Säkerhets överväganden för Azure Stack HCIAzure Stack HCI security considerations

Gäller för: Azure Stack HCI, version 20H2; Windows Server 2019Applies to: Azure Stack HCI, version 20H2; Windows Server 2019

Det här avsnittet innehåller säkerhets aspekter och rekommendationer som rör Azure Stack HCI-operativ system:This topic provides security considerations and recommendations related to the Azure Stack HCI operating system:

  • Del 1 omfattar grundläggande säkerhets verktyg och tekniker för att förstärka operativ systemet och skydda data och identiteter för att effektivt bygga en säker grund för din organisation.Part 1 covers basic security tools and technologies to harden the operating system, and protect data and identities to efficiently build a secure foundation for your organization.
  • Del 2 omfattar resurser som är tillgängliga via Azure Security Center.Part 2 covers resources available through the Azure Security Center.
  • Del 3 innehåller mer avancerade säkerhets överväganden för att ytterligare förstärka din organisations säkerhets position i dessa områden.Part 3 covers more advanced security considerations to further strengthen the security posture of your organization in these areas.

Varför är säkerhets aspekter viktiga?Why are security considerations important?

Säkerheten påverkar alla i din organisation från toppnivå hantering till informations anställda.Security affects everyone in your organization from upper-level management to the information worker. Otillräcklig säkerhet är en verklig risk för organisationer, eftersom en säkerhets överträdelse kan störa all normal verksamhet och ta din organisation till en paus.Inadequate security is a real risk for organizations, as a security breach can potentially disrupt all normal business and bring your organization to a halt. Snart kan du identifiera en potentiell attack, desto snabbare kan du minska säkerheten.The sooner that you can detect a potential attack, the faster you can mitigate any compromise in security.

När du har sökt igenom en Miljös svaga punkter för att utnyttja dem kan en angripare vanligt vis inom 24 till 48 timmar efter den första kompromissen eskalera privilegier för att ta kontroll över system i nätverket.After researching an environment's weak points to exploit them, an attacker can typically within 24 to 48 hours of the initial compromise escalate privileges to take control of systems on the network. Med höga säkerhets åtgärder kan systemen i miljön förlänga den tid det tar för en angripare att ta kontroll från timmar till veckor eller till och med månader genom att blockera angriparens rörelser.Good security measures harden the systems in the environment to extend the time it takes an attacker to potentially take control from hours to weeks or even months by blocking the attacker's movements. Implementera säkerhets rekommendationerna i det här avsnittet placera din organisation för att identifiera och reagera på sådana attacker så snabbt som möjligt.Implementing the security recommendations in this topic position your organization to detect and respond to such attacks as fast as possible.

Del 1: bygga en säker grundPart 1: Build a secure foundation

I följande avsnitt rekommenderas säkerhets verktyg och-tekniker för att bygga en säker grund för de servrar som kör operativ systemet Azure Stack HCI i din miljö.The following sections recommend security tools and technologies to build a secure foundation for the servers running the Azure Stack HCI operating system in your environment.

Härdning av miljönHarden the environment

I det här avsnittet beskrivs hur du skyddar tjänster och virtuella datorer (VM: ar) som körs på operativ systemet:This section discusses how to protect services and virtual machines (VMs) running on the operating system:

  • Azure Stack HCI-certifierad maskin vara ger konsekvent säker start, UEFI och TPM-inställningar.Azure Stack HCI certified hardware provides consistent Secure Boot, UEFI, and TPM settings out of the box. Att kombinera virtualiseringsbaserad säkerhet och certifierad maskin vara hjälper till att skydda säkerhets känsliga arbets belastningar.Combining virtualization-based security and certified hardware helps protect security-sensitive workloads. Du kan också ansluta den här betrodda infrastrukturen till Azure Security Center för att aktivera beteende analys och rapportering för att snabbt ändra arbets belastningar och hot.You can also connect this trusted infrastructure to Azure Security Center to activate behavioral analytics and reporting to account for rapidly changing workloads and threats.

    • Säker start är en säkerhets standard som utvecklats av dator branschen för att säkerställa att en enhet startar med endast program vara som är betrodd av OEM-tillverkaren (Original Equipment Manufacturer).Secure boot is a security standard developed by the PC industry to help ensure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). Mer information finns i säker start.To learn more, see Secure boot.
    • United Extensible Firmware Interface (UEFI) styr start processen för servern och skickar sedan kontrollen till antingen Windows eller något annat operativ system.United Extensible Firmware Interface (UEFI) controls the booting process of the server, and then passes control to either Windows or another operating system. Läs mer i UEFI- krav för inbyggd program vara.To learn more, see UEFI firmware requirements.
    • Trusted Platform Module (TPM) -teknik tillhandahåller maskinvarubaserade och säkerhetsrelaterade funktioner.Trusted Platform Module (TPM) technology provides hardware-based, security-related functions. Ett TPM-chip är en säker kryptografisk processor som genererar, lagrar och begränsar användningen av kryptografiska nycklar.A TPM chip is a secure crypto-processor that generates, stores, and limits the use of cryptographic keys. Mer information finns i Översikt över Trusted Platform Module Technology.To learn more, see Trusted Platform Module Technology Overview.

    Mer information om Azure Stack HCI-certifierade maskin varu leverantörer finns på webbplatsen för Azure Stack HCI-lösningar .To learn more about Azure Stack HCI certified hardware providers, see the Azure Stack HCI solutions website.

  • Device Guard och Credential Guard.Device Guard and Credential Guard. Device Guard skyddar mot skadlig kod utan någon känd signatur, osignerad kod och skadlig kod som får åtkomst till kerneln för att antingen avbilda känslig information eller skada systemet.Device Guard protects against malware with no known signature, unsigned code, and malware that gains access to the kernel to either capture sensitive information or damage the system. Windows Defender Credential Guard använder virtualiseringsbaserad säkerhet för att isolera hemligheter så att endast privilegierad programvara kan komma åt dem.Windows Defender Credential Guard uses virtualization-based security to isolate secrets so that only privileged system software can access them.

    Mer information finns i hantera Windows Defender Credential Guard och ladda ned Device Guard-och Credential Guard-verktyget för maskin varu beredskap.To learn more, see Manage Windows Defender Credential Guard and download the Device Guard and Credential Guard hardware readiness tool.

  • Uppdateringar av Windows och inbyggd program vara är nödvändiga i kluster, servrar (inklusive virtuella gäst datorer) och datorer för att säkerställa att både operativ systemet och systemets maskin vara skyddas från angripare.Windows and firmware updates are essential on clusters, servers (including guest VMs), and PCs to help ensure that both the operating system and system hardware are protected from attackers. Du kan använda uppdaterings verktyget för Windows administrations Center för att tillämpa uppdateringar på enskilda system.You can use the Windows Admin Center Updates tool to apply updates to individual systems. Om din maskin varu leverantör innehåller stöd för Windows administrations Center för att hämta driv rutiner, inbyggd program vara och lösnings uppdateringar kan du hämta dessa uppdateringar på samma gång som Windows-uppdateringar, annars få dem direkt från leverantören.If your hardware provider includes Windows Admin Center support for getting driver, firmware, and solution updates, you can get these updates at the same time as Windows updates, otherwise get them directly from your vendor.

    Mer information finns i Uppdatera klustret.To learn more, see Update the cluster.

    Om du vill hantera uppdateringar på flera kluster och servrar i taget bör du överväga att prenumerera på den valfria Azure Uppdateringshantering-tjänsten, som är integrerad med Windows administrations Center.To manage updates on multiple clusters and servers at a time, consider subscribing to the optional Azure Update Management service, which is integrated with Windows Admin Center. Mer information finns i Azure uppdateringshantering med hjälp av administrations Center för Windows.For more information, see Azure Update Management using Windows Admin Center.

Skydda dataProtect data

I det här avsnittet beskrivs hur du använder Windows administrations Center för att skydda data och arbets belastningar på operativ systemet:This section discusses how to use Windows Admin Center to protect data and workloads on the operating system:

  • BitLocker för lagrings utrymmen skyddar data i vila.BitLocker for Storage Spaces protects data at rest. Du kan använda BitLocker för att kryptera innehållet i lagrings utrymmes data volymer i operativ systemet.You can use BitLocker to encrypt the contents of Storage Spaces data volumes on the operating system. Genom att använda BitLocker för att skydda data kan organisationer vara kompatibla med myndighets, regionala och branschspecifika standarder som FIPS 140-2 och HIPAA.Using BitLocker to protect data can help organizations stay compliant with government, regional, and industry-specific standards such as FIPS 140-2, and HIPAA.

    Mer information om hur du använder BitLocker i administrations Center för Windows finns i aktivera volym kryptering, deduplicering och komprimeringTo learn more about using BitLocker in Windows Admin Center, see Enable volume encryption, deduplication, and compression

  • SMB -kryptering för Windows-nätverk skyddar data under överföring.SMB encryption for Windows networking protects data in transit. SMB (Server Message Block) är ett protokoll för fildelning i nätverket som gör att program på en dator kan läsa och skriva till filer och begära tjänster från serverprogram i ett dator nätverk.Server Message Block (SMB) is a network file sharing protocol that allows applications on a computer to read and write to files and to request services from server programs on a computer network.

    Om du vill aktivera SMB-kryptering, se säkerhets förbättringar i SMB.To enable SMB encryption, see SMB security enhancements.

  • Windows Defender Antivirus i Windows administrations Center skyddar operativ systemet på klienter och servrar mot virus, skadlig kod, spionprogram och andra hot.Windows Defender Antivirus in Windows Admin Center protects the operating system on clients and servers against viruses, malware, spyware, and other threats. Läs mer i Microsoft Defender Antivirus på Windows Server 2016 och 2019.To learn more, see Microsoft Defender Antivirus on Windows Server 2016 and 2019.

Skydda identiteterProtect identities

I det här avsnittet beskrivs hur du använder Windows administrations Center för att skydda privilegierade identiteter:This section discusses how to use Windows Admin Center to protect privileged identities:

  • Åtkomst kontroll kan förbättra säkerheten i ditt hanterings landskap.Access control can improve the security of your management landscape. Om du använder en Windows administrations Center Server (vs. som körs på en Windows 10-dator) kan du styra två åtkomst nivåer till själva Windows administrations Center: Gateway-användare och Gateway-administratörer.If you're using a Windows Admin Center server (vs. running on a Windows 10 PC), you can control two levels of access to Windows Admin Center itself: gateway users and gateway administrators. Gateway-administratörens alternativ för identitets leverantör inkluderar:Gateway administrator identity provider options include:

    • Active Directory eller lokala dator grupper för att framtvinga autentisering med smartkort.Active Directory or local machine groups to enforce smartcard authentication.
    • Azure Active Directory att framtvinga villkorlig åtkomst och multifaktorautentisering.Azure Active Directory to enforce conditional access and multifactor authentication.

    Läs mer i användar åtkomst alternativ med Windows administrations Center och Konfigurera användar Access Control och behörigheter.To learn more, see User access options with Windows Admin Center and Configure User Access Control and Permissions.

  • Webb läsar trafik till Windows administrations Center använder https.Browser traffic to Windows Admin Center uses HTTPS. Trafik från Windows administrations Center till hanterade servrar använder standard PowerShell och Windows Management Instrumentation (WMI) över Windows Remote Management (WinRM).Traffic from Windows Admin Center to managed servers uses standard PowerShell and Windows Management Instrumentation (WMI) over Windows Remote Management (WinRM). Windows administrations Center har stöd för den lokala administratörs lösen ords lösningen (upphörde), resursbaserade begränsad delegering, åtkomst kontroll för gateway med Active Directory (AD) eller Microsoft Azure Active Directory (Azure AD) och rollbaserad åtkomst kontroll (RBAC) för att hantera mål servrar.Windows Admin Center supports the Local Administrator Password Solution (LAPS), resource-based constrained delegation, gateway access control using Active Directory (AD) or Microsoft Azure Active Directory (Azure AD), and role-based access control (RBAC) for managing target servers.

    Windows administrations Center stöder Microsoft Edge (Windows 10, version 1709 eller senare), Google Chrome och Microsoft Edge Insider på Windows 10.Windows Admin Center supports Microsoft Edge (Windows 10, version 1709 or later), Google Chrome, and Microsoft Edge Insider on Windows 10. Du kan installera administrations Center för Windows på antingen en Windows 10-dator eller en Windows-Server.You can install Windows Admin Center on either a Windows 10 PC or a Windows server.

    Om du installerar Windows administrations Center på en server körs den som en gateway utan användar gränssnitt på värd servern.If you install Windows Admin Center on a server it runs as a gateway, with no UI on the host server. I det här scenariot kan administratörer logga in på servern via en HTTPS-session som skyddas av ett självsignerat säkerhetscertifikat på värden.In this scenario, administrators can log on to the server via an HTTPS session, secured by a self-signed security certificate on the host. Men det är bättre att använda ett lämpligt SSL-certifikat från en betrodd certifikat utfärdare för inloggnings processen, eftersom webbläsare som stöds behandlar en självsignerad anslutning som osäker, även om anslutningen är till en lokal IP-adress via en betrodd VPN.However, it's better to use an appropriate SSL certificate from a trusted certificate authority for the sign-on process, because supported browsers treat a self-signed connection as unsecure, even if the connection is to a local IP address over a trusted VPN.

    Mer information om installations alternativ för din organisation finns i vilken typ av installation är rätt för dig?.To learn more about installation options for your organization, see What type of installation is right for you?.

  • CredSSP är en autentiseringsprovider som Windows administrations Center använder i några fall för att skicka autentiseringsuppgifter till datorer utanför den specifika server som du riktar in dig på att hantera.CredSSP is an authentication provider that Windows Admin Center uses in a few cases to pass credentials to machines beyond the specific server you are targeting to manage. Windows administrations Center kräver för närvarande CredSSP för att:Windows Admin Center currently requires CredSSP to:

    • Skapa ett nytt kluster.Create a new cluster.
    • Öppna uppdaterings verktyget för att använda antingen kluster för växling vid fel eller kluster medveten uppdaterings funktioner.Access the Updates tool to use either the Failover clustering or Cluster-Aware Updating features.
    • Hantera disaggregerad SMB-lagring i virtuella datorer.Manage disaggregated SMB storage in VMs.

    Mer information finns i Windows Admin Center använder CredSSP?To learn more, see Does Windows Admin Center use CredSSP?

  • Rollbaserad åtkomst kontroll (RBAC) i Windows administrations Center ger användare begränsad åtkomst till de servrar som de behöver hantera i stället för att göra dem fullständiga lokala administratörer.Role-based access control (RBAC) in Windows Admin Center allows users limited access to the servers they need to manage instead of making them full local administrators. Om du vill använda RBAC i Windows administrations Center konfigurerar du varje hanterad server med en PowerShell precis som administratörs slut punkt.To use RBAC in Windows Admin Center, you configure each managed server with a PowerShell Just Enough Administration endpoint.

    Mer information finns i rollbaserad åtkomst kontroll och bara tillräckligt med administration.To learn more, see Role-based access control and Just Enough Administration.

  • Säkerhets verktyg i Windows administrations Center som du kan använda för att hantera och skydda identiteter omfattar Active Directory, certifikat, brand vägg, lokala användare och grupper med mera.Security tools in Windows Admin Center that you can use to manage and protect identities include Active Directory, Certificates, Firewall, Local Users and Groups, and more.

    Mer information finns i hantera servrar med Windows administrations Center.To learn more, see Manage Servers with Windows Admin Center.

Del 2: Använd Azure Security CenterPart 2: Use Azure Security Center

Azure Security Center är ett enhetligt infrastruktur säkerhets hanterings system som stärker säkerhets positionen i dina data Center och ger avancerat skydd för dina hybrid arbets belastningar i molnet och lokalt.Azure Security Center is a unified infrastructure security management system that strengthens the security posture of your data centers, and provides advanced threat protection across your hybrid workloads in the cloud and on premises. Security Center ger dig verktyg för att bedöma nätverkets säkerhets status, skydda arbets belastningar, öka säkerhets aviseringar och följa rekommendationer för att åtgärda attacker och åtgärda framtida hot.Security Center provides you with tools to assess the security status of your network, protect workloads, raise security alerts, and follow specific recommendations to remediate attacks and address future threats. Security Center utför alla dessa tjänster vid hög hastighet i molnet utan distributions kostnader genom automatisk etablering och skydd med Azure-tjänster.Security Center performs all of these services at high speed in the cloud with no deployment overhead through auto-provisioning and protection with Azure services.

Security Center skyddar virtuella datorer för både Windows-servrar och Linux-servrar genom att installera Log Analytics-agenten på dessa resurser.Security Center protects VMs for both Windows servers and Linux servers by installing the Log Analytics agent on these resources. Azure korrelerar händelser som agenterna samlar in i rekommendationer (härdning av aktiviteter) som du utför för att göra dina arbets belastningar säkra.Azure correlates events that the agents collect into recommendations (hardening tasks) that you perform to make your workloads secure. Härdningen av aktiviteter baserat på rekommenderade säkerhets metoder är att hantera och verkställa säkerhets principer.The hardening tasks based on security best practices include managing and enforcing security policies. Du kan sedan spåra resultaten och hantera efterlevnad och styrning med tiden genom Security Center övervakning och samtidigt minska angrepps ytan för alla dina resurser.You can then track the results and manage compliance and governance over time through Security Center monitoring while reducing the attack surface across all of your resources.

En viktig del av din styrningsstrategi i Azure är att hantera vem som ska ha åtkomst till Azure-resurser och prenumerationer.Managing who can access your Azure resources and subscriptions is an important part of your Azure governance strategy. Rollbaserad åtkomstkontroll i Azure (RBAC) är den primära metoden för att hantera åtkomst i Azure.Azure role-based access control (RBAC) is the primary method of managing access in Azure. Mer information finns i Hantera åtkomst till din Azure-miljö med rollbaserad åtkomst kontroll.To learn more, see Manage access to your Azure environment with role-based access control.

Att arbeta med Security Center via administrations Center för Windows kräver en Azure-prenumeration.Working with Security Center through Windows Admin Center requires an Azure subscription. För att komma igång, se integrera Azure Security Center med Windows administrations Center.To get started, see Integrate Azure Security Center with Windows Admin Center.

Efter registreringen, åtkomst Security Center i Windows administrations Center: på sidan alla anslutningar väljer du en server eller virtuell dator, under verktyg, väljer Azure Security Centeroch väljer sedan Logga in på Azure.After registering, access Security Center in Windows Admin Center: On the All Connections page, select a server or VM, under Tools, select Azure Security Center, and then select Sign into Azure.

Mer information finns i Vad är Azure Security Center?To learn more, see What is Azure Security Center?

Del 3: Lägg till avancerad säkerhetPart 3: Add advanced security

I följande avsnitt rekommenderas avancerade säkerhets verktyg och tekniker för ytterligare härdning av servrar som kör operativ systemet Azure Stack HCI i din miljö.The following sections recommend advanced security tools and technologies to further harden servers running the Azure Stack HCI operating system in your environment.

Härdning av miljönHarden the environment

  • Microsofts säkerhets bas linjer baseras på säkerhets rekommendationer från Microsoft som erhållits via partnerskap med kommersiella organisationer och den amerikanska regeringen, till exempel försvars avdelningen.Microsoft security baselines are based on security recommendations from Microsoft obtained through partnership with commercial organizations and the US government, such as the Department of Defense. Säkerhets bas linjerna innehåller rekommenderade säkerhets inställningar för Windows-brandväggen, Windows Defender och många andra.The security baselines include recommended security settings for Windows Firewall, Windows Defender, and many others.

    Säkerhets bas linjerna tillhandahålls som grupprincip objekt (GPO) som du kan importera till Active Directory Domain Services (AD DS) och sedan distribuera till domänanslutna servrar för att förstärka miljön.The security baselines are provided as Group Policy Object (GPO) backups that you can import into Active Directory Domain Services (AD DS), and then deploy to domain-joined servers to harden the environment. Du kan också använda lokala skript verktyg för att konfigurera fristående (icke-domänanslutna) servrar med säkerhets bas linjer.You can also use Local Script tools to configure standalone (non domain-joined) servers with security baselines. Kom igång med säkerhets bas linjerna genom att ladda ned Microsoft Security Compliance Toolkit 1,0.To get started using the security baselines, download the Microsoft Security Compliance Toolkit 1.0.

    Mer information finns i Microsofts säkerhets bas linjer.To learn more, see Microsoft Security Baselines.

Skydda dataProtect data

  • Härdning av Hyper-V-miljön kräver härdning av Windows Server som körs på en virtuell dator på samma sätt som du skulle göra operativ systemet igång på en fysisk server.Hardening the Hyper-V environment requires hardening Windows Server running on a VM just as you would harden the operating system running on a physical server. Eftersom virtuella miljöer vanligt vis har flera virtuella datorer som delar samma fysiska värd, är det absolut nödvändigt att skydda både den fysiska värden och de virtuella datorerna som körs på den.Because virtual environments typically have multiple VMs sharing the same physical host, it is imperative to protect both the physical host and the VMs running on it. En angripare som komprometterar en värd kan påverka flera virtuella datorer med större påverkan på arbets belastningar och tjänster.An attacker who compromises a host can affect multiple VMs with a greater impact on workloads and services. I det här avsnittet beskrivs följande metoder som du kan använda för att torka Windows Server i en Hyper-V-miljö:This section discusses the following methods that you can use to harden Windows Server in a Hyper-V environment:

    • Skyddad infrastruktur resurs och avskärmade virtuella datorer stärker säkerheten för virtuella datorer som körs i Hyper-V-miljöer genom att förhindra angripare från att modifiera VM-filer.Guarded fabric and shielded VMs strengthen the security for VMs running in Hyper-V environments by preventing attackers from modifying VM files. En skyddad infrastruktur resurs består av en värd skydds tjänst (HGS) som vanligt vis är ett kluster av tre noder, en eller flera skyddade värdar och en uppsättning avskärmade virtuella datorer.A guarded fabric consists of a Host Guardian Service (HGS) that is typically a cluster of three nodes, one or more guarded hosts, and a set of shielded VMs. Attesterings tjänsten utvärderar giltigheten hos värd begär Anden, medan nyckel skydds tjänsten avgör om du vill frigöra nycklar som de skyddade värdarna kan använda för att starta den avskärmade virtuella datorn.The Attestation Service evaluates the validity of hosts requests, while the Key Protection Service determines whether to release keys that the guarded hosts can use to start the shielded VM.

      Mer information finns i Översikt över skyddade infrastruktur resurser och avskärmade virtuella datorer.To learn more, see Guarded fabric and shielded VMs overview.

    • Virtual Trusted Platform Module (vTPM) i Windows Server stöder TPM för virtuella datorer, vilket gör att du kan använda avancerade säkerhets tekniker, till exempel BitLocker i virtuella datorer.Virtual Trusted Platform Module (vTPM) in Windows Server supports TPM for VMs, which lets you use advanced security technologies, such as BitLocker in VMs. Du kan aktivera TPM-stöd på alla virtuella Hyper-V-datorer i generation 2 med hjälp av Hyper-V Manager eller Enable-VMTPM Windows PowerShell-cmdleten.You can enable TPM support on any Generation 2 Hyper-V VM by using either Hyper-V Manager or the Enable-VMTPM Windows PowerShell cmdlet.

      Mer information finns i Enable-VMTPM.To learn more, see Enable-VMTPM.

    • SDN (Software Defined Networking) i Azure Stack HCI och Windows Server konfigurerar och hanterar centralt fysiska och virtuella nätverks enheter, till exempel routrar, växlar och gatewayer i ditt data Center.Software Defined Networking (SDN) in Azure Stack HCI and Windows Server centrally configures and manages physical and virtual network devices, such as routers, switches, and gateways in your datacenter. Virtuella nätverks element, till exempel Hyper-V virtuell växel, Hyper-V-nätverksvirtualisering och RAS-Gateway är utformade för att vara integrerade element i SDN-infrastrukturen.Virtual network elements, such as Hyper-V Virtual Switch, Hyper-V Network Virtualization, and RAS Gateway are designed to be integral elements of your SDN infrastructure.

      Mer information finns i SDN (Software Defined Networking).To learn more, see Software Defined Networking (SDN).

Skydda identiteterProtect identities

  • Den lokala administratörens lösen ords lösning (upphörde) är en förenklad mekanism för Active Directory domänanslutna system som regelbundet anger lösen ordet för det lokala administratörs kontot för varje dator till ett nytt slumpmässigt och unikt värde.Local Administrator Password Solution (LAPS) is a lightweight mechanism for Active Directory domain-joined systems that periodically sets each computer’s local admin account password to a new random and unique value. Lösen ord lagras i ett skyddat konfidentiellt attribut på motsvarande dator objekt i Active Directory, där endast behöriga användare kan hämta dem.Passwords are stored in a secured confidential attribute on the corresponding computer object in Active Directory, where only specifically-authorized users can retrieve them. Med den här metoden kan du använda lokala konton för hantering av fjärrdatorer på ett sätt som ger vissa fördelar jämfört med att använda domän konton.LAPS uses local accounts for remote computer management in a way that offers some advantages over using domain accounts. Mer information finns i Fjärranvändning av lokala konton: vid ändring av allt.To learn more, see Remote Use of Local Accounts: LAPS Changes Everything.

    Om du vill komma igång med att använda den här lösningen kan du hämta den lokala administratörens lösen ords lösning.To get started using LAPS, download Local Administrator Password Solution (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) är en lokal produkt som du kan använda för att identifiera angripare som försöker kompromettera privilegierade identiteter.Microsoft Advanced Threat Analytics (ATA) is an on-premises product that you can use to help detect attackers attempting to compromise privileged identities. ATA tolkar nätverks trafik för protokoll för autentisering, auktorisering och informations insamling, t. ex. Kerberos och DNS.ATA parses network traffic for authentication, authorization, and information gathering protocols, such as Kerberos and DNS. ATA använder data för att bygga beteende profiler för användare och andra entiteter i nätverket för att identifiera avvikelser och kända angrepps mönster.ATA uses the data to build behavioral profiles of users and other entities on the network to detect anomalies and known attack patterns.

    Mer information finns i Vad är Advanced Threat Analytics?.To learn more, see What is Advanced Threat Analytics?.

  • Windows Defender Remote Credential Guard skyddar autentiseringsuppgifter via en fjärr skrivbords anslutning genom att omdirigera Kerberos-begäranden tillbaka till den enhet som begär anslutningen.Windows Defender Remote Credential Guard protects credentials over a Remote Desktop connection by redirecting Kerberos requests back to the device that's requesting the connection. Den innehåller också enkel inloggning (SSO) för fjärrskrivbordssessioner.It also provides single sign-on (SSO) for Remote Desktop sessions. Under en fjärrskrivbordssession, om mål enheten komprometteras, så visas inte dina autentiseringsuppgifter eftersom både autentiseringsuppgiften och de härledda autentiseringsuppgifterna aldrig skickas över nätverket till mål enheten.During a Remote Desktop session, if the target device is compromised, your credentials are not exposed because both credential and credential derivatives are never passed over the network to the target device.

    Läs mer i hantera Windows Defender Credential Guard.To learn more, see Manage Windows Defender Credential Guard.

Nästa stegNext steps

För ytterligare information om säkerhet och efterlevnad, se även:For more information on security and regulatory compliance, see also: