Considerações de segurança Azure Stack HCIAzure Stack HCI security considerations

Aplica-se a: Azure Stack HCI, versão 20H2; Windows Server 2019Applies to: Azure Stack HCI, version 20H2; Windows Server 2019

Este tópico fornece considerações de segurança e recomendações relacionadas ao sistema operacional Azure Stack HCI:This topic provides security considerations and recommendations related to the Azure Stack HCI operating system:

  • A parte 1 aborda ferramentas e tecnologias básicas de segurança para fortalecer o sistema operacional e proteger dados e identidades para criar com eficiência uma base segura para sua organização.Part 1 covers basic security tools and technologies to harden the operating system, and protect data and identities to efficiently build a secure foundation for your organization.
  • A parte 2 abrange os recursos disponíveis por meio da central de segurança do Azure.Part 2 covers resources available through the Azure Security Center.
  • A parte 3 aborda considerações de segurança mais avançadas para reforçar ainda mais a postura de segurança de sua organização nessas áreas.Part 3 covers more advanced security considerations to further strengthen the security posture of your organization in these areas.

Por que as considerações de segurança são importantes?Why are security considerations important?

A segurança afeta todos em sua organização de gerenciamento de nível superior para o operador de informações.Security affects everyone in your organization from upper-level management to the information worker. A segurança inadequada é um risco real para as organizações, uma vez que uma violação de segurança pode potencialmente interromper todos os negócios normais e colocar sua organização em uma parada.Inadequate security is a real risk for organizations, as a security breach can potentially disrupt all normal business and bring your organization to a halt. Quanto mais cedo for possível detectar um ataque potencial, mais rápido você poderá mitigar qualquer comprometimento na segurança.The sooner that you can detect a potential attack, the faster you can mitigate any compromise in security.

Depois de Pesquisar os pontos fracos de um ambiente para explorá-los, um invasor pode, em geral, de 24 a 48 horas de privilégios de escalonamento de comprometimento inicial para assumir o controle dos sistemas na rede.After researching an environment's weak points to exploit them, an attacker can typically within 24 to 48 hours of the initial compromise escalate privileges to take control of systems on the network. Boas medidas de segurança protegem os sistemas no ambiente para estender o tempo que um invasor leva para potencialmente assumir o controle de horas para semanas ou até mesmo meses bloqueando os movimentos do invasor.Good security measures harden the systems in the environment to extend the time it takes an attacker to potentially take control from hours to weeks or even months by blocking the attacker's movements. A implementação das recomendações de segurança neste tópico posiciona sua organização para detectar e responder a tais ataques o mais rápido possível.Implementing the security recommendations in this topic position your organization to detect and respond to such attacks as fast as possible.

Parte 1: criar uma base seguraPart 1: Build a secure foundation

As seções a seguir recomendam ferramentas e tecnologias de segurança para criar uma base segura para os servidores que executam o sistema operacional Azure Stack HCI em seu ambiente.The following sections recommend security tools and technologies to build a secure foundation for the servers running the Azure Stack HCI operating system in your environment.

Proteger o ambienteHarden the environment

Esta seção discute como proteger serviços e VMs (máquinas virtuais) em execução no sistema operacional:This section discusses how to protect services and virtual machines (VMs) running on the operating system:

  • Azure Stack hardware certificado pelo HCI fornece configurações consistentes de inicialização segura, UEFI e TPM.Azure Stack HCI certified hardware provides consistent Secure Boot, UEFI, and TPM settings out of the box. Combinar segurança baseada em virtualização e hardware certificado ajuda a proteger cargas de trabalho sensíveis à segurança.Combining virtualization-based security and certified hardware helps protect security-sensitive workloads. Você também pode conectar essa infraestrutura confiável à central de segurança do Azure para ativar a análise comportamental e os relatórios para considerar a alteração rápida de cargas de trabalho e ameaças.You can also connect this trusted infrastructure to Azure Security Center to activate behavioral analytics and reporting to account for rapidly changing workloads and threats.

    • A inicialização segura é um padrão de segurança desenvolvido pelo setor de PCs para ajudar a garantir que um dispositivo seja inicializado usando apenas software que seja confiável para o OEM (fabricante original do equipamento).Secure boot is a security standard developed by the PC industry to help ensure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). Para saber mais, confira inicialização segura.To learn more, see Secure boot.
    • A UEFI (interface de firmware extensível) dos EUA controla o processo de inicialização do servidor e, em seguida, passa o controle para o Windows ou outro sistema operacional.United Extensible Firmware Interface (UEFI) controls the booting process of the server, and then passes control to either Windows or another operating system. Para saber mais, consulte requisitos de firmware UEFI.To learn more, see UEFI firmware requirements.
    • A tecnologia Trusted Platform Module (TPM) fornece funções relacionadas à segurança e baseadas em hardware.Trusted Platform Module (TPM) technology provides hardware-based, security-related functions. Um chip TPM é um processador de criptografia seguro que gera, armazena e limita o uso de chaves de criptografia.A TPM chip is a secure crypto-processor that generates, stores, and limits the use of cryptographic keys. Para saber mais, consulte visão geral da tecnologia de Trusted Platform Module.To learn more, see Trusted Platform Module Technology Overview.

    Para saber mais sobre Azure Stack provedores de hardware certificados pelo HCI, consulte o site da Azure Stack soluções do HCI .To learn more about Azure Stack HCI certified hardware providers, see the Azure Stack HCI solutions website.

  • Proteção de dispositivo e Credential Guard.Device Guard and Credential Guard. O Device Guard protege contra malware sem assinatura conhecida, código não assinado e malware que obtém acesso ao kernel para capturar informações confidenciais ou danificar o sistema.Device Guard protects against malware with no known signature, unsigned code, and malware that gains access to the kernel to either capture sensitive information or damage the system. O Windows Defender Credential Guard usa segurança baseada em virtualização para isolar segredos para que apenas o software de sistema privilegiado possa acessá-los.Windows Defender Credential Guard uses virtualization-based security to isolate secrets so that only privileged system software can access them.

    Para saber mais, consulte gerenciar o Windows Defender Credential Guard e baixar a ferramenta de preparação de hardware do Device Guard e Credential Guard.To learn more, see Manage Windows Defender Credential Guard and download the Device Guard and Credential Guard hardware readiness tool.

  • As atualizações de firmware e Windows são essenciais em clusters, servidores (incluindo VMs convidadas) e PCs para ajudar a garantir que o sistema operacional e o hardware do sistema sejam protegidos contra invasores.Windows and firmware updates are essential on clusters, servers (including guest VMs), and PCs to help ensure that both the operating system and system hardware are protected from attackers. Você pode usar a ferramenta de atualizações do centro de administração do Windows para aplicar atualizações a sistemas individuais.You can use the Windows Admin Center Updates tool to apply updates to individual systems. Se o seu provedor de hardware inclui o suporte do centro de administração do Windows para obter atualizações de driver, firmware e solução, você pode obter essas atualizações ao mesmo tempo que as atualizações do Windows, caso contrário, obtenha-as diretamente do seu fornecedor.If your hardware provider includes Windows Admin Center support for getting driver, firmware, and solution updates, you can get these updates at the same time as Windows updates, otherwise get them directly from your vendor.

    Para saber mais, consulte atualizar o cluster.To learn more, see Update the cluster.

    Para gerenciar atualizações em vários clusters e servidores de uma vez, considere assinar o serviço de Gerenciamento de Atualizações do Azure opcional, que é integrado ao centro de administração do Windows.To manage updates on multiple clusters and servers at a time, consider subscribing to the optional Azure Update Management service, which is integrated with Windows Admin Center. Para obter mais informações, consulte Azure gerenciamento de atualizações usando o centro de administração do Windows.For more information, see Azure Update Management using Windows Admin Center.

Proteger dadosProtect data

Esta seção discute como usar o centro de administração do Windows para proteger dados e cargas de trabalho no sistema operacional:This section discusses how to use Windows Admin Center to protect data and workloads on the operating system:

  • O BitLocker para espaços de armazenamento protege os dados em repouso.BitLocker for Storage Spaces protects data at rest. Você pode usar o BitLocker para criptografar o conteúdo de volumes de dados de espaços de armazenamento no sistema operacional.You can use BitLocker to encrypt the contents of Storage Spaces data volumes on the operating system. Usar o BitLocker para proteger dados pode ajudar as organizações a se manterem em conformidade com os padrões governamentais, regionais e específicos do setor, como FIPS 140-2 e HIPAA.Using BitLocker to protect data can help organizations stay compliant with government, regional, and industry-specific standards such as FIPS 140-2, and HIPAA.

    Para saber mais sobre como usar o BitLocker no centro de administração do Windows, consulte habilitar criptografia de volume, eliminação de duplicação e compactaçãoTo learn more about using BitLocker in Windows Admin Center, see Enable volume encryption, deduplication, and compression

  • A criptografia SMB para rede do Windows protege os dados em trânsito.SMB encryption for Windows networking protects data in transit. O SMB é um protocolo de compartilhamento de arquivos de rede que permite que os aplicativos em um computador leiam e gravem em arquivos e solicitem serviços de programas de servidor em uma rede de computador.Server Message Block (SMB) is a network file sharing protocol that allows applications on a computer to read and write to files and to request services from server programs on a computer network.

    Para habilitar a criptografia SMB, consulte melhorias de segurança SMB.To enable SMB encryption, see SMB security enhancements.

  • O Windows Defender antivírus no centro de administração do Windows protege o sistema operacional em clientes e servidores contra vírus, malware, spyware e outras ameaças.Windows Defender Antivirus in Windows Admin Center protects the operating system on clients and servers against viruses, malware, spyware, and other threats. Para saber mais, consulte Microsoft defender antivírus no Windows Server 2016 e 2019.To learn more, see Microsoft Defender Antivirus on Windows Server 2016 and 2019.

Proteger identidadesProtect identities

Esta seção discute como usar o centro de administração do Windows para proteger identidades privilegiadas:This section discusses how to use Windows Admin Center to protect privileged identities:

  • O controle de acesso pode melhorar a segurança do seu cenário de gerenciamento.Access control can improve the security of your management landscape. Se você estiver usando um servidor do centro de administração do Windows (vs. em execução em um PC com Windows 10), poderá controlar dois níveis de acesso ao centro de administração do Windows propriamente dito: usuários de gateway e administradores de gateway.If you're using a Windows Admin Center server (vs. running on a Windows 10 PC), you can control two levels of access to Windows Admin Center itself: gateway users and gateway administrators. As opções do provedor de identidade do administrador de gateway incluem:Gateway administrator identity provider options include:

    • Active Directory ou grupos de computadores locais para impor a autenticação de cartão inteligente.Active Directory or local machine groups to enforce smartcard authentication.
    • Azure Active Directory para impor o acesso condicional e a autenticação multifator.Azure Active Directory to enforce conditional access and multifactor authentication.

    Para saber mais, consulte Opções de acesso do usuário com o centro de administração do Windows e Configurar o controle de acesso do usuário e as permissões.To learn more, see User access options with Windows Admin Center and Configure User Access Control and Permissions.

  • O tráfego do navegador para o centro de administração do Windows usa HTTPS.Browser traffic to Windows Admin Center uses HTTPS. O tráfego do centro de administração do Windows para servidores gerenciados usa o PowerShell padrão e o Instrumentação de Gerenciamento do Windows (WMI) sobre Gerenciamento Remoto do Windows (WinRM).Traffic from Windows Admin Center to managed servers uses standard PowerShell and Windows Management Instrumentation (WMI) over Windows Remote Management (WinRM). O centro de administração do Windows dá suporte à solução de senha de administrador local (LAPS), delegação restrita baseada em recursos, controle de acesso do gateway usando Active Directory (AD) ou Microsoft Azure Active Directory (Azure AD) e controle de acesso baseado em função (RBAC) para gerenciar servidores de destino.Windows Admin Center supports the Local Administrator Password Solution (LAPS), resource-based constrained delegation, gateway access control using Active Directory (AD) or Microsoft Azure Active Directory (Azure AD), and role-based access control (RBAC) for managing target servers.

    O centro de administração do Windows dá suporte ao Microsoft Edge (Windows 10, versão 1709 ou posterior), Google Chrome e Microsoft Edge Insider no Windows 10.Windows Admin Center supports Microsoft Edge (Windows 10, version 1709 or later), Google Chrome, and Microsoft Edge Insider on Windows 10. Você pode instalar o centro de administração do Windows em um PC com Windows 10 ou um Windows Server.You can install Windows Admin Center on either a Windows 10 PC or a Windows server.

    Se você instalar o centro de administração do Windows em um servidor, ele será executado como um gateway, sem nenhuma interface do usuário no servidor host.If you install Windows Admin Center on a server it runs as a gateway, with no UI on the host server. Nesse cenário, os administradores podem fazer logon no servidor por meio de uma sessão HTTPS, protegida por um certificado de segurança autoassinado no host.In this scenario, administrators can log on to the server via an HTTPS session, secured by a self-signed security certificate on the host. No entanto, é melhor usar um certificado SSL apropriado de uma autoridade de certificação confiável para o processo de logon, porque os navegadores com suporte tratam de uma conexão autoassinada como não segura, mesmo que a conexão seja para um endereço IP local em uma VPN confiável.However, it's better to use an appropriate SSL certificate from a trusted certificate authority for the sign-on process, because supported browsers treat a self-signed connection as unsecure, even if the connection is to a local IP address over a trusted VPN.

    Para saber mais sobre as opções de instalação para sua organização, consulte que tipo de instalação é ideal para você?.To learn more about installation options for your organization, see What type of installation is right for you?.

  • CredSSP é um provedor de autenticação que o centro de administração do Windows usa em alguns casos para passar credenciais para computadores além do servidor específico que você está direcionando para gerenciar.CredSSP is an authentication provider that Windows Admin Center uses in a few cases to pass credentials to machines beyond the specific server you are targeting to manage. O centro de administração do Windows atualmente requer CredSSP para:Windows Admin Center currently requires CredSSP to:

    • Crie um novo cluster.Create a new cluster.
    • Acesse a ferramenta de atualizações para usar o clustering de failover ou os recursos de atualização com suporte a cluster.Access the Updates tool to use either the Failover clustering or Cluster-Aware Updating features.
    • Gerencie o armazenamento SMB desagregado em VMs.Manage disaggregated SMB storage in VMs.

    Para saber mais, consulte o centro de administração do Windows usa CredSSP?To learn more, see Does Windows Admin Center use CredSSP?

  • O RBAC (controle de acesso baseado em função) no centro de administração do Windows permite que os usuários tenham acesso limitado aos servidores que precisam gerenciar, em vez de torná-los administradores locais completos.Role-based access control (RBAC) in Windows Admin Center allows users limited access to the servers they need to manage instead of making them full local administrators. Para usar o RBAC no centro de administração do Windows, você configura cada servidor gerenciado com um ponto de extremidade de administração suficiente do PowerShell.To use RBAC in Windows Admin Center, you configure each managed server with a PowerShell Just Enough Administration endpoint.

    Para saber mais, consulte controle de acesso baseado em função e apenas administração suficiente.To learn more, see Role-based access control and Just Enough Administration.

  • As ferramentas de segurança no centro de administração do Windows que você pode usar para gerenciar e proteger identidades incluem Active Directory, certificados, firewall, usuários e grupos locais e muito mais.Security tools in Windows Admin Center that you can use to manage and protect identities include Active Directory, Certificates, Firewall, Local Users and Groups, and more.

    Para saber mais, consulte gerenciar servidores com o centro de administração do Windows.To learn more, see Manage Servers with Windows Admin Center.

Parte 2: usar a central de segurança do AzurePart 2: Use Azure Security Center

A central de segurança do Azure é um sistema de gerenciamento de segurança de infraestrutura unificado que reforça a postura de segurança de seus data centers e fornece proteção avançada contra ameaças em suas cargas de trabalho híbridas na nuvem e localmente.Azure Security Center is a unified infrastructure security management system that strengthens the security posture of your data centers, and provides advanced threat protection across your hybrid workloads in the cloud and on premises. A central de segurança fornece ferramentas para avaliar o status de segurança de sua rede, proteger cargas de trabalho, gerar alertas de segurança e seguir recomendações específicas para corrigir ataques e resolver ameaças futuras.Security Center provides you with tools to assess the security status of your network, protect workloads, raise security alerts, and follow specific recommendations to remediate attacks and address future threats. A central de segurança executa todos esses serviços em alta velocidade na nuvem sem sobrecarga de implantação por meio de provisionamento e proteção automática com os serviços do Azure.Security Center performs all of these services at high speed in the cloud with no deployment overhead through auto-provisioning and protection with Azure services.

A central de segurança protege as VMs para servidores Windows e servidores Linux instalando o agente de Log Analytics nesses recursos.Security Center protects VMs for both Windows servers and Linux servers by installing the Log Analytics agent on these resources. O Azure correlaciona eventos que os agentes coletam em recomendações (proteção de tarefas) que você executa para tornar suas cargas de trabalho seguras.Azure correlates events that the agents collect into recommendations (hardening tasks) that you perform to make your workloads secure. As tarefas de proteção com base nas práticas recomendadas de segurança incluem o gerenciamento e a imposição de políticas de segurança.The hardening tasks based on security best practices include managing and enforcing security policies. Em seguida, você pode acompanhar os resultados e gerenciar a conformidade e a governança ao longo do tempo por meio do monitoramento da central de segurança, reduzindo a superfície de ataque em todos os seus recursos.You can then track the results and manage compliance and governance over time through Security Center monitoring while reducing the attack surface across all of your resources.

Gerenciar quem pode acessar seus recursos e assinaturas do Azure constitui uma parte importante de sua estratégia de governança do Azure.Managing who can access your Azure resources and subscriptions is an important part of your Azure governance strategy. O RBAC (controle de acesso baseado em função) do Azure é o principal método de gerenciamento de acesso no Azure.Azure role-based access control (RBAC) is the primary method of managing access in Azure. Para saber mais, consulte gerenciar o acesso ao seu ambiente do Azure com o controle de acesso baseado em função.To learn more, see Manage access to your Azure environment with role-based access control.

Trabalhar com a central de segurança por meio do centro de administração do Windows requer uma assinatura do Azure.Working with Security Center through Windows Admin Center requires an Azure subscription. Para começar, consulte integrar a central de segurança do Azure com o centro de administração do Windows.To get started, see Integrate Azure Security Center with Windows Admin Center.

Após o registro, acesse a central de segurança no centro de administração do Windows: na página todas as conexões , selecione um servidor ou VM, em ferramentas, selecione central de segurança do Azuree, em seguida, selecione entrar no Azure.After registering, access Security Center in Windows Admin Center: On the All Connections page, select a server or VM, under Tools, select Azure Security Center, and then select Sign into Azure.

Para saber mais, consulte o que é a central de segurança do Azure?To learn more, see What is Azure Security Center?

Parte 3: adicionar segurança avançadaPart 3: Add advanced security

As seções a seguir recomendam ferramentas e tecnologias de segurança avançadas para proteger ainda mais os servidores que executam o sistema operacional Azure Stack HCI em seu ambiente.The following sections recommend advanced security tools and technologies to further harden servers running the Azure Stack HCI operating system in your environment.

Proteger o ambienteHarden the environment

  • As linhas de base de segurança da Microsoft são baseadas em recomendações de segurança da Microsoft obtidas por meio de parceria com organizações comerciais e pelo governo dos EUA, como o departamento de defesa.Microsoft security baselines are based on security recommendations from Microsoft obtained through partnership with commercial organizations and the US government, such as the Department of Defense. As linhas de base de segurança incluem as configurações de segurança recomendadas para o Firewall do Windows, o Windows Defender e muitos outros.The security baselines include recommended security settings for Windows Firewall, Windows Defender, and many others.

    As linhas de base de segurança são fornecidas como backups de objeto de Política de Grupo (GPO) que você pode importar para o Active Directory Domain Services (AD DS) e, em seguida, implantar em servidores ingressados no domínio para proteger o ambiente.The security baselines are provided as Group Policy Object (GPO) backups that you can import into Active Directory Domain Services (AD DS), and then deploy to domain-joined servers to harden the environment. Você também pode usar as ferramentas de script local para configurar servidores autônomos (não ingressados no domínio) com linhas de base de segurança.You can also use Local Script tools to configure standalone (non domain-joined) servers with security baselines. Para começar a usar as linhas de base de segurança, baixe o Microsoft Security Compliance Toolkit 1,0.To get started using the security baselines, download the Microsoft Security Compliance Toolkit 1.0.

    Para saber mais, consulte linhas de base de segurança da Microsoft.To learn more, see Microsoft Security Baselines.

Proteger dadosProtect data

  • A proteção do ambiente do Hyper-V requer a proteção do Windows Server em execução em uma VM, assim como você protegeria o sistema operacional em execução em um servidor físico.Hardening the Hyper-V environment requires hardening Windows Server running on a VM just as you would harden the operating system running on a physical server. Como os ambientes virtuais normalmente têm várias VMs compartilhando o mesmo host físico, é imperativo proteger o host físico e as VMs em execução nele.Because virtual environments typically have multiple VMs sharing the same physical host, it is imperative to protect both the physical host and the VMs running on it. Um invasor que compromete um host pode afetar várias VMs com um impacto maior em cargas de trabalho e serviços.An attacker who compromises a host can affect multiple VMs with a greater impact on workloads and services. Esta seção aborda os seguintes métodos que você pode usar para proteger o Windows Server em um ambiente do Hyper-V:This section discusses the following methods that you can use to harden Windows Server in a Hyper-V environment:

    • A malha protegida e as VMs blindadas fortalecem a segurança para VMs em execução em ambientes Hyper-V, impedindo que os invasores modifiquem os arquivos da VM.Guarded fabric and shielded VMs strengthen the security for VMs running in Hyper-V environments by preventing attackers from modifying VM files. Uma malha protegida consiste em um serviço de guardião de host (HgS) que normalmente é um cluster de três nós, um ou mais hosts protegidos e um conjunto de VMs blindadas.A guarded fabric consists of a Host Guardian Service (HGS) that is typically a cluster of three nodes, one or more guarded hosts, and a set of shielded VMs. O serviço de atestado avalia a validade de solicitações de hosts, enquanto o serviço de proteção de chave determina se devem ser liberadas as chaves que os hosts protegidos podem usar para iniciar a VM blindada.The Attestation Service evaluates the validity of hosts requests, while the Key Protection Service determines whether to release keys that the guarded hosts can use to start the shielded VM.

      Para saber mais, consulte visão geral de malha protegida e VMs blindadas.To learn more, see Guarded fabric and shielded VMs overview.

    • O Trusted Platform Module virtual (vTPM) no Windows Server dá suporte ao TPM para VMs, o que permite que você use tecnologias de segurança avançadas, como o BitLocker em VMS.Virtual Trusted Platform Module (vTPM) in Windows Server supports TPM for VMs, which lets you use advanced security technologies, such as BitLocker in VMs. Você pode habilitar o suporte do TPM em qualquer VM Hyper-V de geração 2 usando o Gerenciador do Hyper-V ou o Enable-VMTPM cmdlet do Windows PowerShell.You can enable TPM support on any Generation 2 Hyper-V VM by using either Hyper-V Manager or the Enable-VMTPM Windows PowerShell cmdlet.

      Para saber mais, consulte Enable-VMTPM.To learn more, see Enable-VMTPM.

    • A Sdn (rede definida pelo software) na Azure Stack HCI e no Windows Server configura e gerencia centralmente os dispositivos de rede física e virtual, como roteadores, comutadores e gateways em seu datacenter.Software Defined Networking (SDN) in Azure Stack HCI and Windows Server centrally configures and manages physical and virtual network devices, such as routers, switches, and gateways in your datacenter. Elementos de rede virtual, como o comutador virtual do Hyper-v, a virtualização de rede Hyper-VDC e o gateway de RAS são projetados para serem elementos integrantes da sua infraestrutura de SDN.Virtual network elements, such as Hyper-V Virtual Switch, Hyper-V Network Virtualization, and RAS Gateway are designed to be integral elements of your SDN infrastructure.

      Para obter mais informações, consulte software defined Networking (SDN).To learn more, see Software Defined Networking (SDN).

Proteger identidadesProtect identities

  • A solução de senha de administrador local (LAPs) é um mecanismo leve para Active Directory sistemas ingressados no domínio que definem periodicamente a senha da conta de administrador local de cada computador para um novo valor aleatório e exclusivo.Local Administrator Password Solution (LAPS) is a lightweight mechanism for Active Directory domain-joined systems that periodically sets each computer’s local admin account password to a new random and unique value. As senhas são armazenadas em um atributo confidencial seguro no objeto de computador correspondente no Active Directory, onde somente os usuários autorizados especificamente podem recuperá-las.Passwords are stored in a secured confidential attribute on the corresponding computer object in Active Directory, where only specifically-authorized users can retrieve them. As LAPSos usam contas locais para o gerenciamento de computador remoto de uma maneira que oferece algumas vantagens em relação ao uso de contas de domínio.LAPS uses local accounts for remote computer management in a way that offers some advantages over using domain accounts. Para saber mais, veja uso remoto de contas locais: as interrupções mudam tudo.To learn more, see Remote Use of Local Accounts: LAPS Changes Everything.

    Para começar a usar as LAPSos, baixe a solução de senha do administrador local (LAPs).To get started using LAPS, download Local Administrator Password Solution (LAPS).

  • O Microsoft Advanced Threat Analytics (ATA) é um produto local que você pode usar para ajudar a detectar invasores tentando comprometer identidades privilegiadas.Microsoft Advanced Threat Analytics (ATA) is an on-premises product that you can use to help detect attackers attempting to compromise privileged identities. O ATA analisa o tráfego de rede para autenticação, autorização e protocolos de coleta de informações, como Kerberos e DNS.ATA parses network traffic for authentication, authorization, and information gathering protocols, such as Kerberos and DNS. O ATA usa os dados para criar perfis comportamentais de usuários e outras entidades na rede para detectar anomalias e padrões de ataque conhecidos.ATA uses the data to build behavioral profiles of users and other entities on the network to detect anomalies and known attack patterns.

    Para saber mais, consulte o que é o Advanced Threat Analytics?.To learn more, see What is Advanced Threat Analytics?.

  • A proteção de credencial remota do Windows Defender protege as credenciais em uma conexão área de trabalho remota redirecionando as solicitações Kerberos de volta para o dispositivo que está solicitando a conexão.Windows Defender Remote Credential Guard protects credentials over a Remote Desktop connection by redirecting Kerberos requests back to the device that's requesting the connection. Ele também fornece SSO (logon único) para sessões de Área de Trabalho Remota.It also provides single sign-on (SSO) for Remote Desktop sessions. Durante uma sessão de Área de Trabalho Remota, se o dispositivo de destino for comprometido, suas credenciais não serão expostas porque as derivações da credencial e da credencial nunca são passadas pela rede para o dispositivo de destino.During a Remote Desktop session, if the target device is compromised, your credentials are not exposed because both credential and credential derivatives are never passed over the network to the target device.

    Para saber mais, consulte gerenciar o Windows Defender Credential Guard.To learn more, see Manage Windows Defender Credential Guard.

Próximas etapasNext steps

Para obter mais informações sobre segurança e conformidade regulatória, consulte também:For more information on security and regulatory compliance, see also: