Рекомендации по безопасности Azure Stack HCI

Область применения: Azure Stack HCI, версии 21H2 и 20H2; Windows Server 2022, Windows Server 2019

В этом разделе приведены рекомендации и рекомендации по безопасности, связанные с операционной системой Azure Stack HCI:

  • В части 1 рассматриваются основные средства и технологии безопасности для защиты операционной системы, а также защита данных и удостоверений для эффективного создания безопасной основы для вашей организации.
  • Часть 2 охватывает ресурсы, доступные через Центр безопасности Azure.
  • Часть 3 охватывает более сложные аспекты безопасности для дальнейшего повышения уровня безопасности вашей организации в этих областях.

Почему важны вопросы безопасности?

Безопасность влияет на всех сотрудников организации от управления верхнего уровня до информационного работника. Неадекватная безопасность представляет собой реальный риск для организаций, так как нарушение безопасности может привести к нарушению нормального бизнеса и прекращению работы организации. Чем раньше вы сможете обнаружить потенциальную атаку, тем быстрее можно устранить любые компрометации в безопасности.

После изучения слабых точек среды, чтобы использовать их, злоумышленник обычно может в течение 24–48 часов после первоначального компрометации повысить привилегии, чтобы получить контроль над системами в сети. Хорошие меры безопасности затвердяют системы в среде, чтобы продлить время, необходимое злоумышленнику, чтобы потенциально взять под контроль от нескольких часов до нескольких недель или даже месяцев, блокируя движения злоумышленника. Реализация рекомендаций по безопасности в этой статье позволяет организации обнаруживать такие атаки и реагировать на них как можно быстрее.

Часть 1. Создание безопасной основы

В следующих разделах рекомендуется использовать средства и технологии безопасности для создания безопасной основы для серверов, на которых работает операционная система Azure Stack HCI в вашей среде.

Усиление защиты среды

В этом разделе описывается защита служб и виртуальных машин, работающих в операционной системе:

  • Сертифицированное оборудование Azure Stack HCI обеспечивает согласованные параметры безопасной загрузки, UEFI и доверенного платформенного модуля. Объединение безопасности на основе виртуализации и сертифицированного оборудования помогает защитить рабочие нагрузки с учетом безопасности. Вы также можете подключить эту надежную инфраструктуру к Центр безопасности Azure для активации аналитики поведения и создания отчетов для учета быстро изменяющихся рабочих нагрузок и угроз.

    • Безопасная загрузка — это стандарт безопасности, разработанный в отрасли КОМПЬЮТЕРов, чтобы обеспечить загрузку устройства с использованием только программного обеспечения, которому доверяет изготовитель исходного оборудования (OEM). Дополнительные сведения см. в статье "Безопасная загрузка".
    • Объединенный расширяемый интерфейс встроенного ПО (UEFI) управляет процессом загрузки сервера, а затем передает управление Windows или другой операционной системе. Дополнительные сведения см. в разделе о требованиях к встроенному ПО UEFI.
    • Технология доверенного платформенного модуля (TPM) предоставляет аппаратные функции, связанные с безопасностью. Микросхема доверенного платформенного модуля — это безопасный криптопроцессор, который создает, хранит и ограничивает использование криптографических ключей. Дополнительные сведения см. в разделе "Общие сведения о технологии доверенного платформенного модуля".

    Дополнительные сведения о сертифицированных поставщиках оборудования Azure Stack HCI см. на веб-сайте решений Azure Stack HCI .

  • Средство безопасности доступно в собственном коде в Windows Admin Center для отдельных серверов и кластеров Azure Stack HCI, чтобы упростить управление безопасностью и управление ими. Средство центрирует некоторые ключевые параметры безопасности для серверов и кластеров, включая возможность просмотра состояния защищенных ядер систем.

    Дополнительные сведения см. на сервере Secured-Core.

  • Device Guard и Credential Guard. Device Guard защищает от вредоносных программ без известных подписей, неподписанных кодов и вредоносных программ, которые получают доступ к ядру для захвата конфиденциальной информации или повреждения системы. Для защиты секретов Credential Guard в Защитнике Windows использует безопасность на основе виртуализации, чтобы только привилегированное системное ПО могло получать доступ к этим данным.

    Дополнительные сведения см. в статье "Управление Credential Guard в Защитнике Windows" и скачивание средства подготовки оборудования Device Guard и Credential Guard.

  • Windows и обновления встроенного ПО важны для кластеров, серверов (включая гостевые виртуальные машины) и компьютеров, чтобы обеспечить защиту операционной системы и оборудования системы от злоумышленников. Средство Windows Admin Center Актуальные данные можно использовать для применения обновлений к отдельным системам. Если поставщик оборудования включает Windows Admin Center поддержку получения обновлений драйверов, встроенного ПО и решений, вы можете получать эти обновления одновременно с Windows обновлениями, в противном случае их можно получить непосредственно от поставщика.

    Дополнительные сведения см. в разделе "Обновление кластера".

    Чтобы управлять обновлениями в нескольких кластерах и серверах одновременно, рассмотрите возможность подписки на дополнительную службу управления обновлениями Azure, интегрированную с Windows Admin Center. Дополнительные сведения см. в статье "Управление обновлениями Azure" с помощью Windows Admin Center.

Защита данных

В этом разделе описывается, как использовать Windows Admin Center для защиты данных и рабочих нагрузок в операционной системе:

  • BitLocker для дисковые пространства защищает неактивные данные. BitLocker можно использовать для шифрования содержимого томов данных дисковые пространства в операционной системе. Использование BitLocker для защиты данных может помочь организациям оставаться в соответствии с государственными, региональными и отраслевыми стандартами, такими как FIPS 140-2 и HIPAA.

    Дополнительные сведения об использовании BitLocker в Windows Admin Center см. в статье "Включение шифрования томов,дедупликации и сжатия"

  • Шифрование SMB для Windows сети защищает передаваемые данные. Блок сообщений сервера (SMB) — это протокол общего доступа к сетевым файлам, который позволяет приложениям на компьютере считывать и записывать файлы, а также запрашивать службы от серверных программ в сети компьютера.

    Сведения о включении шифрования SMB см. в статье об улучшениях безопасности SMB.

  • антивирусная программа в Windows Admin Center защищает операционную систему на клиентах и серверах от вирусов, вредоносных программ, шпионских программ и других угроз. Дополнительные сведения см. в антивирусная программа в Microsoft Defender Windows Server 2016 и 2019 годах.

Защита удостоверений

В этом разделе описывается, как использовать Windows Admin Center для защиты привилегированных удостоверений:

  • Управление доступом может повысить безопасность ландшафта управления. Если вы используете сервер Windows Admin Center (и работаете на Windows 10 ПК), вы можете управлять двумя уровнями доступа к самому Windows Admin Center: пользователям шлюза и администраторам шлюза. Параметры поставщика удостоверений администратора шлюза:

    • Active Directory или локальные группы компьютеров для принудительной проверки подлинности смарт-карты.
    • Azure Active Directory для принудительного применения условного доступа и многофакторной проверки подлинности.

    Дополнительные сведения см. в разделе "Параметры доступа пользователей" с помощью Windows Admin Center инастройки пользовательских контроль доступа и разрешений.

  • Трафик браузера для Windows Admin Center использует протокол HTTPS. Трафик из Windows Admin Center на управляемые серверы использует стандартную оболочку PowerShell и инструментарий управления Windows (WMI) через Windows удаленного управления (WinRM). Windows Admin Center поддерживает решение локального администратора паролей (LAPS), ограниченное делегирование на основе ресурсов, управление доступом к шлюзу с помощью Active Directory (AD) или Microsoft Azure Active Directory (Azure AD) и управление доступом на основе ролей (RBAC) для управления шлюз Windows Admin Center.

    Windows Admin Center поддерживает Microsoft Edge (Windows 10 версии 1709 или более поздней), Google Chrome и Microsoft Edge За кулисами на Windows 10. Вы можете установить Windows Admin Center на компьютере Windows 10 или на сервере Windows.

    Если установить Windows Admin Center на сервере, который он выполняется как шлюз, без пользовательского интерфейса на сервере узла. В этом сценарии администраторы могут войти на сервер через сеанс HTTPS, защищенный самозаверяющий сертификат безопасности на узле. Однако лучше использовать соответствующий SSL-сертификат из доверенного центра сертификации для процесса входа, так как поддерживаемые браузеры считают самозаверяющий подключение небезопасным, даже если подключение является локальным IP-адресом через доверенное VPN.

    Дополнительные сведения о вариантах установки для вашей организации см. в статье "Какой тип установки подходит для вас?".

  • CredSSP — это поставщик проверки подлинности, который Windows Admin Center используется в нескольких случаях для передачи учетных данных компьютерам за пределами конкретного сервера, который вы используете для управления. Windows Admin Center в настоящее время требуется CredSSP:

    • Создайте кластер.
    • Получите доступ к средству Актуальные данные, чтобы использовать отказоустойчивую кластеризацию или Cluster-Aware функции обновления.
    • Управление хранилищем SMB с разделением на виртуальных машинах.

    Дополнительные сведения см. в статье Windows Admin Center использовании CredSSP?

  • Средства безопасности в Windows Admin Center, которые можно использовать для управления удостоверениями и защиты, включают Active Directory, сертификаты, брандмауэр, локальные пользователи и группы и многое другое.

    Дополнительные сведения см. в разделе "Управление серверами с помощью Windows Admin Center".

Часть 2. Использование Центр безопасности Azure

Центр безопасности Azure — это единая система управления безопасностью инфраструктуры, которая повышает уровень безопасности центров обработки данных и обеспечивает расширенную защиту от угроз в гибридных рабочих нагрузках в облаке и локальной среде. Центр безопасности предоставляет средства для оценки состояния безопасности сети, защиты рабочих нагрузок, создания оповещений системы безопасности и выполнения конкретных рекомендаций по устранению атак и устранению будущих угроз. Центр безопасности выполняет все эти службы с высокой скоростью в облаке без дополнительных затрат на развертывание с помощью автоматической подготовки и защиты со службами Azure.

Центр безопасности защищает виртуальные машины как для серверов Windows, так и для серверов Linux, установив агент Log Analytics на этих ресурсах. Azure сопоставляет события, которые агенты собирают в рекомендации (задачи защиты), выполняемые для защиты рабочих нагрузок. Задачи защиты, основанные на рекомендациях по обеспечению безопасности, включают управление политиками безопасности и их применение. Затем вы можете отслеживать результаты и управлять соответствием и управлением с течением времени с помощью мониторинга Центра безопасности, уменьшая поверхность атаки для всех ресурсов.

Управление доступом к ресурсам и подпискам Azure является важной частью стратегии управления Azure. Azure RBAC — это основной метод управления доступом в Azure. Дополнительные сведения см. в статье "Управление доступом к среде Azure с помощью управления доступом на основе ролей".

Для работы с Центром безопасности через Windows Admin Center требуется подписка Azure. Чтобы приступить к работе, см. раздел "Интеграция Центр безопасности Azure с Windows Admin Center".

После регистрации в центре безопасности в Windows Admin Center: на странице "Все подключения" выберите сервер или виртуальную машину в разделе "Сервис", выберите Центр безопасности Azure и выберите "Войти в Azure".

Дополнительные сведения см. в статье "Что такое Центр безопасности Azure"?

Часть 3. Добавление расширенной безопасности

В следующих разделах рекомендуется использовать расширенные средства и технологии безопасности для дальнейшего повышения защиты серверов под управлением операционной системы Azure Stack HCI в вашей среде.

Усиление защиты среды

  • Базовые показатели безопасности Майкрософт основаны на рекомендациях по безопасности корпорации Майкрософт, полученных через партнерство с коммерческими организациями и правительством США, такими как Министерство обороны. Базовые показатели безопасности включают рекомендуемые параметры безопасности для брандмауэра Windows, Защитник Windows и многих других.

    Базовые показатели безопасности предоставляются в виде резервных копий объектов групповая политика (GPO), которые можно импортировать в доменные службы Active Directory (AD DS), а затем развертываются на присоединенных к домену серверах для защиты среды. Вы также можете использовать средства локального скрипта для настройки автономных (не присоединенных к домену) серверов с базовыми показателями безопасности. Чтобы приступить к использованию базовых показателей безопасности, скачайте Microsoft Security Compliance Toolkit 1.0.

    Дополнительные сведения см. в разделе "Базовые показатели безопасности Майкрософт".

Защита данных

  • Для защиты среды Hyper-V требуется усиление защиты Windows Server, работающего на виртуальной машине, так же, как и для защиты операционной системы, работающей на физическом сервере. Так как виртуальные среды обычно имеют несколько виртуальных машин с одинаковым физическим узлом, необходимо защитить физический узел и виртуальные машины, работающие на нем. Злоумышленник, который компрометирует узел, может повлиять на несколько виртуальных машин с более большим влиянием на рабочие нагрузки и службы. В этом разделе рассматриваются следующие методы, которые можно использовать для защиты Windows Server в среде Hyper-V:

    • Виртуальный доверенный платформенный модуль (vTPM) в Windows Server поддерживает доверенный платформенный модуль для виртуальных машин, что позволяет использовать расширенные технологии безопасности, такие как BitLocker на виртуальных машинах. Поддержку доверенного платформенного модуля можно включить на любой виртуальной машине Hyper-V поколения 2 с помощью диспетчера Hyper-V или командлета Enable-VMTPM Windows PowerShell.

      Дополнительные сведения см. в разделе Enable-VMTPM.

    • Программно-конфигурируемая сеть (SDN) в Azure Stack HCI и Windows Server централизованно настраивает и управляет виртуальными сетевыми устройствами, такими как программная подсистема балансировки нагрузки, брандмауэр центра обработки данных, шлюзы и виртуальные коммутаторы в вашей инфраструктуре. Элементы виртуальной сети, такие как виртуальный коммутатор Hyper-V, виртуализация сети Hyper-V и шлюз RAS, предназначены для целых элементов инфраструктуры SDN.

      Дополнительные сведения см. в статье о программно-конфигурируемой сети (SDN).

      Примечание

      Экранированные виртуальные машины не поддерживаются в Azure Stack HCI.

Защита удостоверений

  • Решение для паролей локального администратора (LAPS) — это упрощенный механизм для систем, присоединенных к домену Active Directory, который периодически устанавливает пароль учетной записи локального администратора каждого компьютера на новое случайное и уникальное значение. Пароли хранятся в защищенном конфиденциальном атрибуте соответствующего объекта компьютера в Active Directory, где их могут получить только авторизованные пользователи. LAPS использует локальные учетные записи для управления удаленными компьютерами таким образом, что дает некоторые преимущества по сравнению с использованием учетных записей домена. Дополнительные сведения см. в разделе "Удаленное использование локальных учетных записей: LAPS изменяет все".

    Чтобы приступить к работе с LAPS, скачайте решение для паролей локального администратора (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) — это локальный продукт, который можно использовать для обнаружения злоумышленников, пытающихся взломать привилегированные удостоверения. ATA анализирует сетевой трафик для проверки подлинности, авторизации и сбора информации, таких как Kerberos и DNS. ATA использует данные для создания профилей поведения пользователей и других сущностей в сети для обнаружения аномалий и известных шаблонов атак.

    Дополнительные сведения см. в статье "Что такое Расширенная аналитика угроз"?.

  • Защитник Windows Remote Credential Guard защищает учетные данные через подключение к удаленному рабочему столу, перенаправляя запросы Kerberos обратно на устройство, запрашивающее подключение. Он также предоставляет единый вход для сеансов удаленного рабочего стола. Во время сеанса удаленного рабочего стола, если целевое устройство скомпрометировано, учетные данные не предоставляются, так как учетные данные и производные учетных данных никогда не передаются по сети на целевое устройство.

    Дополнительные сведения см. в разделе "Управление Credential Guard в Защитнике Windows".

Дальнейшие действия

Дополнительные сведения о соответствии требованиям безопасности и нормативным требованиям см. также: