Säkerhetsöverväganden för Azure Stack HCI

Gäller för: Azure Stack HCI, versionerna 22H2 och 21H2; Windows Server 2022, Windows Server 2019

Det här avsnittet innehåller säkerhetsöverväganden och rekommendationer som rör Azure Stack HCI-operativsystemet:

  • Del 1 omfattar grundläggande säkerhetsverktyg och tekniker för att förstärka operativsystemet och skydda data och identiteter för att effektivt skapa en säker grund för din organisation.
  • Del 2 omfattar resurser som är tillgängliga via Microsoft Defender för molnet. Se Microsoft Defender för molnintroduktion.
  • Del 3 beskriver mer avancerade säkerhetsöverväganden för att ytterligare stärka organisationens säkerhetsstatus inom dessa områden.

Varför är säkerhetsöverväganden viktiga?

Säkerheten påverkar alla i din organisation från hantering på den övre nivån till informationsarbetaren. Otillräcklig säkerhet är en verklig risk för organisationer eftersom en säkerhetsöverträdelse potentiellt kan störa alla normala affärer och stoppa din organisation. Ju tidigare du kan identifiera en potentiell attack, desto snabbare kan du minimera eventuella säkerhetsrisker.

Efter att ha undersökt en miljös svaga punkter för att utnyttja dem kan en angripare vanligtvis inom 24 till 48 timmar efter den inledande kompromissen eskalera behörigheterna för att ta kontroll över system i nätverket. Bra säkerhetsåtgärder härdar systemen i miljön för att förlänga den tid det tar för en angripare att potentiellt ta kontroll från timmar till veckor eller till och med månader genom att blockera angriparens rörelser. Genom att implementera säkerhetsrekommendationerna i det här avsnittet kan din organisation identifiera och svara på sådana attacker så snabbt som möjligt.

Del 1: Skapa en säker grund

Följande avsnitt rekommenderar säkerhetsverktyg och tekniker för att skapa en säker grund för de servrar som kör Azure Stack HCI-operativsystemet i din miljö.

Härda miljön

I det här avsnittet beskrivs hur du skyddar tjänster och virtuella datorer som körs på operativsystemet:

  • Azure Stack HCI-certifierad maskinvara ger konsekventa inställningar för säker start, UEFI och TPM direkt. Genom att kombinera virtualiseringsbaserad säkerhet och certifierad maskinvara kan du skydda säkerhetskänsliga arbetsbelastningar. Du kan också ansluta den här betrodda infrastrukturen till Microsoft Defender för molnet för att aktivera beteendeanalys och rapportering för att ta hänsyn till snabbt föränderliga arbetsbelastningar och hot.

    • Säker start är en säkerhetsstandard som utvecklats av datorindustrin för att säkerställa att en enhet startar endast med programvara som är betrodd av OEM (Original Equipment Manufacturer). Mer information finns i Säker start.
    • United Extensible Firmware Interface (UEFI) styr startprocessen för servern och skickar sedan kontroll till antingen Windows eller något annat operativsystem. Mer information finns i krav för UEFI-inbyggd programvara.
    • TPM-teknik (Trusted Platform Module) tillhandahåller maskinvarubaserade, säkerhetsrelaterade funktioner. Ett TPM-chip är en säker kryptoprocessor som genererar, lagrar och begränsar användningen av kryptografiska nycklar. Mer information finns i Översikt över teknik för betrodd plattformsmodul.

    Mer information om Azure Stack HCI-certifierade maskinvaruleverantörer finns på webbplatsen för Azure Stack HCI-lösningar .

  • Säkerhetsverktyget är tillgängligt internt i Windows Admin Center för både en enskild server och Azure Stack HCI-kluster för att göra säkerhetshantering och kontroll enklare. Verktyget centraliserar vissa viktiga säkerhetsinställningar för servrar och kluster, inklusive möjligheten att visa statusen Skyddad kärna för system.

    Mer information finns i Säker kärnserver.

  • Device Guard och Credential Guard. Device Guard skyddar mot skadlig kod utan känd signatur, osignerad kod och skadlig kod som får åtkomst till kerneln för att antingen samla in känslig information eller skada systemet. Windows Defender Credential Guard använder virtualiseringsbaserad säkerhet för att isolera hemligheter så att endast privilegierad programvara kan komma åt dem.

    Mer information finns i Hantera Windows Defender Credential Guard och ladda ned maskinvaruberedskapsverktyget Device Guard och Credential Guard.

  • Uppdateringar av Windows och inbyggd programvara är viktiga för kluster, servrar (inklusive virtuella gästdatorer) och datorer för att säkerställa att både operativsystemet och systemmaskinvaran skyddas mot angripare. Du kan använda verktyget Windows Admin Center Uppdateringar för att tillämpa uppdateringar på enskilda system. Om maskinvaruleverantören innehåller Windows Admin Center stöd för att hämta drivrutins-, inbyggd programvara och lösningsuppdateringar kan du hämta dessa uppdateringar samtidigt som Windows-uppdateringar. Annars kan du hämta dem direkt från leverantören.

    Mer information finns i Uppdatera klustret.

    Om du vill hantera uppdateringar på flera kluster och servrar åt gången kan du överväga att prenumerera på den valfria Azure Update Management-tjänsten, som är integrerad med Windows Admin Center. Mer information finns i Azure Update Management med hjälp av Windows Admin Center.

Skydda data

I det här avsnittet beskrivs hur du använder Windows Admin Center för att skydda data och arbetsbelastningar i operativsystemet:

  • BitLocker för Lagringsutrymmen skyddar vilande data. Du kan använda BitLocker för att kryptera innehållet i Lagringsutrymmen datavolymer i operativsystemet. Genom att använda BitLocker för att skydda data kan organisationer hålla sig kompatibla med myndighets-, regional- och branschspecifika standarder som FIPS 140-2 och HIPAA.

    Mer information om hur du använder BitLocker i Windows Admin Center finns i Aktivera volymkryptering, deduplicering och komprimering

  • SMB-kryptering för Windows-nätverk skyddar data under överföring. SMB (Server Message Block) är ett protokoll för fildelning i nätverket som gör att program på en dator kan läsa och skriva till filer och begära tjänster från serverprogram i ett datornätverk.

    Information om hur du aktiverar SMB-kryptering finns i SMB-säkerhetsförbättringar.

  • Windows Defender Antivirus skyddar operativsystemet på klienter och servrar mot virus, skadlig kod, spionprogram och andra hot. Mer information finns i Microsoft Defender Antivirus på Windows Server.

Skydda identiteter

I det här avsnittet beskrivs hur du använder Windows Admin Center för att skydda privilegierade identiteter:

  • Åtkomstkontroll kan förbättra säkerheten i ditt hanteringslandskap. Om du använder en Windows Admin Center server (jämfört med att köra på en Windows 10 dator) kan du styra två åtkomstnivåer till Windows Admin Center själv: gatewayanvändare och gatewayadministratörer. Alternativen för gatewayadministratörsidentitetsprovider omfattar:

    • Active Directory eller lokala datorgrupper för att framtvinga smartkortautentisering.
    • Microsoft Entra ID för att framtvinga villkorlig åtkomst och multifaktorautentisering.

    Mer information finns i Alternativ för användaråtkomst med Windows Admin Center och Konfigurera användare Access Control och behörigheter.

  • Webbläsartrafik till Windows Admin Center använder HTTPS. Trafik från Windows Admin Center till hanterade servrar använder Standard PowerShell och Windows Management Instrumentation (WMI) via Windows Remote Management (WinRM). Windows Admin Center stöder lokal administratörslösenordslösning (LAPS), resursbaserad begränsad delegering, gatewayåtkomstkontroll med Active Directory (AD) eller Microsoft Entra-ID och rollbaserad åtkomstkontroll (RBAC) för hantering av Windows Admin Center gateway.

    Windows Admin Center stöder Microsoft Edge (Windows 10, version 1709 eller senare), Google Chrome och Microsoft Edge Insider på Windows 10. Du kan installera Windows Admin Center på antingen en Windows 10-dator eller en Windows-server.

    Om du installerar Windows Admin Center på en server körs den som en gateway utan användargränssnitt på värdservern. I det här scenariot kan administratörer logga in på servern via en HTTPS-session som skyddas av ett självsignerat säkerhetscertifikat på värden. Det är dock bättre att använda ett lämpligt SSL-certifikat från en betrodd certifikatutfärdare för inloggningsprocessen eftersom webbläsare som stöds behandlar en självsignerad anslutning som osäker, även om anslutningen är till en lokal IP-adress över en betrodd VPN.

    Mer information om installationsalternativ för din organisation finns i Vilken typ av installation är rätt för dig?.

  • CredSSP är en autentiseringsprovider som Windows Admin Center i några fall använder för att skicka autentiseringsuppgifter till datorer utanför den specifika server som du vill hantera. Windows Admin Center kräver för närvarande CredSSP för att:

    • Skapa ett nytt kluster.
    • Öppna Uppdateringar-verktyget för att använda antingen redundansklustring eller Cluster-Aware Uppdateringsfunktioner.
    • Hantera disaggregerad SMB-lagring på virtuella datorer.

    Mer information finns i Använder Windows Admin Center CredSSP?

  • Säkerhetsverktyg i Windows Admin Center som du kan använda för att hantera och skydda identiteter är Active Directory, Certifikat, Brandvägg, Lokala användare och grupper med mera.

    Mer information finns i Hantera servrar med Windows Admin Center.

Del 2: Använda Microsoft Defender för molnet (MDC)

Microsoft Defender för molnet är ett enhetligt säkerhetshanteringssystem för infrastruktur som stärker säkerhetsstatusen för dina datacenter och ger avancerat skydd mot hot i dina hybridarbetsbelastningar i molnet och lokalt. Defender för molnet ger dig verktyg för att utvärdera nätverkets säkerhetsstatus, skydda arbetsbelastningar, skapa säkerhetsaviseringar och följa specifika rekommendationer för att åtgärda attacker och hantera framtida hot. Defender för molnet utför alla dessa tjänster med hög hastighet i molnet utan några distributionskostnader genom automatisk etablering och skydd med Azure-tjänster.

Defender för molnet skyddar virtuella datorer för både Windows-servrar och Linux-servrar genom att installera Log Analytics-agenten på dessa resurser. Azure korrelerar händelser som agenterna samlar in i rekommendationer (härdningsuppgifter) som du utför för att skydda dina arbetsbelastningar. Härdningsuppgifterna som baseras på bästa praxis för säkerhet omfattar hantering och framtvingande av säkerhetsprinciper. Du kan sedan spåra resultaten och hantera efterlevnad och styrning över tid via Övervakning av Defender för molnet samtidigt som du minskar attackytan för alla dina resurser.

En viktig del av din styrningsstrategi i Azure är att hantera vem som ska ha åtkomst till Azure-resurser och prenumerationer. Azure RBAC är den primära metoden för att hantera åtkomst i Azure. Mer information finns i Hantera åtkomst till din Azure-miljö med rollbaserad åtkomstkontroll.

Att arbeta med Defender för molnet via Windows Admin Center kräver en Azure-prenumeration. Information om hur du kommer igång finns i Skydda Windows Admin Center resurser med Microsoft Defender för molnet. Information om hur du kommer igång finns i Planera din Defender for Server-distribution. Licensiering av Defender för servrar (serverplaner) finns i Välj en Defender för servrar-plan.

När du har registrerat dig öppnar du MDC i Windows Admin Center: På sidan Alla anslutningar väljer du en server eller virtuell dator under Verktyg, väljer Microsoft Defender för molnet och väljer sedan Logga in på Azure.

Mer information finns i Vad är Microsoft Defender för molnet?.

Del 3: Lägg till avancerad säkerhet

I följande avsnitt rekommenderas avancerade säkerhetsverktyg och tekniker för att ytterligare härda servrar som kör Azure Stack HCI-operativsystemet i din miljö.

Härda miljön

  • Microsofts säkerhetsbaslinjer baseras på säkerhetsrekommendationer från Microsoft som erhållits genom samarbete med kommersiella organisationer och amerikanska myndigheter, till exempel försvarsdepartementet. Säkerhetsbaslinjerna innehåller rekommenderade säkerhetsinställningar för Windows-brandväggen, Windows Defender och många andra.

    Säkerhetsbaslinjerna tillhandahålls som säkerhetskopior av grupprincip objekt (GPO) som du kan importera till Active Directory Domain Services (AD DS) och sedan distribuera till domänanslutna servrar för att förstärka miljön. Du kan också använda verktyg för lokalt skript för att konfigurera fristående servrar (icke-domänanslutna) med säkerhetsbaslinjer. Hämta Microsoft Security Compliance Toolkit 1.0 för att komma igång med säkerhetsbaslinjerna.

    Mer information finns i Microsofts säkerhetsbaslinjer.

Skydda data

  • Härdning av Hyper-V-miljön kräver härdning av Windows Server som körs på en virtuell dator precis som du skulle härda operativsystemet som körs på en fysisk server. Eftersom virtuella miljöer vanligtvis har flera virtuella datorer som delar samma fysiska värd är det viktigt att skydda både den fysiska värden och de virtuella datorer som körs på den. En angripare som komprometterar en värd kan påverka flera virtuella datorer med större påverkan på arbetsbelastningar och tjänster. I det här avsnittet beskrivs följande metoder som du kan använda för att härda Windows Server i en Hyper-V-miljö:

    • Virtual Trusted Platform Module (vTPM) i Windows Server stöder TPM för virtuella datorer, vilket gör att du kan använda avancerade säkerhetstekniker, till exempel BitLocker på virtuella datorer. Du kan aktivera TPM-stöd på valfri virtuell Hyper-V-dator i generation 2 med hjälp av antingen Hyper-V Manager eller cmdleten Enable-VMTPM Windows PowerShell.

      Anteckning

      Aktivering av vTPM påverkar VM-mobilitet: manuella åtgärder krävs för att låta den virtuella datorn starta på en annan värd än den som du aktiverade vTPM ursprungligen.

      Mer information finns i Enable-VMTPM.

    • Programvarudefinierade nätverk (SDN) i Azure Stack HCI och Windows Server konfigurerar och hanterar virtuella nätverksenheter centralt, till exempel lastbalanseraren för programvara, datacenterbrandväggen, gatewayer och virtuella växlar i infrastrukturen. Virtuella nätverkselement, till exempel Hyper-V Virtuell växel, Hyper-V-nätverksvirtualisering och RAS-gateway, är utformade för att vara integrerade element i din SDN-infrastruktur.

      Mer information finns i Software Defined Networking (SDN).

      Anteckning

      Avskärmade virtuella datorer som skyddas av tjänsten Värdskydd stöds inte i Azure Stack HCI.

Skydda identiteter

  • Local Administrator Password Solution (LAPS) är en förenklad mekanism för Domänanslutna Active Directory-system som regelbundet anger lösenord för varje dators lokala administratörskonto till ett nytt slumpmässigt och unikt värde. Lösenord lagras i ett skyddat konfidentiellt attribut på motsvarande datorobjekt i Active Directory, där endast specifikt auktoriserade användare kan hämta dem. LAPS använder lokala konton för fjärrdatorhantering på ett sätt som ger vissa fördelar jämfört med att använda domänkonton. Mer information finns i Fjärranvändning av lokala konton: LAPS ändrar allt.

    Kom igång med LAPS genom att ladda ned Local Administrator Password Solution (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) är en lokal produkt som du kan använda för att identifiera angripare som försöker kompromettera privilegierade identiteter. ATA parsar nätverkstrafik för protokoll för autentisering, auktorisering och informationsinsamling, till exempel Kerberos och DNS. ATA använder data för att skapa beteendeprofiler för användare och andra entiteter i nätverket för att identifiera avvikelser och kända attackmönster.

    Mer information finns i Vad är Advanced Threat Analytics?

  • Windows Defender Remote Credential Guard skyddar autentiseringsuppgifter via en fjärrskrivbordsanslutning genom att omdirigera Kerberos-begäranden tillbaka till enheten som begär anslutningen. Den tillhandahåller även enkel inloggning (SSO) för fjärrskrivbordssessioner. Om målenheten komprometteras under en fjärrskrivbordssession exponeras inte dina autentiseringsuppgifter eftersom både autentiseringsuppgifter och autentiseringsuppgifter aldrig skickas via nätverket till målenheten.

    Mer information finns i Hantera Windows Defender Credential Guard.

  • Microsoft Defender för identiteter hjälper dig att skydda privilegierade identiteter genom att övervaka användarnas beteende och aktiviteter, minska attackytan, skydda Active Directory Federal Service (AD FS) i en hybridmiljö och identifiera misstänkta aktiviteter och avancerade attacker i hela cyberattackkedjan.

    Mer information finns i Vad är Microsoft Defender for Identity?.

Nästa steg

Mer information om säkerhet och regelefterlevnad finns i: