Azure Stack HCI zagadnienia dotyczące zabezpieczeń

Dotyczy: Azure Stack HCI, wersje 21H2 i 20H2; Windows Server 2022, Windows Server 2019

Ten temat zawiera zagadnienia dotyczące zabezpieczeń i zalecenia związane z Azure Stack HCI operacyjnym:

  • Część 1 obejmuje podstawowe narzędzia i technologie zabezpieczeń w celu wzmacniania systemu operacyjnego oraz ochrony danych i tożsamości w celu efektywnego tworzenia bezpiecznych podstaw dla organizacji.
  • Część 2 obejmuje zasoby dostępne za pośrednictwem Azure Security Center.
  • Część 3 obejmuje bardziej zaawansowane zagadnienia dotyczące zabezpieczeń w celu dalszego wzmocnienia bezpieczeństwa organizacji w tych obszarach.

Dlaczego zagadnienia dotyczące zabezpieczeń są ważne?

Zabezpieczenia mają wpływ na wszystkich użytkowników w organizacji — od zarządzania najwyższego poziomu po pracownika ds. informacji. Nieodpowiednie zabezpieczenia to rzeczywiste ryzyko dla organizacji, ponieważ naruszenie zabezpieczeń może potencjalnie zakłócić całą normalną działalność biznesową i zatrzymać organizację. Im szybciej będzie można wykryć potencjalny atak, tym szybciej będzie można zmniejszyć ryzyko naruszenia zabezpieczeń.

Po zbadaniu słabych punktów środowiska w celu wykorzystania ich osoba atakująca może zazwyczaj w ciągu 24–48 godzin od początkowego naruszenia podwyższyć uprawnienia, aby przejąć kontrolę nad systemami w sieci. Dobre środki bezpieczeństwa rozszerzają systemy w środowisku w celu wydłużenia czasu, przez który atakujący może potencjalnie przejąć kontrolę od godzin do tygodni, a nawet miesięcy, blokując ruch osoby atakującej. Wdrożenie zaleceń dotyczących zabezpieczeń w tym temacie umożliwia organizacji szybkie wykrywanie takich ataków i reagowanie na nie.

Część 1. Tworzenie bezpiecznej podstawy

W poniższych sekcjach zaleca się użycie narzędzi i technologii zabezpieczeń, aby utworzyć bezpieczną podstawę dla serwerów z Azure Stack HCI operacyjnym w środowisku.

Wzmacnianie środowiska

W tej sekcji omówiono sposób ochrony usług i maszyn wirtualnych działających w systemie operacyjnym:

  • Azure Stack HCI certyfikowany sprzęt zapewnia spójne ustawienia bezpiecznego rozruchu, interfejsu UEFI i modułu TPM. Połączenie zabezpieczeń opartych na wirtualizacji i certyfikowanego sprzętu pomaga chronić obciążenia wrażliwe na zabezpieczenia. Możesz również połączyć tę zaufaną infrastrukturę z Azure Security Center, aby aktywować analizę behawioralną i raportowanie, aby uwzględnić szybko zmieniające się obciążenia i zagrożenia.

    • Bezpieczny rozruch to standard zabezpieczeń opracowany przez branżę komputerową, który pomaga zagwarantować, że urządzenie jest uruchamiane przy użyciu tylko oprogramowania, które jest zaufane przez producenta oryginalnego sprzętu (OEM). Aby dowiedzieć się więcej, zobacz Bezpieczny rozruch.
    • United Extensible Firmware Interface (UEFI) kontroluje proces rozruchu serwera, a następnie przekazuje kontrolę do Windows lub innego systemu operacyjnego. Aby dowiedzieć się więcej, zobacz Wymagania dotyczące oprogramowania układowego UEFI.
    • Trusted Platform Module (TPM) zapewnia oparte na sprzęcie funkcje związane z zabezpieczeniami. Mikroukład modułu TPM to bezpieczny procesor kryptograficzny, który generuje, przechowuje i ogranicza użycie kluczy kryptograficznych. Aby dowiedzieć się więcej, zobacz Trusted Platform Module Technology Overview (Omówienie technologii).

    Aby dowiedzieć się więcej o Azure Stack HCI certyfikowanych dostawców sprzętu, zobacz witrynę internetową Azure Stack HCI rozwiązań.

  • Narzędzie Zabezpieczenia jest dostępne natywnie w centrum administracyjnym Windows dla klastrów pojedynczego serwera i Azure Stack HCI, aby ułatwić zarządzanie zabezpieczeniami i kontrolę nad nimi. Narzędzie centralizuje niektóre kluczowe ustawienia zabezpieczeń dla serwerów i klastrów, w tym możliwość wyświetlania stanu zabezpieczonego rdzenia systemów.

    Aby dowiedzieć się więcej, zobacz Serwer z zabezpieczoną rdzenią.

  • Device Guard i Credential Guard. Device Guard chroni przed złośliwym oprogramowaniem bez znanego podpisu, niepodpisanym kodem i złośliwym oprogramowaniem, które uzyskuje dostęp do jądra w celu przechwycenia poufnych informacji lub uszkodzenia systemu. Funkcja Windows Defender Credential Guard używa zabezpieczeń opartych na wirtualizacji do izolowania kluczy tajnych, aby tylko uprzywilejowane oprogramowanie systemowe mogło uzyskiwać do nich dostęp.

    Aby dowiedzieć się więcej, zobacz Zarządzanie Windows Defender Credential Guard i pobierz narzędzie device Guard i credential guard do gotowości sprzętowej.

  • Windows oprogramowania układowego są niezbędne w klastrach, serwerach (w tym na komputerach wirtualnych gościa) i komputerach, co pomaga zapewnić ochronę systemu operacyjnego i sprzętu systemu przed osobami atakującym. Za pomocą narzędzia aktualizacje Windows Administracyjnego można stosować aktualizacje do poszczególnych systemów. Jeśli dostawca sprzętu obejmuje pomoc techniczną centrum administracyjnego usługi Windows w celu uzyskiwania aktualizacji sterowników, oprogramowania układowego i rozwiązań, możesz pobrać te aktualizacje w tym samym czasie co aktualizacje usługi Windows. W przeciwnym razie pobierz je bezpośrednio od dostawcy.

    Aby dowiedzieć się więcej, zobacz Aktualizowanie klastra.

    Aby zarządzać aktualizacjami w wielu klastrach i serwerach jednocześnie, rozważ subskrybowanie opcjonalnej usługi Azure Update Management, która jest zintegrowana z usługą Windows Admin Center. Aby uzyskać więcej informacji, zobacz Azure Update Management using Windows Admin Center (Usługa Azure Windows Admin Center).

Ochrona danych

W tej sekcji omówiono sposób używania Windows Admin Center do ochrony danych i obciążeń w systemie operacyjnym:

  • BitLocker for Miejsca do magazynowania chroni dane w spoczynku. Funkcji BitLocker można użyć do szyfrowania zawartości Miejsca do magazynowania woluminów danych w systemie operacyjnym. Korzystanie z funkcji BitLocker do ochrony danych może pomóc organizacjom zachować zgodność ze standardami dla instytucji rządowych, regionalnymi i branżowymi, takimi jak FIPS 140-2 i HIPAA.

    Aby dowiedzieć się więcej na temat korzystania z funkcji BitLocker w Windows administracyjnym, zobacz Włączanie szyfrowania, deduplikacji i kompresji woluminów

  • Szyfrowanie SMB dla sieci Windows chroni dane podczas przesyłania. Blok komunikatów serwera (SMB) to protokół udostępniania plików sieciowych, który umożliwia aplikacjom na komputerze odczytywanie i zapis w plikach oraz żądanie usług z programów serwerowych w sieci komputerowej.

    Aby włączyć szyfrowanie SMB, zobacz Ulepszenia zabezpieczeń SMB.

  • Program antywirusowy Windows Defender u Windows Admin Center chroni system operacyjny na klientach i serwerach przed wirusami, złośliwym oprogramowaniem, programami szpiegującymi i innymi zagrożeniami. Aby dowiedzieć się więcej, zobacz Program antywirusowy Microsoft Defender na Windows Server 2016 i 2019 r..

Ochrona tożsamości

W tej sekcji omówiono sposób używania usługi Windows Admin Center do ochrony tożsamości uprzywilejowanych:

  • Kontrola dostępu może zwiększyć bezpieczeństwo krajobrazu zarządzania. Jeśli używasz serwera centrum administracyjnego usługi Windows (a nie komputera z systemem Windows 10), możesz kontrolować dwa poziomy dostępu do samego centrum administracyjnego usługi Windows: użytkowników bramy i administratorów bramy. Opcje dostawcy tożsamości administratora bramy obejmują:

    • Grupy usługi Active Directory lub komputera lokalnego w celu wymuszenia uwierzytelniania za pomocą karty inteligentnej.
    • Azure Active Directory wymuszać dostęp warunkowy i uwierzytelnianie wieloskładnikowe.

    Aby dowiedzieć się więcej, zobacz Opcje dostępu użytkowników w Centrum administracyjnym Windows i Konfigurowanie Access Control i uprawnień.

  • Ruch przeglądarki do centrum Windows korzysta z protokołu HTTPS. Ruch z centrum Windows administracyjnego do serwerów zarządzanych używa standardowego programu PowerShell i usługi Windows Management Instrumentation (WMI) za pośrednictwem usługi Windows Remote Management (WinRM). Windows Admin Center obsługuje Rozwiązanie do zarządzania hasłami administratorów lokalnych (LAPS), ograniczone delegowanie oparte na zasobach, kontrolę dostępu do bramy przy użyciu usługi Active Directory (AD) lub Microsoft Azure Active Directory (Azure AD) oraz kontrolę dostępu opartą na rolach (RBAC) do zarządzania serwerami docelowymi.

    Windows Admin Center obsługuje Microsoft Edge (Windows 10, wersja 1709 lub nowsza), Google Chrome i Microsoft Edge Insider on Windows 10. Aplikację można zainstalować Windows administracyjnym na komputerze Windows 10 lub Windows serwera.

    Jeśli zainstalujesz Windows Admin Center na serwerze, który działa jako brama, bez interfejsu użytkownika na serwerze hosta. W tym scenariuszu administratorzy mogą logować się do serwera za pośrednictwem sesji HTTPS zabezpieczonej certyfikatem zabezpieczeń z podpisem własnym na hoście. Jednak lepiej jest użyć odpowiedniego certyfikatu SSL z zaufanego urzędu certyfikacji na potrzeby procesu logowania, ponieważ obsługiwane przeglądarki traktują połączenie z podpisem własnym jako niezabezpieczone, nawet jeśli połączenie jest z lokalnym adresem IP za pośrednictwem zaufanej sieci VPN.

    Aby dowiedzieć się więcej na temat opcji instalacji dla organizacji, zobacz Jakiego typu instalacja jest dla Ciebie właściwa?.

  • CredSSP to dostawca uwierzytelniania, który Windows Admin Center używa w kilku przypadkach do przekazania poświadczeń do maszyn poza określonym serwerem przeznaczonym do zarządzania. Windows administracyjnego wymaga obecnie, aby credSSP:

    • Utwórz nowy klaster.
    • Uzyskaj dostęp do narzędzia Aktualizacje, aby użyć klastra trybu failover lub Cluster-Aware funkcji aktualizacji.
    • Zarządzanie rozgregowany magazyn SMB na maszyny wirtualne.

    Aby dowiedzieć się więcej, zobacz czy Windows Admin Center używa credSSP?

  • Kontrola dostępu oparta na rolach (RBAC) w centrum administracyjnym usługi Windows umożliwia użytkownikom ograniczony dostęp do serwerów, które muszą zarządzać, zamiast pełnego administratora lokalnego. Aby używać kontroli RBAC w Windows administracyjnym, należy skonfigurować każdy zarządzany serwer przy użyciu punktu końcowego programu PowerShell Just Enough Administration.

    Aby dowiedzieć się więcej, zobacz Kontrola dostępu oparta na rolach i Just Enough Administration.

  • Narzędzia zabezpieczeń w Windows Admin Center, których można używać do zarządzania tożsamościami i ich ochrony, obejmują usługę Active Directory, certyfikaty, zaporę, lokalnych użytkowników i grupy i nie tylko.

    Aby dowiedzieć się więcej, zobacz Manage Servers with Windows Admin Center (Zarządzanieserwerami za pomocą Windows Admin Center).

Część 2. Używanie Azure Security Center

Azure Security Center to ujednolicony system zarządzania zabezpieczeniami infrastruktury, który wzmacnia poziom zabezpieczeń centrów danych i zapewnia zaawansowaną ochronę przed zagrożeniami w obciążeniach hybrydowych w chmurze i lokalnie. Security Center udostępnia narzędzia do oceny stanu zabezpieczeń sieci, ochrony obciążeń, zgłaszania alertów zabezpieczeń i śledzenia określonych zaleceń w celu skorygowania ataków i eliminowania przyszłych zagrożeń. Security Center wykonuje wszystkie te usługi z dużą szybkością w chmurze bez narzutu związanego z wdrażaniem dzięki automatycznej aprowrowi i ochronie za pomocą usług platformy Azure.

Security Center chroni maszyny wirtualne zarówno dla serwerów Windows, jak i serwerów z systemem Linux, instalując agenta usługi Log Analytics na tych zasobach. Platforma Azure koreluje zdarzenia zbierane przez agentów z zaleceniami (zadania wzmacniania zabezpieczeń), które wykonujesz w celu zabezpieczenia obciążeń. Zadania wzmacniania zabezpieczeń oparte na najlepszych rozwiązaniach w zakresie zabezpieczeń obejmują zarządzanie i wymuszanie zasad zabezpieczeń. Następnie można śledzić wyniki i zarządzać zgodnością i ładem w czasie za pośrednictwem Security Center monitorowania przy jednoczesnym zmniejszeniu powierzchni ataku we wszystkich zasobach.

Określanie, kto może uzyskiwać dostęp do zasobów platformy Azure i subskrypcji, to ważna część strategii zarządzania platformą Azure. Kontrola dostępu oparta na rolach (RBAC) na platformie Azure jest podstawową metodą zarządzania dostępem na platformie Azure. Aby dowiedzieć się więcej, zobacz Zarządzanie dostępem do środowiska platformy Azure za pomocą kontroli dostępu opartej na rolach.

Praca z Security Center za pośrednictwem Windows Administracyjnego wymaga subskrypcji platformy Azure. Aby rozpocząć pracę, zobacz Integrate Azure Security Center with Windows Admin Center (Integracja usługi Windows Admin Center).

Po zarejestrowaniu uzyskaj dostęp do Security Center w Centrum administracyjnym usługi Windows: na stronie Wszystkie połączenia wybierz serwer lub maszynę wirtualną, w obszarze Narzędzia wybierz pozycję Azure Security Center , anastępnie wybierz pozycję Zaloguj się do platformy Azure.

Aby dowiedzieć się więcej, zobacz Co to jest Azure Security Center?

Część 3. Dodawanie zaawansowanych zabezpieczeń

Poniższe sekcje zawierają rekomendacje dotyczące zaawansowanych narzędzi i technologii zabezpieczeń w celu dalszego wzmacniania zabezpieczeń serwerów Azure Stack HCI systemu operacyjnego w środowisku.

Wzmacnianie środowiska

  • Linie bazowe zabezpieczeń firmy Microsoft są oparte na zaleceniach dotyczących zabezpieczeń uzyskanych przez firmę Microsoft we współpracy z organizacjami komercyjnymi i rządem Stanów Zjednoczonych, takimi jak Departament Obrony. Linie bazowe zabezpieczeń obejmują zalecane ustawienia zabezpieczeń dla zapory Windows, Windows Defender i wielu innych.

    Linie bazowe zabezpieczeń są udostępniane jako kopie zapasowe obiektów zasady grupy(GPO), które można zaimportować do programu Active Directory Domain Services (AD DS), a następnie wdrożyć na serwerach przyłączony do domeny, aby zabezpieczyć środowisko. Możesz również użyć narzędzi skryptu lokalnego, aby skonfigurować autonomiczne (nie przyłączone do domeny) serwery z punktami odniesienia zabezpieczeń. Aby rozpocząć korzystanie z punktów odniesienia zabezpieczeń, pobierz zestaw Microsoft Security Compliance Toolkit 1.0.

    Aby dowiedzieć się więcej, zobacz Microsoft Security Baselines (Linie bazowe zabezpieczeń firmy Microsoft).

Ochrona danych

  • Wzmacnianie środowiska funkcji Hyper-V wymaga Windows zabezpieczeń serwera działającego na maszynie wirtualnej, tak samo jak w przypadku systemu operacyjnego działającego na serwerze fizycznym. Ponieważ środowiska wirtualne zwykle mają wiele maszyn wirtualnych współużytkujący ten sam host fizyczny, konieczne jest zabezpieczenie zarówno hosta fizycznego, jak i uruchomionych na nim maszyn wirtualnych. Osoba atakująca, która naruszyć bezpieczeństwo hosta, może mieć wpływ na wiele maszyn wirtualnych z większym wpływem na obciążenia i usługi. W tej sekcji omówiono następujące metody, których można użyć do Windows Server w środowisku funkcji Hyper-V:

    • Program Virtual Trusted Platform Module (vTPM) w programie Windows Server obsługuje moduł TPM dla maszyn wirtualnych, który umożliwia korzystanie z zaawansowanych technologii zabezpieczeń, takich jak funkcja BitLocker na maszynach wirtualnych. Obsługę modułu TPM można włączyć na dowolnej maszynie wirtualnej funkcji Hyper-V generacji 2 przy użyciu Menedżera funkcji Hyper-V Enable-VMTPM lub Windows PowerShell polecenia cmdlet.

      Aby dowiedzieć się więcej, zobacz Enable-VMTPM.

    • Programowa sieć zdefiniowana (SDN) w usługach Azure Stack HCI i Windows Server centralnie konfiguruje urządzenia sieci wirtualnej, takie jak programowy równoważenie obciążenia, zapora centrum danych, bramy i przełączniki wirtualne w infrastrukturze, oraz zarządza nimi. Elementy sieci wirtualnej, takie jak przełącznika wirtualnego funkcji Hyper-V, wirtualizacji sieci funkcji Hyper-V i bramy RAS są zaprojektowane jako integralne elementy infrastruktury SDN.

      Aby dowiedzieć się więcej, zobacz Sieć zdefiniowana programowo (SDN).

      Uwaga

      Maszyny wirtualne z osłoną nie są obsługiwane w Azure Stack HCI.

Ochrona tożsamości

  • Rozwiązanie do zarządzania hasłami administratorów lokalnych (LAPS) to lekki mechanizm dla systemów przyłączonych do domeny usługi Active Directory, który okresowo ustawia hasło konta administratora lokalnego każdego komputera na nową losową i unikatową wartość. Hasła są przechowywane w zabezpieczonym poufnym atrybutie odpowiedniego obiektu komputera w usłudze Active Directory, gdzie tylko specjalnie autoryzowani użytkownicy mogą je pobrać. LapS używa kont lokalnych do zdalnego zarządzania komputerami w sposób, który oferuje pewne korzyści w niż przy użyciu kont domeny. Aby dowiedzieć się więcej, zobacz Zdalne korzystanie z kont lokalnych: LAPS Zmienia wszystko.

    Aby rozpocząć korzystanie z narzędzia LAPS, pobierz Rozwiązanie do zarządzania hasłami administratorów lokalnych (LAPS).

  • Usługa Microsoft Advanced Threat Analytics (ATA) jest produktem lokalnym, który umożliwia wykrywanie osób atakujących próbujących naruszyć bezpieczeństwo uprzywilejowanych tożsamości. Usługa ATA analizuje ruch sieciowy w celu uwierzytelniania, autoryzacji i zbierania informacji protokołów, takich jak Kerberos i DNS. Za ich podstawie usługi ATA tworzy profile behawioralne użytkowników i innych jednostek w sieci w celu wykrywania anomalii i znanych wzorców ataków.

    Aby dowiedzieć się więcej, zobacz Co to jest usługa Advanced Threat Analytics?.

  • Windows Defender Credential Guard chroni poświadczenia za pośrednictwem połączenia Pulpit zdalny przez przekierowywanie żądań protokołu Kerberos z powrotem do urządzenia, które żąda połączenia. Zapewnia również logowanie jednokrotne (SSO) na Pulpit zdalny sesji. W trakcie Pulpit zdalny zabezpieczeń, jeśli bezpieczeństwo urządzenia docelowego zostanie naruszone, poświadczenia nie zostaną ujawnione, ponieważ zarówno pochodne poświadczenia, jak i pochodne poświadczenia nigdy nie są przekazywane przez sieć do urządzenia docelowego.

    Aby dowiedzieć się więcej, zobacz Manage Windows Defender Credential Guard (Zarządzanie Windows Defender Credential Guard).

Następne kroki

Aby uzyskać więcej informacji na temat zabezpieczeń i zgodności z przepisami, zobacz również: