastingen te beveiligen.Combining virtualization-based security and certified hardware helps protect security-sensitive workloads. U kunt deze vertrouwde infra structuur ook verbinden met Azure Security Center om gedrags analyse en rapportage te activeren om snel veranderende werk belastingen en bedreigingen uit te voeren.You can also connect this trusted infrastructure to Azure Security Center to activate behavioral analytics and reporting to account for rapidly changing workloads and threats.

    • Beveiligd opstarten is een beveiligings standaard die is ontwikkeld door de pc-industrie om ervoor te zorgen dat een apparaat wordt opgestart met alleen de software die wordt vertrouwd door de OEM (Original Equipment Manufacturer).Secure boot is a security standard developed by the PC industry to help ensure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). Zie Secure boot(Engelstalig) voor meer informatie.To learn more, see Secure boot.
    • In de verenigde Extensible Firmware Interface (UEFI) wordt het opstart proces van de server beheerd en wordt de besturing door gegeven aan Windows of een ander besturings systeem.United Extensible Firmware Interface (UEFI) controls the booting process of the server, and then passes control to either Windows or another operating system. Zie UEFI-firmware vereistenvoor meer informatie.To learn more, see UEFI firmware requirements.
    • Trusted Platform Module-technologie (TPM) biedt op hardware gebaseerde functies die betrekking hebben op de beveiliging.Trusted Platform Module (TPM) technology provides hardware-based, security-related functions. Een TPM-chip is een beveiligde crypto-processor waarmee het gebruik van cryptografische sleutels wordt gegenereerd, opgeslagen en beperkt.A TPM chip is a secure crypto-processor that generates, stores, and limits the use of cryptographic keys. Zie Trusted Platform Module Technology Overview(Engelstalig) voor meer informatie.To learn more, see Trusted Platform Module Technology Overview.

    Zie de website van Azure stack HCI Solutions voor meer informatie over Azure stack HCI-gecertificeerde hardwareproviders.To learn more about Azure Stack HCI certified hardware providers, see the Azure Stack HCI solutions website.

  • Device Guard en Credential Guard.Device Guard and Credential Guard. Device Guard beschermt tegen schadelijke software zonder bekende hand tekening, niet-ondertekende code en malware die toegang tot de kernel verkrijgt om gevoelige informatie vast te leggen of het systeem te beschadigen.Device Guard protects against malware with no known signature, unsigned code, and malware that gains access to the kernel to either capture sensitive information or damage the system. Windows Defender Credential Guard maakt gebruik van op virtualisatie gebaseerde beveiliging om geheime gegevens te isoleren. Zo hebt u er alleen met bevoegde systeemsoftware toegang toe.Windows Defender Credential Guard uses virtualization-based security to isolate secrets so that only privileged system software can access them.

    Zie Windows Defender Credential Guard beheren en het hulp programma Device Guard en Credential Guard hardware Readinessdownloaden voor meer informatie.To learn more, see Manage Windows Defender Credential Guard and download the Device Guard and Credential Guard hardware readiness tool.

  • Windows -en firmware -updates zijn essentieel voor clusters, servers (inclusief gast-vm's) en pc's om ervoor te zorgen dat zowel het besturings systeem als de systeemhardware wordt beschermd tegen aanvallers.Windows and firmware updates are essential on clusters, servers (including guest VMs), and PCs to help ensure that both the operating system and system hardware are protected from attackers. U kunt het hulp programma Windows-beheer centrum updates gebruiken om updates op afzonderlijke systemen toe te passen.You can use the Windows Admin Center Updates tool to apply updates to individual systems. Als uw hardwareprovider ondersteuning biedt voor Windows-beheer centrum voor het ophalen van stuur programma-, firmware-en oplossings updates, kunt u deze updates op hetzelfde moment als Windows-updates ophalen, anders rechtstreeks van uw leverancier ophalen.If your hardware provider includes Windows Admin Center support for getting driver, firmware, and solution updates, you can get these updates at the same time as Windows updates, otherwise get them directly from your vendor.

    Zie het cluster bijwerkenvoor meer informatie.To learn more, see Update the cluster.

    Als u updates op meerdere clusters en servers tegelijk wilt beheren, kunt u het beste abonneren op de optionele Azure Updatebeheer-service, die is geïntegreerd met Windows-beheer centrum.To manage updates on multiple clusters and servers at a time, consider subscribing to the optional Azure Update Management service, which is integrated with Windows Admin Center. Zie Azure updatebeheer met behulp van Windows-beheer centrumvoor meer informatie.For more information, see Azure Update Management using Windows Admin Center.

Gegevens beveiligenProtect data

In deze sectie wordt beschreven hoe u Windows-beheer centrum gebruikt voor het beveiligen van gegevens en workloads op het besturings systeem:This section discusses how to use Windows Admin Center to protect data and workloads on the operating system:

  • BitLocker voor opslag ruimten beveiligt gegevens in rust.BitLocker for Storage Spaces protects data at rest. U kunt BitLocker gebruiken voor het versleutelen van de inhoud van gegevens volumes met opslag ruimten op het besturings systeem.You can use BitLocker to encrypt the contents of Storage Spaces data volumes on the operating system. Het gebruik van BitLocker voor het beveiligen van gegevens kan organisaties helpen te blijven voldoen aan de overheid, regionale en branchespecifieke normen zoals FIPS 140-2 en HIPAA.Using BitLocker to protect data can help organizations stay compliant with government, regional, and industry-specific standards such as FIPS 140-2, and HIPAA.

    Zie voor meer informatie over het gebruik van BitLocker in het Windows-beheer centrum volume versleuteling inschakelen, ontdubbeling en compressieTo learn more about using BitLocker in Windows Admin Center, see Enable volume encryption, deduplication, and compression

  • SMB -versleuteling voor Windows-netwerken beveiligt de gegevens die onderweg zijn.SMB encryption for Windows networking protects data in transit. Server Message Block (SMB) is een protocol voor het delen van netwerk bestanden waarmee toepassingen op een computer bestanden kunnen lezen en schrijven en waarmee services kunnen worden aangevraagd bij Server Programma's in een computernet werk.Server Message Block (SMB) is a network file sharing protocol that allows applications on a computer to read and write to files and to request services from server programs on a computer network.

    Zie SMB-beveiligings uitbreidingenom SMB-versleuteling in te scha kelen.To enable SMB encryption, see SMB security enhancements.

  • Windows Defender anti virus in het Windows-beheer centrum beveiligt het besturings systeem op clients en servers tegen virussen, malware, spyware en andere bedreigingen.Windows Defender Antivirus in Windows Admin Center protects the operating system on clients and servers against viruses, malware, spyware, and other threats. Zie voor meer informatie micro soft Defender anti virus op Windows Server 2016 en 2019.To learn more, see Microsoft Defender Antivirus on Windows Server 2016 and 2019.

Identiteiten beveiligenProtect identities

In deze sectie wordt beschreven hoe u Windows-beheer centrum gebruikt voor het beveiligen van geprivilegieerde identiteiten:This section discusses how to use Windows Admin Center to protect privileged identities:

  • Met toegangs beheer kunt u de beveiliging van uw beheer landschap verbeteren.Access control can improve the security of your management landscape. Als u een Windows-beheer centrum server (versus uitgevoerd op een Windows 10-PC) gebruikt, kunt u twee toegangs niveaus voor Windows-beheer centrum zelf beheren: gateway gebruikers en gateway beheerders.If you're using a Windows Admin Center server (vs. running on a Windows 10 PC), you can control two levels of access to Windows Admin Center itself: gateway users and gateway administrators. De opties voor de gateway beheer-ID-provider zijn onder andere:Gateway administrator identity provider options include:

    • Active Directory-of lokale computer groepen om smartcard verificatie af te dwingen.Active Directory or local machine groups to enforce smartcard authentication.
    • Azure Active Directory voor het afdwingen van voorwaardelijke toegang en multi-factor Authentication.Azure Active Directory to enforce conditional access and multifactor authentication.

    Zie Opties voor gebruikers toegang met Windows-beheer centrum en gebruikers- Access Control en-machtigingen configurerenvoor meer informatie.To learn more, see User access options with Windows Admin Center and Configure User Access Control and Permissions.

  • Het browser verkeer naar het Windows-beheer centrum maakt gebruik van HTTPS.Browser traffic to Windows Admin Center uses HTTPS. Verkeer van het Windows-beheer centrum naar de beheerde servers gebruikt standaard Power shell en Windows Management Instrumentation (WMI) over Windows Remote Management (WinRM).Traffic from Windows Admin Center to managed servers uses standard PowerShell and Windows Management Instrumentation (WMI) over Windows Remote Management (WinRM). Het Windows-beheer centrum biedt ondersteuning voor de lokale Administrator-wachtwoord oplossing (verval), op resources gebaseerde beperkte delegering, Toegangs beheer van de gateway met behulp van Active Directory (AD) of Microsoft Azure Active Directory (Azure AD) en op rollen gebaseerd toegangs beheer (RBAC) voor het beheren van doel servers.Windows Admin Center supports the Local Administrator Password Solution (LAPS), resource-based constrained delegation, gateway access control using Active Directory (AD) or Microsoft Azure Active Directory (Azure AD), and role-based access control (RBAC) for managing target servers.

    Windows-beheer Centrum ondersteunt micro soft Edge (Windows 10, versie 1709 of hoger), Google Chrome en micro soft Edge insider op Windows 10.Windows Admin Center supports Microsoft Edge (Windows 10, version 1709 or later), Google Chrome, and Microsoft Edge Insider on Windows 10. U kunt Windows-beheer centrum installeren op een computer met Windows 10 of Windows Server.You can install Windows Admin Center on either a Windows 10 PC or a Windows server.

    Als u Windows-beheer centrum op een server installeert, wordt het uitgevoerd als een gateway, zonder gebruikers interface op de hostserver.If you install Windows Admin Center on a server it runs as a gateway, with no UI on the host server. In dit scenario kunnen beheerders zich via een HTTPS-sessie aanmelden bij de server, beveiligd door een zelfondertekend beveiligings certificaat op de host.In this scenario, administrators can log on to the server via an HTTPS session, secured by a self-signed security certificate on the host. Het is echter beter om een geschikt SSL-certificaat van een vertrouwde certificerings instantie te gebruiken voor het aanmeldings proces, omdat ondersteunde browsers een zelfondertekende verbinding als onbeveiligd behandelen, zelfs als de verbinding met een lokaal IP-adres via een vertrouwd VPN.However, it's better to use an appropriate SSL certificate from a trusted certificate authority for the sign-on process, because supported browsers treat a self-signed connection as unsecure, even if the connection is to a local IP address over a trusted VPN.

    Zie voor meer informatie over de installatie opties voor uw organisatie welk type installatie het meest geschikt is voor u?.To learn more about installation options for your organization, see What type of installation is right for you?.

  • CredSSP is een verificatie provider die in een paar gevallen door Windows-beheer centrum wordt gebruikt om referenties door te geven aan computers buiten de specifieke server die u wilt beheren.CredSSP is an authentication provider that Windows Admin Center uses in a few cases to pass credentials to machines beyond the specific server you are targeting to manage. Voor het Windows-beheer centrum is momenteel CredSSP vereist voor het volgende:Windows Admin Center currently requires CredSSP to:

    • Een nieuw cluster maken.Create a new cluster.
    • Open het hulp programma updates om de functies Failoverclustering of cluster bewust updaten te gebruiken.Access the Updates tool to use either the Failover clustering or Cluster-Aware Updating features.
    • Niet-geaggregeerde SMB-opslag in Vm's beheren.Manage disaggregated SMB storage in VMs.

    Zie voor meer informatie Windows-beheer centrum CredSSP gebruiken?To learn more, see Does Windows Admin Center use CredSSP?

  • Met op rollen gebaseerd toegangs beheer (RBAC) in het Windows-beheer centrum kunnen gebruikers beperkte toegang tot de servers die ze nodig hebben om te beheren in plaats van de volledige lokale beheerders te maken.Role-based access control (RBAC) in Windows Admin Center allows users limited access to the servers they need to manage instead of making them full local administrators. Als u RBAC wilt gebruiken in het Windows-beheer centrum, configureert u elke beheerde server met een Power shell-eind punt dat voldoende is voor het beheer.To use RBAC in Windows Admin Center, you configure each managed server with a PowerShell Just Enough Administration endpoint.

    Zie op rollen gebaseerd toegangs beheer en net genoeg beheervoor meer informatie.To learn more, see Role-based access control and Just Enough Administration.

  • Beveiligings hulpprogramma's in het Windows-beheer centrum dat u kunt gebruiken om identiteiten te beheren en te beveiligen, zijn Active Directory, certificaten, firewall, lokale gebruikers en groepen, en meer.Security tools in Windows Admin Center that you can use to manage and protect identities include Active Directory, Certificates, Firewall, Local Users and Groups, and more.

    Zie servers beheren met Windows-beheer centrumvoor meer informatie.To learn more, see Manage Servers with Windows Admin Center.

Deel 2: Azure Security Center gebruikenPart 2: Use Azure Security Center

Azure Security Center is een systeem voor geïntegreerde infrastructuur beveiliging dat de beveiligings postuur van uw data centers versterkt en geavanceerde bedreigings beveiliging biedt voor uw hybride werk belastingen in de Cloud en on-premises.Azure Security Center is a unified infrastructure security management system that strengthens the security posture of your data centers, and provides advanced threat protection across your hybrid workloads in the cloud and on premises. Security Center biedt u hulpprogram ma's voor het beoordelen van de beveiligings status van uw netwerk, het beveiligen van workloads, het activeren van beveiligings waarschuwingen en het volgen van specifieke aanbevelingen voor het oplossen van aanvallen en het oplossen van toekomstige bedreigingen.Security Center provides you with tools to assess the security status of your network, protect workloads, raise security alerts, and follow specific recommendations to remediate attacks and address future threats. Met Security Center worden al deze services op hoge snelheid uitgevoerd in de Cloud zonder implementatie overhead door automatische inrichting en beveiliging met Azure-Services.Security Center performs all of these services at high speed in the cloud with no deployment overhead through auto-provisioning and protection with Azure services.

Security Center beveiligt Vm's voor Windows-servers en Linux-servers door de Log Analytics agent te installeren op deze resources.Security Center protects VMs for both Windows servers and Linux servers by installing the Log Analytics agent on these resources. Azure correleert gebeurtenissen die de agents verzamelen in aanbevelingen (verwerkings taken) die u uitvoert om uw workloads veilig te maken.Azure correlates events that the agents collect into recommendations (hardening tasks) that you perform to make your workloads secure. De versterking van taken op basis van best practices voor beveiliging omvat het beheren en afdwingen van beveiligings beleid.The hardening tasks based on security best practices include managing and enforcing security policies. U kunt vervolgens de resultaten volgen en de naleving en het beheer van de tijd beheren door Security Center bewaking en de kwets baarheid voor al uw resources te verminderen.You can then track the results and manage compliance and governance over time through Security Center monitoring while reducing the attack surface across all of your resources.

Beheren wie toegang heeft tot uw Azure-resources en -abonnementen is een belangrijk onderdeel van uw Azure-governancestrategie.Managing who can access your Azure resources and subscriptions is an important part of your Azure governance strategy. Op rollen gebaseerd toegangsbeheer (RBAC) is de primaire methode voor toegangsbeheer in Azure.Azure role-based access control (RBAC) is the primary method of managing access in Azure. Zie toegang tot uw Azure-omgeving beheren met op rollen gebaseerd toegangs beheervoor meer informatie.To learn more, see Manage access to your Azure environment with role-based access control.

Voor het werken met Security Center via het Windows-beheer centrum is een Azure-abonnement vereist.Working with Security Center through Windows Admin Center requires an Azure subscription. Zie Azure Security Center integreren met Windows-beheer centrumom aan de slag te gaan.To get started, see Integrate Azure Security Center with Windows Admin Center.

Nadat u zich hebt geregistreerd, hebt u toegang tot Security Center in het Windows-beheer centrum: Selecteer op de pagina alle verbindingen een server of virtuele machine, onder extra, selecteer Azure Security Centeren selecteer vervolgens Aanmelden bij Azure.After registering, access Security Center in Windows Admin Center: On the All Connections page, select a server or VM, under Tools, select Azure Security Center, and then select Sign into Azure.

Zie Wat is Azure Security Center? voor meer informatie.To learn more, see What is Azure Security Center?

Deel 3: geavanceerde beveiliging toevoegenPart 3: Add advanced security

In de volgende secties worden geavanceerde beveiligings tools en-technologieën aangeraden voor het uitvoeren van extra beveiliging van het besturings systeem Azure Stack HCI in uw omgeving.The following sections recommend advanced security tools and technologies to further harden servers running the Azure Stack HCI operating system in your environment.

De omgeving beveiligenHarden the environment

  • Micro soft-beveiligings basislijnen zijn gebaseerd op beveiligings aanbevelingen van micro soft, verkregen via partnerschap met commerciële organisaties en de Amerikaanse overheid, zoals het ministerie van defensie.Microsoft security baselines are based on security recommendations from Microsoft obtained through partnership with commercial organizations and the US government, such as the Department of Defense. De beveiligings basislijnen bevatten aanbevolen beveiligings instellingen voor Windows Firewall, Windows Defender en vele andere.The security baselines include recommended security settings for Windows Firewall, Windows Defender, and many others.

    De beveiligings basislijnen worden gegeven als groepsbeleid object (GPO)-back-ups die u kunt importeren in Active Directory Domain Services (AD DS) en vervolgens implementeren op servers die lid zijn van een domein om de omgeving te beveiligen.The security baselines are provided as Group Policy Object (GPO) backups that you can import into Active Directory Domain Services (AD DS), and then deploy to domain-joined servers to harden the environment. U kunt ook lokale script hulpprogramma's gebruiken om zelfstandige servers (die geen lid zijn van een domein) te configureren met beveiligings basislijnen.You can also use Local Script tools to configure standalone (non domain-joined) servers with security baselines. Down load de micro soft security compliance Toolkit 1,0om aan de slag te gaan met de beveiligings basislijnen.To get started using the security baselines, download the Microsoft Security Compliance Toolkit 1.0.

    Zie beveiligings basislijnen van micro softvoor meer informatie.To learn more, see Microsoft Security Baselines.

Gegevens beveiligenProtect data

  • Voor de beveiliging van de Hyper-V-omgeving is een hoge Windows-Server op een virtuele machine vereist, net zoals u het besturings systeem op een fysieke server kunt beveiligen.Hardening the Hyper-V environment requires hardening Windows Server running on a VM just as you would harden the operating system running on a physical server. Omdat virtuele omgevingen doorgaans meerdere Vm's hebben die dezelfde fysieke host delen, is het van cruciaal belang om zowel de fysieke host als de virtuele machines te beveiligen die erop worden uitgevoerd.Because virtual environments typically have multiple VMs sharing the same physical host, it is imperative to protect both the physical host and the VMs running on it. Een aanvaller die een host verkrijgt, kan van invloed zijn op meerdere Vm's met een grotere impact op werk belastingen en services.An attacker who compromises a host can affect multiple VMs with a greater impact on workloads and services. In deze sectie worden de volgende methoden beschreven die u kunt gebruiken om Windows Server te beveiligen in een Hyper-V-omgeving:This section discusses the following methods that you can use to harden Windows Server in a Hyper-V environment:

    • Beveiligde infra structuur en afgeschermde vm's verhogen de beveiliging voor vm's die in Hyper-V-omgevingen worden uitgevoerd, door te voor komen dat kwaadwillende personen VM-bestanden wijzigen.Guarded fabric and shielded VMs strengthen the security for VMs running in Hyper-V environments by preventing attackers from modifying VM files. Een beveiligde infra structuur bestaat uit een host Guardian-service (HGS) die meestal een cluster is van drie knoop punten, een of meer beveiligde hosts en een set afgeschermde vm's.A guarded fabric consists of a Host Guardian Service (HGS) that is typically a cluster of three nodes, one or more guarded hosts, and a set of shielded VMs. De Attestation-service evalueert de geldigheid van hosts-aanvragen, terwijl de sleutel beveiligings service bepaalt of sleutels moeten worden vrijgegeven die de beveiligde hosts kunnen gebruiken om de afgeschermde VM te starten.The Attestation Service evaluates the validity of hosts requests, while the Key Protection Service determines whether to release keys that the guarded hosts can use to start the shielded VM.

      Zie overzicht van beveiligde infra structuur en afgeschermde vm'svoor meer informatie.To learn more, see Guarded fabric and shielded VMs overview.

    • Virtual trusted platform module (vTPM) in Windows Server ondersteunt TPM voor vm's, waarmee u geavanceerde beveiligings technologieën, zoals BitLocker in vm's, kunt gebruiken.Virtual Trusted Platform Module (vTPM) in Windows Server supports TPM for VMs, which lets you use advanced security technologies, such as BitLocker in VMs. U kunt TPM-ondersteuning inschakelen op een Hyper-V-VM van de tweede generatie met behulp van Hyper-V-beheer of de Enable-VMTPM Windows Power shell-cmdlet.You can enable TPM support on any Generation 2 Hyper-V VM by using either Hyper-V Manager or the Enable-VMTPM Windows PowerShell cmdlet.

      Zie Enable-VMTPMvoor meer informatie.To learn more, see Enable-VMTPM.

    • Met software gedefinieerde netwerken (SDN) in azure stack HCI en Windows Server worden fysieke en virtuele netwerk apparaten centraal geconfigureerd en beheerd, zoals routers, switches en gateways in uw Data Center.Software Defined Networking (SDN) in Azure Stack HCI and Windows Server centrally configures and manages physical and virtual network devices, such as routers, switches, and gateways in your datacenter. Virtuele netwerk elementen, zoals virtuele Hyper-V-Switch, Hyper-V-Netwerkvirtualisatie en RAS-gateway, zijn ontworpen om integraal elementen van uw SDN-infra structuur te zijn.Virtual network elements, such as Hyper-V Virtual Switch, Hyper-V Network Virtualization, and RAS Gateway are designed to be integral elements of your SDN infrastructure.

      Zie software defined Networking (SDN) (Engelstalig)voor meer informatie.To learn more, see Software Defined Networking (SDN).

Identiteiten beveiligenProtect identities

  • De lokale Administrator-wachtwoord oplossing (verval) is een licht gewicht voor Active Directory systemen die lid zijn van een domein en het wacht woord voor het lokale beheerders account van elke computer regel matig instelt op een nieuwe wille keurige en unieke waarde.Local Administrator Password Solution (LAPS) is a lightweight mechanism for Active Directory domain-joined systems that periodically sets each computer’s local admin account password to a new random and unique value. Wacht woorden worden opgeslagen in een beveiligd vertrouwelijk kenmerk op het overeenkomstige computer object in Active Directory, waar alleen speciaal geautoriseerde gebruikers ze kunnen ophalen.Passwords are stored in a secured confidential attribute on the corresponding computer object in Active Directory, where only specifically-authorized users can retrieve them. Het verval maakt gebruik van lokale accounts voor extern computer beheer op een manier die voor delen biedt ten opzichte van het gebruik van domein accounts.LAPS uses local accounts for remote computer management in a way that offers some advantages over using domain accounts. Zie extern gebruik van lokale accountsvoor meer informatie. Hierbij wordt alles gewijzigd.To learn more, see Remote Use of Local Accounts: LAPS Changes Everything.

    Om aan de slag te gaan met behulp van verval, downloadt u de lokale Administrator-wachtwoord oplossing (verval).To get started using LAPS, download Local Administrator Password Solution (LAPS).

  • Micro soft Advanced Threat Analytics (ATA) is een on-premises product dat u kunt gebruiken om te voor komen dat aanvallers geprivilegieerde identiteiten misbruiken.Microsoft Advanced Threat Analytics (ATA) is an on-premises product that you can use to help detect attackers attempting to compromise privileged identities. ATA parseert netwerk verkeer voor verificatie, autorisatie en het verzamelen van informatie protocollen, zoals Kerberos en DNS.ATA parses network traffic for authentication, authorization, and information gathering protocols, such as Kerberos and DNS. ATA gebruikt de gegevens voor het samen stellen van gedrags profielen van gebruikers en andere entiteiten op het netwerk om afwijkingen en bekende aanvals patronen te detecteren.ATA uses the data to build behavioral profiles of users and other entities on the network to detect anomalies and known attack patterns.

    Zie Wat is Advanced Threat Analytics?voor meer informatie.To learn more, see What is Advanced Threat Analytics?.

  • Windows Defender externe Credential Guard beschermt referenties via een extern bureaublad verbinding door Kerberos-aanvragen terug te sturen naar het apparaat dat de verbinding aanvraagt.Windows Defender Remote Credential Guard protects credentials over a Remote Desktop connection by redirecting Kerberos requests back to the device that's requesting the connection. Het biedt ook eenmalige aanmelding (SSO) voor Extern bureaublad-sessies.It also provides single sign-on (SSO) for Remote Desktop sessions. Als er tijdens een Extern bureaublad-sessie een inbreuk op het doel apparaat wordt gemaakt, worden uw referenties niet weer gegeven omdat zowel referentie-als referentie derivaten nooit via het netwerk worden door gegeven aan het doel apparaat.During a Remote Desktop session, if the target device is compromised, your credentials are not exposed because both credential and credential derivatives are never passed over the network to the target device.

    Zie Windows Defender Credential Guard beherenvoor meer informatie.To learn more, see Manage Windows Defender Credential Guard.

Volgende stappenNext steps

Zie ook voor meer informatie over beveiliging en naleving van regelgeving:For more information on security and regulatory compliance, see also: