Säkerhetsöverväganden för Azure Stack HCI

Gäller för: Azure Stack HCI, versionerna 21H2 och 20H2; Windows Server 2022, Windows Server 2019

Det här avsnittet innehåller säkerhetsöverväganden och rekommendationer som rör Azure Stack HCI-operativsystemet:

  • Del 1 omfattar grundläggande säkerhetsverktyg och tekniker för att förstärka operativsystemet och skydda data och identiteter för att effektivt skapa en säker grund för din organisation.
  • Del 2 omfattar resurser som är tillgängliga via Azure Security Center.
  • Del 3 beskriver mer avancerade säkerhetsöverväganden för att ytterligare stärka organisationens säkerhetsstatus inom dessa områden.

Varför är säkerhetsöverväganden viktiga?

Säkerheten påverkar alla i din organisation från hantering på den övre nivån till informationsarbetaren. Otillräcklig säkerhet är en verklig risk för organisationer, eftersom en säkerhetsöverträdelse potentiellt kan störa alla normala affärer och stoppa din organisation. Ju tidigare du kan identifiera en potentiell attack, desto snabbare kan du minimera eventuella säkerhetsrisker.

Efter att ha undersökt en miljös svaga punkter för att utnyttja dem kan en angripare vanligtvis inom 24 till 48 timmar efter den inledande kompromissen eskalera behörigheter för att ta kontroll över system i nätverket. Bra säkerhetsåtgärder härdar systemen i miljön för att förlänga den tid det tar för en angripare att potentiellt ta kontroll från timmar till veckor eller till och med månader genom att blockera angriparens rörelser. Genom att implementera säkerhetsrekommendationerna i det här avsnittet kan din organisation identifiera och svara på sådana attacker så snabbt som möjligt.

Del 1: Skapa en säker grund

Följande avsnitt rekommenderar säkerhetsverktyg och tekniker för att skapa en säker grund för de servrar som kör Azure Stack HCI-operativsystemet i din miljö.

Härda miljön

I det här avsnittet beskrivs hur du skyddar tjänster och virtuella datorer som körs på operativsystemet:

  • Azure Stack HCI-certifierad maskinvara ger konsekventa inställningar för säker start, UEFI och TPM direkt. Genom att kombinera virtualiseringsbaserad säkerhet och certifierad maskinvara kan du skydda säkerhetskänsliga arbetsbelastningar. Du kan också ansluta den här betrodda infrastrukturen till Azure Security Center för att aktivera beteendeanalys och rapportering för att ta hänsyn till snabbt föränderliga arbetsbelastningar och hot.

    • Säker start är en säkerhetsstandard som utvecklats av datorindustrin för att säkerställa att en enhet startar endast med programvara som är betrodd av OEM (Original Equipment Manufacturer). Mer information finns i Säker start.
    • United Extensible Firmware Interface (UEFI) styr startprocessen för servern och skickar sedan kontroll till antingen Windows eller ett annat operativsystem. Mer information finns i krav för UEFI-inbyggd programvara.
    • TPM-teknik (Trusted Platform Module) tillhandahåller maskinvarubaserade säkerhetsrelaterade funktioner. Ett TPM-chip är en säker kryptoprocessor som genererar, lagrar och begränsar användningen av kryptografiska nycklar. Mer information finns i Översikt över teknik för betrodd plattformsmodul.

    Mer information om Azure Stack HCI-certifierade maskinvaruleverantörer finns på webbplatsen för Azure Stack HCI-lösningar .

  • Säkerhetsverktyget är tillgängligt internt i Windows Admin Center för både en enskild server och Azure Stack HCI-kluster för att göra säkerhetshantering och kontroll enklare. Verktyget centraliserar vissa viktiga säkerhetsinställningar för servrar och kluster, inklusive möjligheten att visa statusen Skyddad kärna för system.

    Mer information finns i Säker kärnserver.

  • Device Guard och Credential Guard. Device Guard skyddar mot skadlig kod utan känd signatur, osignerad kod och skadlig kod som får åtkomst till kerneln för att antingen samla in känslig information eller skada systemet. Windows Defender Credential Guard använder virtualiseringsbaserad säkerhet för att isolera hemligheter så att endast privilegierad programvara kan komma åt dem.

    Mer information finns i Hantera Windows Defender Credential Guard och ladda ned maskinvaruberedskapsverktyget Device Guard och Credential Guard.

  • Windows och uppdateringar av inbyggd programvara är viktiga för kluster, servrar (inklusive virtuella gästdatorer) och datorer för att säkerställa att både operativsystemet och systemmaskinvaran skyddas mot angripare. Du kan använda verktyget Windows Admin Center Uppdateringar för att tillämpa uppdateringar på enskilda system. Om maskinvaruleverantören innehåller Windows Admin Center stöd för att hämta drivrutins-, inbyggd programvara och lösningsuppdateringar kan du hämta dessa uppdateringar samtidigt som Windows uppdateringar, annars hämta dem direkt från leverantören.

    Mer information finns i Uppdatera klustret.

    Om du vill hantera uppdateringar på flera kluster och servrar åt gången kan du överväga att prenumerera på den valfria Azure Update Management-tjänsten, som är integrerad med Windows Admin Center. Mer information finns i Azure Update Management med hjälp av Windows Admin Center.

Skydda data

I det här avsnittet beskrivs hur du använder Windows Admin Center för att skydda data och arbetsbelastningar i operativsystemet:

  • BitLocker för Lagringsutrymmen skyddar vilande data. Du kan använda BitLocker för att kryptera innehållet i Lagringsutrymmen datavolymer i operativsystemet. Genom att använda BitLocker för att skydda data kan organisationer hålla sig kompatibla med myndighets-, regional- och branschspecifika standarder som FIPS 140-2 och HIPAA.

    Mer information om hur du använder BitLocker i Windows Admin Center finns i Aktivera volymkryptering, deduplicering och komprimering

  • SMB-kryptering för Windows nätverk skyddar data under överföring. SMB (Server Message Block) är ett protokoll för fildelning i nätverket som gör att program på en dator kan läsa och skriva till filer och begära tjänster från serverprogram i ett datornätverk.

    Information om hur du aktiverar SMB-kryptering finns i SMB-säkerhetsförbättringar.

  • Windows Defender Antivirus i Windows Admin Center skyddar operativsystemet på klienter och servrar mot virus, skadlig kod, spionprogram och andra hot. Mer information finns i Microsoft Defender Antivirus på Windows Server 2016 och 2019.

Skydda identiteter

I det här avsnittet beskrivs hur du använder Windows Admin Center för att skydda privilegierade identiteter:

  • Åtkomstkontroll kan förbättra säkerheten i ditt hanteringslandskap. Om du använder en Windows Admin Center server (jämfört med att köra på en Windows 10 dator) kan du styra två åtkomstnivåer till Windows Admin Center själv: gatewayanvändare och gatewayadministratörer. Alternativen för gatewayadministratörsidentitetsprovider omfattar:

    • Active Directory eller lokala datorgrupper för att framtvinga smartkortautentisering.
    • Azure Active Directory för att framtvinga villkorlig åtkomst och multifaktorautentisering.

    Mer information finns i Alternativ för användaråtkomst med Windows Admin Center och Konfigurera användare Access Control och behörigheter.

  • Webbläsartrafik till Windows Admin Center använder HTTPS. Trafik från Windows Admin Center till hanterade servrar använder Standard PowerShell och Windows Management Instrumentation (WMI) över Windows Remote Management (WinRM). Windows Admin Center stöder lokal administratörslösenordslösning (LAPS), resursbaserad begränsad delegering, gatewayåtkomstkontroll med Active Directory (AD) eller Microsoft Azure Active Directory (Azure AD) och rollbaserad åtkomstkontroll (RBAC) för hantering av Windows Admin Center gateway.

    Windows Admin Center stöder Microsoft Edge (Windows 10 version 1709 eller senare), Google Chrome och Microsoft Edge Insider på Windows 10. Du kan installera Windows Admin Center på antingen en Windows 10-dator eller en Windows server.

    Om du installerar Windows Admin Center på en server körs den som en gateway utan användargränssnitt på värdservern. I det här scenariot kan administratörer logga in på servern via en HTTPS-session som skyddas av ett självsignerat säkerhetscertifikat på värden. Det är dock bättre att använda ett lämpligt SSL-certifikat från en betrodd certifikatutfärdare för inloggningsprocessen, eftersom webbläsare som stöds behandlar en självsignerad anslutning som osäker, även om anslutningen är till en lokal IP-adress via en betrodd VPN.

    Mer information om installationsalternativ för din organisation finns i Vilken typ av installation är rätt för dig?.

  • CredSSP är en autentiseringsprovider som Windows Admin Center i några fall använder för att skicka autentiseringsuppgifter till datorer utanför den specifika server som du vill hantera. Windows Admin Center kräver för närvarande CredSSP för att:

    • Skapa ett nytt kluster.
    • Öppna Uppdateringar-verktyget för att använda antingen redundansklustring eller Cluster-Aware Uppdateringsfunktioner.
    • Hantera disaggregerad SMB-lagring på virtuella datorer.

    Mer information finns i Använder Windows Admin Center CredSSP?

  • Säkerhetsverktyg i Windows Admin Center som du kan använda för att hantera och skydda identiteter är Active Directory, Certifikat, Brandvägg, Lokala användare och grupper med mera.

    Mer information finns i Hantera servrar med Windows Admin Center.

Del 2: Använd Azure Security Center

Azure Security Center är ett enhetligt säkerhetshanteringssystem för infrastruktur som stärker säkerhetsstatusen för dina datacenter och ger avancerat skydd mot hot i dina hybridarbetsbelastningar i molnet och lokalt. Security Center ger dig verktyg för att utvärdera nätverkets säkerhetsstatus, skydda arbetsbelastningar, skapa säkerhetsaviseringar och följa specifika rekommendationer för att åtgärda attacker och hantera framtida hot. Security Center utför alla dessa tjänster med hög hastighet i molnet utan några distributionskostnader genom automatisk etablering och skydd med Azure-tjänster.

Security Center skyddar virtuella datorer för både Windows-servrar och Linux-servrar genom att installera Log Analytics-agenten på dessa resurser. Azure korrelerar händelser som agenterna samlar in i rekommendationer (härdningsuppgifter) som du utför för att skydda dina arbetsbelastningar. Härdningsuppgifterna som baseras på bästa praxis för säkerhet omfattar hantering och framtvingande av säkerhetsprinciper. Du kan sedan spåra resultaten och hantera efterlevnad och styrning över tid via Security Center-övervakning samtidigt som du minskar attackytan för alla dina resurser.

En viktig del av din styrningsstrategi i Azure är att hantera vem som ska ha åtkomst till Azure-resurser och prenumerationer. Azure RBAC är den primära metoden för att hantera åtkomst i Azure. Mer information finns i Hantera åtkomst till din Azure-miljö med rollbaserad åtkomstkontroll.

Att arbeta med Security Center via Windows Admin Center kräver en Azure-prenumeration. Kom igång genom att läsa Integrera Azure Security Center med Windows Admin Center.

När du har registrerat dig öppnar du Security Center i Windows Admin Center: På sidan Alla anslutningar väljer du en server eller virtuell dator under Verktyg, väljer Azure Security Center och sedan Logga in på Azure.

Mer information finns i Vad är Azure Security Center?

Del 3: Lägg till avancerad säkerhet

I följande avsnitt rekommenderas avancerade säkerhetsverktyg och tekniker för att ytterligare härda servrar som kör Azure Stack HCI-operativsystemet i din miljö.

Härda miljön

  • Microsofts säkerhetsbaslinjer baseras på säkerhetsrekommendationer från Microsoft som erhållits genom samarbete med kommersiella organisationer och amerikanska myndigheter, till exempel försvarsdepartementet. Säkerhetsbaslinjerna innehåller rekommenderade säkerhetsinställningar för Windows Firewall, Windows Defender och många andra.

    Säkerhetsbaslinjerna tillhandahålls som grupprincip-objektsäkerhetskopior (GPO) som du kan importera till Active Directory Domain Services (AD DS) och sedan distribuera till domänanslutna servrar för att härda miljön. Du kan också använda verktyg för lokalt skript för att konfigurera fristående servrar (icke-domänanslutna) med säkerhetsbaslinjer. Om du vill komma igång med säkerhetsbaslinjerna laddar du ned Microsoft Security Compliance Toolkit 1.0.

    Mer information finns i Microsofts säkerhetsbaslinjer.

Skydda data

  • Härdning av Hyper-V-miljön kräver härdning Windows Server som körs på en virtuell dator precis som du skulle härda operativsystemet som körs på en fysisk server. Eftersom virtuella miljöer vanligtvis har flera virtuella datorer som delar samma fysiska värd är det viktigt att skydda både den fysiska värden och de virtuella datorer som körs på den. En angripare som komprometterar en värd kan påverka flera virtuella datorer med större inverkan på arbetsbelastningar och tjänster. I det här avsnittet beskrivs följande metoder som du kan använda för att härda Windows Server i en Hyper-V-miljö:

    • Virtual Trusted Platform Module (vTPM) i Windows Server stöder TPM för virtuella datorer, vilket gör att du kan använda avancerade säkerhetstekniker, till exempel BitLocker på virtuella datorer. Du kan aktivera TPM-stöd på valfri virtuell Hyper-V-dator i generation 2 med antingen Hyper-V Manager eller Enable-VMTPM Windows PowerShell cmdlet.

      Mer information finns i Aktivera-VMTPM.

    • SDN (Software Defined Networking) i Azure Stack HCI och Windows Server konfigurerar och hanterar virtuella nätverksenheter centralt, till exempel lastbalanseraren för programvara, brandväggen för datacenter, gatewayer och virtuella växlar i infrastrukturen. Virtuella nätverkselement, till exempel Hyper-V Virtual Switch, Nätverksvirtualisering för Hyper-V och RAS Gateway, är utformade för att vara integrerade element i din SDN-infrastruktur.

      Mer information finns i Software Defined Networking (SDN).

      Anteckning

      Avskärmade virtuella datorer stöds inte i Azure Stack HCI.

Skydda identiteter

  • Local Administrator Password Solution (LAPS) är en enkel mekanism för Domänanslutna Active Directory-system som regelbundet anger varje dators lösenord för det lokala administratörskontot till ett nytt slumpmässigt och unikt värde. Lösenord lagras i ett skyddat konfidentiellt attribut på motsvarande datorobjekt i Active Directory, där endast specifikt auktoriserade användare kan hämta dem. LAPS använder lokala konton för fjärrdatorhantering på ett sätt som ger vissa fördelar jämfört med att använda domänkonton. Mer information finns i Fjärranvändning av lokala konton: LAPS ändrar allt.

    Kom igång med LAPS genom att ladda ned Local Administrator Password Solution (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) är en lokal produkt som du kan använda för att identifiera angripare som försöker kompromettera privilegierade identiteter. ATA parsar nätverkstrafik för autentisering, auktorisering och informationsinsamlingsprotokoll, till exempel Kerberos och DNS. ATA använder data för att skapa beteendeprofiler för användare och andra entiteter i nätverket för att identifiera avvikelser och kända attackmönster.

    Mer information finns i Vad är Advanced Threat Analytics?.

  • Windows Defender Remote Credential Guard skyddar autentiseringsuppgifter via en fjärrskrivbordsanslutning genom att omdirigera Kerberos-begäranden tillbaka till enheten som begär anslutningen. Den tillhandahåller även enkel inloggning (SSO) för fjärrskrivbordssessioner. Om målenheten komprometteras under en fjärrskrivbordssession exponeras inte dina autentiseringsuppgifter eftersom både derivat av autentiseringsuppgifter och autentiseringsuppgifter aldrig skickas över nätverket till målenheten.

    Mer information finns i Hantera Windows Defender Credential Guard.

Nästa steg

Mer information om säkerhet och regelefterlevnad finns också: