Zagadnienia dotyczące zabezpieczeń Azure Stack HCLAzure Stack HCI security considerations

Dotyczy: Azure Stack HCL, wersja 20H2; System Windows Server 2019Applies to: Azure Stack HCI, version 20H2; Windows Server 2019

Ten temat zawiera zagadnienia dotyczące zabezpieczeń i zalecenia dotyczące systemu operacyjnego Azure Stack HCL:This topic provides security considerations and recommendations related to the Azure Stack HCI operating system:

  • Część 1 obejmuje podstawowe narzędzia i technologie zabezpieczeń w celu zabezpieczenia systemu operacyjnego oraz ochrony danych i tożsamości w celu wydajnego tworzenia bezpiecznej podstawy dla organizacji.Part 1 covers basic security tools and technologies to harden the operating system, and protect data and identities to efficiently build a secure foundation for your organization.
  • Część 2 obejmuje zasoby dostępne za pomocą Azure Security Center.Part 2 covers resources available through the Azure Security Center.
  • Część 3 obejmuje bardziej zaawansowane zagadnienia dotyczące zabezpieczeń, aby dodatkowo wzmocnić stan zabezpieczeń organizacji w tych obszarach.Part 3 covers more advanced security considerations to further strengthen the security posture of your organization in these areas.

Dlaczego zagadnienia dotyczące zabezpieczeń są ważne?Why are security considerations important?

Zabezpieczenia mają wpływ na wszystkich użytkowników w organizacji z zarządzania wyższego poziomu na pracownika przetwarzającego informacje.Security affects everyone in your organization from upper-level management to the information worker. Nieodpowiednie zabezpieczenia są rzeczywistymi zagrożeniami dla organizacji, ponieważ naruszenie zabezpieczeń może potencjalnie przerwać wszystkie normalne działania i spowodować zatrzymanie działania organizacji.Inadequate security is a real risk for organizations, as a security breach can potentially disrupt all normal business and bring your organization to a halt. Najszybciej, gdy możliwe jest wykrycie potencjalnego ataku, szybszym sposobem jest złagodzenie zabezpieczeń.The sooner that you can detect a potential attack, the faster you can mitigate any compromise in security.

Po przeszukiwaniu słabych punktów środowiska w celu ich wykorzystania osoba atakująca może zwykle w ciągu 24 do 48 godzin pierwszego złamania zabezpieczeń eskalować uprawnienia, aby przejąć kontrolę nad systemami w sieci.After researching an environment's weak points to exploit them, an attacker can typically within 24 to 48 hours of the initial compromise escalate privileges to take control of systems on the network. Dobre środki bezpieczeństwa zabezpieczają systemy w środowisku, aby zwiększyć czas, w którym osoba atakująca może przejąć kontrolę od godzin do tygodni lub nawet miesięcy przez zablokowanie ruchów osoby atakującej.Good security measures harden the systems in the environment to extend the time it takes an attacker to potentially take control from hours to weeks or even months by blocking the attacker's movements. Zaimplementowanie zaleceń dotyczących zabezpieczeń w tym temacie pozwala organizacji wykrywać takie ataki i reagować na nie tak szybko, jak to możliwe.Implementing the security recommendations in this topic position your organization to detect and respond to such attacks as fast as possible.

Część 1: tworzenie bezpiecznej podstawyPart 1: Build a secure foundation

W poniższych sekcjach zawarto narzędzia i technologie zabezpieczeń, które umożliwiają utworzenie bezpiecznej podstawy dla serwerów z systemem operacyjnym Azure Stack HCL w danym środowisku.The following sections recommend security tools and technologies to build a secure foundation for the servers running the Azure Stack HCI operating system in your environment.

Ograniczanie funkcjonalności środowiskaHarden the environment

W tej sekcji omówiono sposób ochrony usług i maszyn wirtualnych uruchomionych w systemie operacyjnym:This section discusses how to protect services and virtual machines (VMs) running on the operating system:

  • Azure Stack sprzętu z certyfikatem HCL zapewnia spójne ustawienia bezpiecznego rozruchu, interfejsu UEFI i modułu TPM.Azure Stack HCI certified hardware provides consistent Secure Boot, UEFI, and TPM settings out of the box. Łączenie zabezpieczeń i certyfikowanych sprzętu opartego na wirtualizacji pomaga chronić obciążenia z uwzględnieniem zabezpieczeń.Combining virtualization-based security and certified hardware helps protect security-sensitive workloads. Możesz również połączyć tę zaufaną infrastrukturę, aby Azure Security Center w celu aktywowania analizy behawioralnej i raportowania w celu szybkiego zmieniania obciążeń i zagrożeń.You can also connect this trusted infrastructure to Azure Security Center to activate behavioral analytics and reporting to account for rapidly changing workloads and threats.

    • Bezpieczny rozruch jest standardem zabezpieczeń opracowanym przez BRANŻę komputerową, aby zapewnić, że urządzenie zostanie uruchomione wyłącznie przy użyciu oprogramowania zaufanego przez producenta oryginalnego sprzętu (OEM).Secure boot is a security standard developed by the PC industry to help ensure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). Aby dowiedzieć się więcej, zobacz bezpieczny rozruch.To learn more, see Secure boot.
    • W zjednoczonym Extensible Firmware Interface (UEFI) kontroluje proces uruchamiania serwera, a następnie przekazuje kontrolę do systemu Windows lub innego systemu operacyjnego.United Extensible Firmware Interface (UEFI) controls the booting process of the server, and then passes control to either Windows or another operating system. Aby dowiedzieć się więcej, zobacz wymagania dotyczące oprogramowania układowego UEFI.To learn more, see UEFI firmware requirements.
    • Technologia moduł TPM (TPM) oferuje sprzętowe funkcje związane z zabezpieczeniami.Trusted Platform Module (TPM) technology provides hardware-based, security-related functions. Mikroukład modułu TPM to bezpieczny procesor kryptograficzny, który generuje, przechowuje i ogranicza użycie kluczy kryptograficznych.A TPM chip is a secure crypto-processor that generates, stores, and limits the use of cryptographic keys. Aby dowiedzieć się więcej, zobacz Omówienie technologii moduł TPM.To learn more, see Trusted Platform Module Technology Overview.

    Aby dowiedzieć się więcej o dostawcach sprzętu z certyfikatem HCL Azure Stack, zobacz witrynę sieci Web z rozwiązaniami Azure Stack .To learn more about Azure Stack HCI certified hardware providers, see the Azure Stack HCI solutions website.

  • Device Guard i Credential Guard.Device Guard and Credential Guard. Funkcja Device Guard chroni przed złośliwym oprogramowaniem bez znanego podpisu, niepodpisanego kodu i złośliwego oprogramowania, które uzyskuje dostęp do jądra w celu przechwycenia poufnych informacji lub uszkodzenia systemu.Device Guard protects against malware with no known signature, unsigned code, and malware that gains access to the kernel to either capture sensitive information or damage the system. Funkcja Windows Defender Credential Guard używa zabezpieczeń opartych na wirtualizacji do izolowania kluczy tajnych, aby tylko uprzywilejowane oprogramowanie systemowe mogło uzyskiwać do nich dostęp.Windows Defender Credential Guard uses virtualization-based security to isolate secrets so that only privileged system software can access them.

    Aby dowiedzieć się więcej, zobacz Zarządzanie usługą Windows Defender Credential Guard i pobieranie Narzędzia do przygotowywania sprzętu funkcji Device Guard i Credential Guard.To learn more, see Manage Windows Defender Credential Guard and download the Device Guard and Credential Guard hardware readiness tool.

  • Aktualizacje systemu Windows i oprogramowania układowego są niezbędne w przypadku klastrów, serwerów (w tym maszyn wirtualnych gościa) i komputerów, aby zapewnić ochronę systemu operacyjnego i sprzętu przed osobami atakującymi.Windows and firmware updates are essential on clusters, servers (including guest VMs), and PCs to help ensure that both the operating system and system hardware are protected from attackers. Aby zastosować aktualizacje do poszczególnych systemów, można użyć narzędzia aktualizacji centrum administracyjnego systemu Windows.You can use the Windows Admin Center Updates tool to apply updates to individual systems. Jeśli dostawca sprzętu zawiera obsługę centrum administracyjnego systemu Windows na potrzeby pobierania sterowników, oprogramowania układowego i aktualizacji rozwiązań, te aktualizacje można pobrać w tym samym czasie co aktualizacje systemu Windows, w przeciwnym razie pobrać je bezpośrednio od dostawcy.If your hardware provider includes Windows Admin Center support for getting driver, firmware, and solution updates, you can get these updates at the same time as Windows updates, otherwise get them directly from your vendor.

    Aby dowiedzieć się więcej, zobacz temat Aktualizowanie klastra.To learn more, see Update the cluster.

    Aby zarządzać aktualizacjami jednocześnie w wielu klastrach i serwerach, należy rozważyć zasubskrybowanie opcjonalnej usługi Update Management platformy Azure, która jest zintegrowana z centrum administracyjnym systemu Windows.To manage updates on multiple clusters and servers at a time, consider subscribing to the optional Azure Update Management service, which is integrated with Windows Admin Center. Aby uzyskać więcej informacji, zobacz Azure Update Management przy użyciu Centrum administracyjnego systemu Windows.For more information, see Azure Update Management using Windows Admin Center.

Ochrona danychProtect data

W tej sekcji omówiono sposób używania centrum administracyjnego systemu Windows do ochrony danych i obciążeń w systemie operacyjnym:This section discusses how to use Windows Admin Center to protect data and workloads on the operating system:

  • Funkcja BitLocker dla funkcji miejsca do magazynowania chroni dane przechowywane w spoczynku.BitLocker for Storage Spaces protects data at rest. Za pomocą funkcji BitLocker można szyfrować zawartość woluminów danych miejsc do magazynowania w systemie operacyjnym.You can use BitLocker to encrypt the contents of Storage Spaces data volumes on the operating system. Ochrona danych za pomocą funkcji BitLocker może pomóc organizacjom utrzymać zgodność z normami obowiązującymi dla instytucji rządowych, regionalnych i branżowych, takich jak FIPS 140-2 i HIPAA.Using BitLocker to protect data can help organizations stay compliant with government, regional, and industry-specific standards such as FIPS 140-2, and HIPAA.

    Aby dowiedzieć się więcej o korzystaniu z funkcji BitLocker w centrum administracyjnym systemu Windows, zobacz Włączanie szyfrowania woluminów, deduplikacji i kompresjiTo learn more about using BitLocker in Windows Admin Center, see Enable volume encryption, deduplication, and compression

  • Szyfrowanie SMB dla sieci systemu Windows chroni dane podczas przesyłania.SMB encryption for Windows networking protects data in transit. Blok komunikatów serwera (SMB) to sieciowy protokół udostępniania plików, który umożliwia aplikacjom na komputerze odczyt i zapis w plikach oraz zażądanie usług z programów serwera w sieci komputerowej.Server Message Block (SMB) is a network file sharing protocol that allows applications on a computer to read and write to files and to request services from server programs on a computer network.

    Aby włączyć szyfrowanie protokołu SMB, zobacz ulepszenia zabezpieczeń SMB.To enable SMB encryption, see SMB security enhancements.

  • Program antywirusowy Windows Defender w centrum administracyjnym systemu Windows chroni system operacyjny na klientach i serwerach przed wirusami, złośliwym oprogramowaniem, programami szpiegującymi i innymi zagrożeniami.Windows Defender Antivirus in Windows Admin Center protects the operating system on clients and servers against viruses, malware, spyware, and other threats. Aby dowiedzieć się więcej, zobacz Microsoft Defender Antivirus w systemie Windows Server 2016 i 2019.To learn more, see Microsoft Defender Antivirus on Windows Server 2016 and 2019.

Ochrona tożsamościProtect identities

W tej sekcji omówiono sposób używania centrum administracyjnego systemu Windows do ochrony tożsamości uprzywilejowanych:This section discusses how to use Windows Admin Center to protect privileged identities:

  • Kontrola dostępu może zwiększyć bezpieczeństwo zarządzania poziomami.Access control can improve the security of your management landscape. Jeśli używasz serwera centrum administracyjnego systemu Windows (a na komputerze z systemem Windows 10), możesz kontrolować dwa poziomy dostępu do centrum administracyjnego systemu Windows: Użytkownicy bramy i Administratorzy bramy.If you're using a Windows Admin Center server (vs. running on a Windows 10 PC), you can control two levels of access to Windows Admin Center itself: gateway users and gateway administrators. Opcje dostawcy tożsamości administratora bramy obejmują:Gateway administrator identity provider options include:

    • Active Directory lub grupy maszyn lokalnych w celu wymuszenia uwierzytelniania przy użyciu karty inteligentnej.Active Directory or local machine groups to enforce smartcard authentication.
    • Azure Active Directory w celu wymuszenia dostępu warunkowego i uwierzytelniania wieloskładnikowego.Azure Active Directory to enforce conditional access and multifactor authentication.

    Aby dowiedzieć się więcej, zobacz Opcje dostępu użytkowników w centrum administracyjnym systemu Windows i Konfigurowanie Access Control i uprawnień użytkownika.To learn more, see User access options with Windows Admin Center and Configure User Access Control and Permissions.

  • Ruch przeglądarki do centrum administracyjnego systemu Windows używa protokołu HTTPS.Browser traffic to Windows Admin Center uses HTTPS. Ruch z centrum administracyjnego systemu Windows do serwerów zarządzanych używa standardowych programu PowerShell i Instrumentacja zarządzania Windows (WMI) za pośrednictwem Windows Remote Management (WinRM).Traffic from Windows Admin Center to managed servers uses standard PowerShell and Windows Management Instrumentation (WMI) over Windows Remote Management (WinRM). Centrum administracyjne systemu Windows obsługuje rozwiązanie do lokalnego hasła administratora (między innymi), oparte na zasobach delegowanie ograniczone, kontrolę dostępu do bramy przy użyciu Active Directory (AD) lub Microsoft Azure Active Directory (Azure AD) i kontroli dostępu opartej na rolach (RBAC) do zarządzania serwerami docelowymi.Windows Admin Center supports the Local Administrator Password Solution (LAPS), resource-based constrained delegation, gateway access control using Active Directory (AD) or Microsoft Azure Active Directory (Azure AD), and role-based access control (RBAC) for managing target servers.

    Centrum administracyjne systemu Windows obsługuje przeglądarkę Microsoft Edge (Windows 10, wersja 1709 lub nowszą), Google Chrome i Microsoft Edge w systemie Windows 10.Windows Admin Center supports Microsoft Edge (Windows 10, version 1709 or later), Google Chrome, and Microsoft Edge Insider on Windows 10. Centrum administracyjne systemu Windows można zainstalować na komputerze z systemem Windows 10 lub Windows Server.You can install Windows Admin Center on either a Windows 10 PC or a Windows server.

    W przypadku zainstalowania centrum administracyjnego systemu Windows na serwerze, który działa jako brama, bez interfejsu użytkownika na serwerze hosta.If you install Windows Admin Center on a server it runs as a gateway, with no UI on the host server. W tym scenariuszu Administratorzy mogą zalogować się na serwerze za pośrednictwem sesji HTTPS zabezpieczonej przy użyciu certyfikatu zabezpieczeń z podpisem własnym na hoście.In this scenario, administrators can log on to the server via an HTTPS session, secured by a self-signed security certificate on the host. Lepiej jest jednak używać odpowiedniego certyfikatu SSL z zaufanego urzędu certyfikacji dla procesu logowania, ponieważ obsługiwane przeglądarki traktują połączenie z podpisem własnym jako niezabezpieczone, nawet jeśli połączenie dotyczy lokalnego adresu IP w zaufanej sieci VPN.However, it's better to use an appropriate SSL certificate from a trusted certificate authority for the sign-on process, because supported browsers treat a self-signed connection as unsecure, even if the connection is to a local IP address over a trusted VPN.

    Aby dowiedzieć się więcej o opcjach instalacji dla Twojej organizacji, zobacz jaki typ instalacji jest odpowiedni dla Ciebie?.To learn more about installation options for your organization, see What type of installation is right for you?.

  • Dostawca CredSSP jest dostawcą uwierzytelniania, który jest wykorzystywany przez centrum administracyjne systemu Windows w kilku przypadkach do przekazywania poświadczeń do maszyn poza określonym serwerem, na którym chcesz zarządzać.CredSSP is an authentication provider that Windows Admin Center uses in a few cases to pass credentials to machines beyond the specific server you are targeting to manage. Centrum administracyjne systemu Windows obecnie wymaga dostawcy CredSSP:Windows Admin Center currently requires CredSSP to:

    • Utwórz nowy klaster.Create a new cluster.
    • Uzyskaj dostęp do narzędzia aktualizacje , aby korzystać z funkcji klastra trybu failover lub aktualizacji typu cluster-aware.Access the Updates tool to use either the Failover clustering or Cluster-Aware Updating features.
    • Zarządzanie rozagregowanym magazynem SMB na maszynach wirtualnych.Manage disaggregated SMB storage in VMs.

    Aby dowiedzieć się więcej, zobacz czy w centrum administracyjnym systemu Windows jest używane uwierzytelnianie CredSSP?To learn more, see Does Windows Admin Center use CredSSP?

  • Kontrola dostępu oparta na rolach (RBAC) w centrum administracyjnym systemu Windows umożliwia użytkownikom ograniczony dostęp do serwerów, których potrzebują do zarządzania, a nie do uzyskiwania ich pełnych administratorów lokalnych.Role-based access control (RBAC) in Windows Admin Center allows users limited access to the servers they need to manage instead of making them full local administrators. Aby można było używać RBAC w centrum administracyjnym systemu Windows, należy skonfigurować każdy serwer zarządzany przy użyciu programu PowerShell z wystarczającą ilością punktu końcowego administratora.To use RBAC in Windows Admin Center, you configure each managed server with a PowerShell Just Enough Administration endpoint.

    Aby dowiedzieć się więcej, zobacz kontroli dostępu opartej na rolach i wystarczającej administracji.To learn more, see Role-based access control and Just Enough Administration.

  • Narzędzia zabezpieczeń w centrum administracyjnym systemu Windows, które służą do zarządzania tożsamościami, obejmują Active Directory, certyfikaty, zapory, lokalnych użytkowników i grup oraz inne.Security tools in Windows Admin Center that you can use to manage and protect identities include Active Directory, Certificates, Firewall, Local Users and Groups, and more.

    Aby dowiedzieć się więcej, zobacz Zarządzanie serwerami za pomocą Centrum administracyjnego systemu Windows.To learn more, see Manage Servers with Windows Admin Center.

Część 2: Użyj Azure Security CenterPart 2: Use Azure Security Center

Azure Security Center to ujednolicony system zarządzania zabezpieczeniami infrastruktury, który wzmacnia stan zabezpieczeń centrów danych i zapewnia zaawansowaną ochronę przed zagrożeniami w ramach obciążeń hybrydowych w chmurze i lokalnie.Azure Security Center is a unified infrastructure security management system that strengthens the security posture of your data centers, and provides advanced threat protection across your hybrid workloads in the cloud and on premises. Security Center udostępnia narzędzia do oceny stanu zabezpieczeń sieci, ochrony obciążeń, zgłaszania alertów zabezpieczeń i wykonywania konkretnych zaleceń w celu rozwiązania ataków i rozwiązywania przyszłych zagrożeń.Security Center provides you with tools to assess the security status of your network, protect workloads, raise security alerts, and follow specific recommendations to remediate attacks and address future threats. Security Center wykonuje wszystkie te usługi przy dużej szybkości w chmurze bez konieczności wdrażania przez funkcję autoaprowizacji i ochrony przy użyciu usług platformy Azure.Security Center performs all of these services at high speed in the cloud with no deployment overhead through auto-provisioning and protection with Azure services.

Security Center chroni maszyny wirtualne dla serwerów z systemem Windows i Linux, instalując agenta Log Analytics na tych zasobach.Security Center protects VMs for both Windows servers and Linux servers by installing the Log Analytics agent on these resources. Platforma Azure umożliwia skorelowanie zdarzeń zbieranych przez agentów w celu zapewnienia bezpieczeństwa obciążeń.Azure correlates events that the agents collect into recommendations (hardening tasks) that you perform to make your workloads secure. Zadania związane z ograniczaniem funkcjonalności oparte na najlepszych rozwiązaniach w zakresie zabezpieczeń obejmują zarządzanie i wymuszanie zasad zabezpieczeń.The hardening tasks based on security best practices include managing and enforcing security policies. Następnie można śledzić wyniki i zarządzać zgodnością oraz nadzorem w czasie przez Security Center monitorowania, jednocześnie zmniejszając obszar ataków na wszystkie zasoby.You can then track the results and manage compliance and governance over time through Security Center monitoring while reducing the attack surface across all of your resources.

Określanie, kto może uzyskiwać dostęp do zasobów platformy Azure i subskrypcji, to ważna część strategii zarządzania platformą Azure.Managing who can access your Azure resources and subscriptions is an important part of your Azure governance strategy. Kontrola dostępu oparta na rolach (RBAC) na platformie Azure jest podstawową metodą zarządzania dostępem na platformie Azure.Azure role-based access control (RBAC) is the primary method of managing access in Azure. Aby dowiedzieć się więcej, zobacz Zarządzanie dostępem do środowiska platformy Azure przy użyciu kontroli dostępu opartej na rolach.To learn more, see Manage access to your Azure environment with role-based access control.

Praca z Security Center za pomocą Centrum administracyjnego systemu Windows wymaga subskrypcji platformy Azure.Working with Security Center through Windows Admin Center requires an Azure subscription. Aby rozpocząć, zobacz integracja Azure Security Center z centrum administracyjnym systemu Windows.To get started, see Integrate Azure Security Center with Windows Admin Center.

Po zarejestrowaniu dostępu Security Center w centrum administracyjnym systemu Windows: na stronie wszystkie połączenia wybierz serwer lub maszynę wirtualną, w obszarze narzędziawybierz pozycję Azure Security Center, a następnie wybierz pozycję Zaloguj się do platformy Azure.After registering, access Security Center in Windows Admin Center: On the All Connections page, select a server or VM, under Tools, select Azure Security Center, and then select Sign into Azure.

Aby dowiedzieć się więcej, zobacz co to jest Azure Security Center?To learn more, see What is Azure Security Center?

Część 3: Dodawanie zabezpieczeń zaawansowanychPart 3: Add advanced security

W poniższych sekcjach zawarto zaawansowane narzędzia i technologie zabezpieczeń, aby dodatkowo zabezpieczyć serwery z systemem operacyjnym Azure Stack HCL w danym środowisku.The following sections recommend advanced security tools and technologies to further harden servers running the Azure Stack HCI operating system in your environment.

Ograniczanie funkcjonalności środowiskaHarden the environment

  • Linie bazowe zabezpieczeń firmy Microsoft są oparte na zaleceniach dotyczących zabezpieczeń firmy Microsoft uzyskanych przez partnerstwo z organizacjami komercyjnymi i rządami USA, takimi jak Departament Obrony.Microsoft security baselines are based on security recommendations from Microsoft obtained through partnership with commercial organizations and the US government, such as the Department of Defense. Linie bazowe zabezpieczeń obejmują zalecane ustawienia zabezpieczeń zapory systemu Windows, usługi Windows Defender i wielu innych.The security baselines include recommended security settings for Windows Firewall, Windows Defender, and many others.

    Linie bazowe zabezpieczeń są udostępniane jako kopie zapasowe obiektów zasady grupy (GPO), które można zaimportować do Active Directory Domain Services (AD DS), a następnie wdrożyć na serwerach przyłączonych do domeny w celu ograniczenia środowiska.The security baselines are provided as Group Policy Object (GPO) backups that you can import into Active Directory Domain Services (AD DS), and then deploy to domain-joined servers to harden the environment. Możesz również użyć lokalnych narzędzi skryptu do konfigurowania autonomicznych (przyłączonych do domeny) serwerów z liniami bazowymi zabezpieczeń.You can also use Local Script tools to configure standalone (non domain-joined) servers with security baselines. Aby rozpocząć korzystanie z linii bazowych zabezpieczeń, Pobierz zestaw narzędzi zgodności z zabezpieczeniami firmy Microsoft 1,0.To get started using the security baselines, download the Microsoft Security Compliance Toolkit 1.0.

    Aby dowiedzieć się więcej, zobacz linie bazowe zabezpieczeń firmy Microsoft.To learn more, see Microsoft Security Baselines.

Ochrona danychProtect data

  • Podwyższenie poziomu funkcjonalności środowiska Hyper-V wymaga wzmocnienia funkcjonalności systemu Windows Server działającego na maszynie wirtualnej tak samo jak w przypadku ochrony systemu operacyjnego działającego na serwerze fizycznym.Hardening the Hyper-V environment requires hardening Windows Server running on a VM just as you would harden the operating system running on a physical server. Ponieważ środowiska wirtualne mają zwykle wiele maszyn wirtualnych, które współużytkują ten sam Host fizyczny, konieczna jest ochrona zarówno hosta fizycznego, jak i maszyn wirtualnych działających na nim.Because virtual environments typically have multiple VMs sharing the same physical host, it is imperative to protect both the physical host and the VMs running on it. Osoba atakująca, która narusza hosta, może mieć wpływ na wiele maszyn wirtualnych mających większy wpływ na obciążenia i usługi.An attacker who compromises a host can affect multiple VMs with a greater impact on workloads and services. W tej części omówiono następujące metody, których można użyć do zabezpieczenia systemu Windows Server w środowisku funkcji Hyper-V:This section discusses the following methods that you can use to harden Windows Server in a Hyper-V environment:

    • Chroniona Sieć szkieletowa i chronione maszyny wirtualne wzmacniają zabezpieczenia maszyn wirtualnych działających w środowiskach funkcji Hyper-V, zapobiegając modyfikacji plików maszyn wirtualnych przez osoby atakujące.Guarded fabric and shielded VMs strengthen the security for VMs running in Hyper-V environments by preventing attackers from modifying VM files. Chroniona Sieć szkieletowa składa się z usługi Ochrona hosta, która jest zwykle klastrem z trzema węzłami, co najmniej jednym hostem chronionym i zestawem chronionych maszyn wirtualnych.A guarded fabric consists of a Host Guardian Service (HGS) that is typically a cluster of three nodes, one or more guarded hosts, and a set of shielded VMs. Usługa zaświadczania szacuje ważność żądań hostów, natomiast usługa ochrony klucza określa, czy należy zwolnić klucze, które mogą być używane przez hosty chronione do uruchomienia maszyny wirtualnej z osłoną.The Attestation Service evaluates the validity of hosts requests, while the Key Protection Service determines whether to release keys that the guarded hosts can use to start the shielded VM.

      Aby dowiedzieć się więcej, zobacz Omówienie chronionej sieci szkieletowej i maszyn wirtualnych z osłoną.To learn more, see Guarded fabric and shielded VMs overview.

    • Virtual moduł TPM (vTPM) w systemie Windows Server obsługuje moduły TPM dla maszyn wirtualnych, które umożliwiają korzystanie z zaawansowanych technologii zabezpieczeń, takich jak funkcja BitLocker na maszynach wirtualnych.Virtual Trusted Platform Module (vTPM) in Windows Server supports TPM for VMs, which lets you use advanced security technologies, such as BitLocker in VMs. Obsługę modułu TPM można włączyć na dowolnej maszynie wirtualnej funkcji Hyper-V generacji 2 przy użyciu Menedżera funkcji Hyper-V lub Enable-VMTPM polecenia cmdlet programu Windows PowerShell.You can enable TPM support on any Generation 2 Hyper-V VM by using either Hyper-V Manager or the Enable-VMTPM Windows PowerShell cmdlet.

      Aby dowiedzieć się więcej, zobacz enable-VMTPM.To learn more, see Enable-VMTPM.

    • Sieć definiowana przez oprogramowanie (SDN) w Azure Stack HCL i system Windows Server centralnie konfiguruje fizyczne i wirtualne urządzenia sieciowe, takie jak routery, przełączniki i bramy w centrum danych.Software Defined Networking (SDN) in Azure Stack HCI and Windows Server centrally configures and manages physical and virtual network devices, such as routers, switches, and gateways in your datacenter. Elementy sieci wirtualnej, takie jak przełącznik wirtualny funkcji Hyper-V, wirtualizacja sieci funkcji Hyper-V i Brama RAS, zostały zaprojektowane jako integralne elementy infrastruktury SDN.Virtual network elements, such as Hyper-V Virtual Switch, Hyper-V Network Virtualization, and RAS Gateway are designed to be integral elements of your SDN infrastructure.

      Aby dowiedzieć się więcej, zobacz artykuł Defined Networking (SDN).To learn more, see Software Defined Networking (SDN).

Ochrona tożsamościProtect identities

  • Rozwiązanie hasła administratora lokalnego ( z uwzględnieniem programu) jest lekkim mechanizmem Active Directory systemów przyłączonych do domeny, które okresowo ustawia hasło lokalnego konta administratora każdego komputera na nową wartość losową i unikatową.Local Administrator Password Solution (LAPS) is a lightweight mechanism for Active Directory domain-joined systems that periodically sets each computer’s local admin account password to a new random and unique value. Hasła są przechowywane w zabezpieczonym atrybucie poufne na odpowiednim obiekcie komputera w Active Directory, w którym tylko użytkownicy autoryzowani mogą je pobrać.Passwords are stored in a secured confidential attribute on the corresponding computer object in Active Directory, where only specifically-authorized users can retrieve them. Program korzysta z kont lokalnych w celu zarządzania komputerem zdalnym w taki sposób, który zapewnia pewne korzyści w stosunku do korzystania z kont domeny.LAPS uses local accounts for remote computer management in a way that offers some advantages over using domain accounts. Aby dowiedzieć się więcej, zobacz zdalne korzystanie z kont lokalnych: nakładają się wszystkie zmiany.To learn more, see Remote Use of Local Accounts: LAPS Changes Everything.

    Aby rozpocząć korzystanie z programu, Pobierz rozwiązanie do lokalnego hasła administratora.To get started using LAPS, download Local Administrator Password Solution (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) to lokalny produkt, za pomocą którego można wykrywać osoby atakujące próbujące złamać uprzywilejowane tożsamości.Microsoft Advanced Threat Analytics (ATA) is an on-premises product that you can use to help detect attackers attempting to compromise privileged identities. Usługa ATA analizuje ruch sieciowy w ramach protokołów uwierzytelniania, autoryzacji i zbierania informacji, takich jak Kerberos i DNS.ATA parses network traffic for authentication, authorization, and information gathering protocols, such as Kerberos and DNS. Funkcja ATA używa danych do kompilowania profilów zachowań użytkowników i innych jednostek w sieci w celu wykrywania anomalii i znanych wzorców ataków.ATA uses the data to build behavioral profiles of users and other entities on the network to detect anomalies and known attack patterns.

    Aby dowiedzieć się więcej, zobacz co to jest Advanced Threat Analytics?.To learn more, see What is Advanced Threat Analytics?.

  • Funkcja zdalnej poświadczeń usługi Windows Defender chroni poświadczenia za pośrednictwem połączenia pulpit zdalny, przekierowując żądania protokołu Kerberos z powrotem do urządzenia żądającego połączenia.Windows Defender Remote Credential Guard protects credentials over a Remote Desktop connection by redirecting Kerberos requests back to the device that's requesting the connection. Zapewnia także Logowanie jednokrotne (SSO) dla sesji Pulpit zdalny.It also provides single sign-on (SSO) for Remote Desktop sessions. W trakcie sesji Pulpit zdalny, jeśli urządzenie docelowe zostanie naruszone, poświadczenia nie są ujawniane, ponieważ poświadczenia i pochodne poświadczenia nigdy nie są przesyłane przez sieć do urządzenia docelowego.During a Remote Desktop session, if the target device is compromised, your credentials are not exposed because both credential and credential derivatives are never passed over the network to the target device.

    Aby dowiedzieć się więcej, zobacz Zarządzanie usługą Windows Defender Credential Guard.To learn more, see Manage Windows Defender Credential Guard.

Następne krokiNext steps

Aby uzyskać więcej informacji na temat zabezpieczeń i zgodności z przepisami, zobacz również:For more information on security and regulatory compliance, see also: