Azure Stack HCI säkerhetsöverväganden

Gäller för: Azure Stack HCI, versionerna 21H2 och 20H2; Windows Server 2022, Windows Server 2019

Det här avsnittet innehåller säkerhetsöverväganden och rekommendationer Azure Stack HCI operativsystemet:

• Del 1 omfattar grundläggande säkerhetsverktyg och tekniker för att härda operativsystemet och skydda data och identiteter för att effektivt skapa en säker grund för din organisation.
• Del 2 omfattar resurser som är tillgängliga via Azure Security Center.
• Del 3 beskriver mer avancerade säkerhetsöverväganden för att ytterligare stärka organisationens säkerhetsposition inom dessa områden.

Varför är säkerhetsöverväganden viktiga?

Säkerheten påverkar alla i organisationen från ledningen på den högsta nivån till informationsarbetaren. Otillräcklig säkerhet är en verklig risk för organisationer eftersom en säkerhetsöverträdelse potentiellt kan störa all normal verksamhet och få organisationen att stanna upp. Ju snabbare du kan identifiera en potentiell attack, desto snabbare kan du minimera eventuella säkerhetsrisk.

Efter att ha utforskat en miljös svaga punkter för att utnyttja dem, kan en angripare vanligtvis inom 24 till 48 timmar efter den första kompromettering eskalera privilegier för att ta kontroll över system i nätverket. Bra säkerhetsåtgärder härdar systemen i miljön för att förlänga den tid det tar för en angripare att potentiellt ta kontroll från timmar till veckor eller till och med månader genom att blockera angriparens rörelser. Genom att implementera säkerhetsrekommendationerna i det här avsnittet kan din organisation identifiera och svara på sådana attacker så snabbt som möjligt.

Del 1: Skapa en säker grund

Följande avsnitt rekommenderar säkerhetsverktyg och -tekniker för att skapa en säker grund för servrar som kör Azure Stack HCI operativsystem i din miljö.

Härda miljön

I det här avsnittet beskrivs hur du skyddar tjänster och virtuella datorer (VM) som körs på operativsystemet:

• Azure Stack HCI maskinvara tillhandahåller konsekventa inställningar för Säker start, UEFI och TPM från start. Genom att kombinera virtualiseringsbaserad säkerhet och certifierad maskinvara kan du skydda säkerhetskänsliga arbetsbelastningar. Du kan också ansluta den här betrodda infrastrukturen till Azure Security Center för att aktivera beteendeanalys och rapportering för att ta hänsyn till snabbt föränderliga arbetsbelastningar och hot.

  • Säker start är en säkerhetsstandard som utvecklats av datorbranschen för att säkerställa att en enhet endast startar med programvara som är betrodd av OEM-tillverkaren (Original Equipment Manufacturer). Mer information finns i Säker start.
  • United Extensible Firmware Interface (UEFI) styr startprocessen för servern och skickar sedan kontroll till antingen Windows eller ett annat operativsystem. Mer information finns i krav för inbyggd UEFI-programvara.
  • Trusted Platform Module (TPM)-teknik tillhandahåller maskinvarubaserade, säkerhetsrelaterade funktioner. Ett TPM-chip är en säker kryptoprocessor som genererar, lagrar och begränsar användningen av kryptografiska nycklar. Mer information finns i Trusted Platform Module Översikt över teknik.

  Mer information om Azure Stack HCI certifierade maskinvaruleverantörer finns på webbplatsen Azure Stack HCI för lösningar.

• Säkerhetsverktyget finns inbyggt i administrationscentret för Windows för både enskilda server- och Azure Stack HCI kluster för att underlätta säkerhetshantering och kontroll. Verktyget centraliserar vissa viktiga säkerhetsinställningar för servrar och kluster, inklusive möjligheten att visa status för skyddade kärnor för system.

  Mer information finns i Secured-core server.

• Device Guard och Credential Guard. Device Guard skyddar mot skadlig kod utan känd signatur, osignerad kod och skadlig kod som får åtkomst till kerneln för att antingen samla in känslig information eller skada systemet. Windows Defender Credential Guard använder virtualiseringsbaserad säkerhet för att isolera hemligheter så att endast privilegierad programvara kan komma åt dem.

  Mer information finns i Hantera Windows Defender Credential Guard och ladda ned maskinvaruberedskapsverktyget Device Guard och Credential Guard.

• Windows och inbyggd programvara är viktiga på kluster, servrar (inklusive virtuella gästdatorer) och datorer för att säkerställa att både operativsystemet och systemmaskinvaran skyddas från angripare. Du kan använda verktyget Windows Administrationscenter för att tillämpa uppdateringar på enskilda system. Om maskinvaruleverantören har stöd för Windows Administrationscenter för att hämta uppdateringar av drivrutin, inbyggd programvara och lösning kan du hämta dessa uppdateringar samtidigt som Windows-uppdateringar, annars kan du hämta dem direkt från leverantören.

  Mer information finns i Uppdatera klustret.

  Om du vill hantera uppdateringar på flera kluster och servrar i taget kan du prenumerera på den valfria Azure Uppdateringshantering-tjänsten, som är integrerad med Windows Administrationscenter. Mer information finns i Azure Uppdateringshantering med Windows Administrationscenter.

Skydda data

I det här avsnittet beskrivs hur Windows administrationscenter för att skydda data och arbetsbelastningar på operativsystemet:

• BitLocker för Lagringsutrymmen skyddar vilodata. Du kan använda BitLocker för att kryptera innehållet Lagringsutrymmen datavolymer på operativsystemet. Användning av BitLocker för att skydda data kan hjälpa organisationer att efterleva myndighetsspecifika, regionala och branschspecifika standarder som FIPS 140-2 och HIPAA.

  Mer information om hur du använder BitLocker Windows Administrationscenter finns i Aktivera volymkryptering, deduplicering och komprimering

• SMB-kryptering för Windows-nätverk skyddar data under överföring. Server Message Block (SMB) är ett protokoll för fildelning för nätverk som gör att program på en dator kan läsa och skriva till filer och begära tjänster från serverprogram i ett datornätverk.

  Information om hur du aktiverar SMB-kryptering finns i SMB-säkerhetsförbättringar.

• Windows Defender Antivirus i Windows Administrationscenter skyddar operativsystemet på klienter och servrar mot virus, skadlig programvara, spionprogram och andra hot. Mer information finns i Microsoft Defender Antivirus på Windows Server 2016 och 2019.

Skydda identiteter

I det här avsnittet beskrivs hur du använder Windows Administrationscenter för att skydda privilegierade identiteter:

• Åtkomstkontroll kan förbättra säkerheten i ditt hanteringslandskap. Om du använder en Windows Admin Center-server (jämfört med en som körs på en Windows 10-dator) kan du styra två åtkomstnivåer till Windows Administrationscenter: gatewayanvändare och gatewayadministratörer. Alternativen för gatewayadministratörsidentitetsprovider är:

  • Active Directory eller lokala datorgrupper för att framtvinga autentisering med smartkort.
  • Azure Active Directory framtvinga villkorlig åtkomst och multifaktorautentisering.

  Mer information finns i Alternativ för användaråtkomst med Windows administrationscenteroch Konfigurera användaråtkomst Access Control behörigheter.

• Webbläsartrafik till Windows Administrationscenter använder HTTPS. Trafik från Windows Administrationscenter till hanterade servrar använder Standard PowerShell och Windows Management Instrumentation (WMI) över Windows Remote Management (WinRM). Windows Admin Center stöder Lösning för lokala administratörslösenord (LAPS), resursbaserad begränsad delegering, gatewayåtkomstkontroll med hjälp av Active Directory (AD) eller Microsoft Azure Active Directory (Azure AD) och rollbaserad åtkomstkontroll (RBAC) för att hantera målservrar.

  Windows Admin Center stöder Microsoft Edge (Windows 10 version 1709 eller senare), Google Chrome och Microsoft Edge Insider på Windows 10. Du kan installera Windows Administrationscenter på en Windows 10 dator eller en Windows server.

  Om du installerar Windows administrationscentret på en server körs det som en gateway, utan användargränssnitt på värdservern. I det här scenariot kan administratörer logga in på servern via en HTTPS-session som skyddas av ett självloggat säkerhetscertifikat på värden. Det är dock bättre att använda ett lämpligt SSL-certifikat från en betrodd certifikatutfärdare för inloggningsprocessen, eftersom webbläsare som stöds behandlar en själv signerad anslutning som osäker, även om anslutningen är till en lokal IP-adress via ett betrott VPN.

  Mer information om installationsalternativ för din organisation finns i Vilken typ av installation är rätt för dig?.

• CredSSP är en autentiseringsprovider som Windows Administrationscenter använder i några få fall för att skicka autentiseringsuppgifter till datorer utöver den specifika server som du vill hantera. Windows Admin Center kräver för närvarande CredSSP för att:

  • Skapa ett nytt kluster.
  • Använd verktyget Uppdateringar för att använda antingen redundansklustring eller Cluster-Aware uppdateringsfunktioner.
  • Hantera disaggregering av SMB-lagring på virtuella datorer.

  Mer information finns i Använder Windows Administrationscenter CredSSP?

• Rollbaserad åtkomstkontroll (RBAC) i Windows Administrationscenter ger användarna begränsad åtkomst till de servrar som de behöver hantera i stället för att göra dem till fullständiga lokala administratörer. Om du vill använda RBAC Windows Administrationscenter konfigurerar du varje hanterad server med en PowerShell Just Enough-administrationsslutpunkt.

  Mer information finns i Rollbaserad åtkomstkontroll ochJust Enough Administration.

• Säkerhetsverktyg i Windows Administrationscenter som du kan använda för att hantera och skydda identiteter är Active Directory, certifikat, brandvägg, lokala användare och grupper med mera.

  Mer information finns i Hantera servrar med Windows Administrationscenter.

Del 2: Använd Azure Security Center

Azure Security Center är ett enhetligt system för hantering av infrastruktursäkerhet som förstärker säkerhetspositionen för dina datacenter och ger avancerat skydd mot hot i dina hybridarbetsbelastningar i molnet och lokalt. Security Center dig verktyg för att utvärdera nätverkets säkerhetsstatus, skydda arbetsbelastningar, skapa säkerhetsaviseringar och följa specifika rekommendationer för att åtgärda attacker och hantera framtida hot. Security Center utför alla dessa tjänster med hög hastighet i molnet utan omkostnader för distribution genom automatisk etablering och skydd med Azure-tjänster.

Security Center skyddar virtuella datorer för både Windows-servrar och Linux-servrar genom att installera Log Analytics-agenten på dessa resurser. Azure korrelerar händelser som agenterna samlar in i rekommendationer (härdningsuppgifter) som du utför för att skydda dina arbetsbelastningar. Härdningsuppgifter som baseras på metodtips för säkerhet omfattar hantering och tillämpning av säkerhetsprinciper. Du kan sedan spåra resultaten och hantera efterlevnad och styrning över tid via Security Center samtidigt som du minskar angreppsytan för alla dina resurser.

En viktig del av din styrningsstrategi i Azure är att hantera vem som ska ha åtkomst till Azure-resurser och prenumerationer. Rollbaserad åtkomstkontroll i Azure (RBAC) är den primära metoden för att hantera åtkomst i Azure. Mer information finns i Hantera åtkomst till din Azure-miljö med rollbaserad åtkomstkontroll.

För att Security Center via Windows Administrationscenter krävs en Azure-prenumeration. Kom igång genom att gå till Integrera Azure Security Center med Windows Administrationscenter.

Efter registreringen går du Security Center i Windows Administrationscenter: På sidan Alla anslutningar väljer du en server eller virtuell dator. UnderVerktyg väljer du Azure Security Centeroch väljer sedan Logga in på Azure.

Mer information finns i Vad är Azure Security Center?

Del 3: Lägg till avancerad säkerhet

Följande avsnitt rekommenderar avancerade säkerhetsverktyg och tekniker för att ytterligare härda servrar som kör Azure Stack HCI operativsystem i din miljö.

Härda miljön

• Microsofts säkerhetsbaslinjer baseras på säkerhetsrekommendationer från Microsoft som erhållits via samarbete med kommersiella organisationer och amerikanska myndigheter, till exempel USA:s försvarsdepartement. Säkerhetsbaslinjerna innehåller rekommenderade säkerhetsinställningar för Windows Firewall, Windows Defender och många andra.

  Säkerhetsbaslinjerna tillhandahålls som grupprincip-objektsäkerhetskopior (GPO) som du kan importera till Active Directory Domain Services (AD DS) och sedan distribueras till domänkopplade servrar för att härda miljön. Du kan också använda verktyg för lokalt skript för att konfigurera fristående (icke-domän-ansluten) servrar med säkerhetsbaslinjer. Kom igång med säkerhetsbaslinjerna genom att ladda ned Microsoft Security Compliance Toolkit 1.0.

  Mer information finns i Microsofts säkerhetsbaslinjer.

Skydda data

• Härdning av Hyper-V-miljön kräver härdning Windows Server som körs på en virtuell dator på samma sätt som du skulle härda operativsystemet som körs på en fysisk server. Eftersom virtuella miljöer vanligtvis har flera virtuella datorer som delar samma fysiska värd är det mycket viktigt att skydda både den fysiska värden och de virtuella datorer som körs på den. En angripare som komprometterar en värd kan påverka flera virtuella datorer med större påverkan på arbetsbelastningar och tjänster. I det här avsnittet beskrivs följande metoder som du kan använda för att Windows Server i en Hyper-V-miljö:

  • Virtual Trusted Platform Module (vTPM) i Windows Server stöder TPM för virtuella datorer, vilket gör att du kan använda avancerade säkerhetstekniker som BitLocker i virtuella datorer. Du kan aktivera TPM-stöd på valfri virtuell Hyper-V-dator i generation 2 med hjälp av antingen Hyper-V Manager Enable-VMTPM eller Windows PowerShell-cmdleten.

    Mer information finns i Enable-VMTPM.

  • Programvarudefinierade nätverk (SDN) i Azure Stack HCI och Windows Server konfigurerar och hanterar virtuella nätverksenheter centralt, till exempel lastbalanserare för programvara, datacenterbrandvägg, gatewayer och virtuella växlar i infrastrukturen. Virtuella nätverkselement, till exempel Hyper-V virtuell växel, Hyper-V-nätverksvirtualisering och RAS-gateway är utformade för att vara integrerade element i din SDN-infrastruktur.

    Mer information finns i Programvarudefinierade nätverk (SDN).

    Anteckning

    Avskärmade virtuella datorer stöds inte i Azure Stack HCI.

Skydda identiteter

• Lösning för lokala administratörslösenord (LAPS) är en förenklad mekanism för Active Directory-domänbaserade system som regelbundet anger varje dators lokala administratörskontolösenord till ett nytt slumpmässigt och unikt värde. Lösenord lagras i ett skyddat konfidentiellt attribut på motsvarande datorobjekt i Active Directory, där endast specifikt behöriga användare kan hämta dem. LAPS använder lokala konton för fjärrdatorhantering på ett sätt som ger vissa fördelar jämfört med att använda domänkonton. Mer information finns i Fjärranvändning av lokala konton: LAPS ändrar allt.

  Kom igång med LAPS genom att ladda Lösning för lokala administratörslösenord (LAPS).

• Microsoft Advanced Threat Analytics (ATA) är en lokal produkt som du kan använda för att identifiera angripare som försöker kompromettera privilegierade identiteter. ATA parsar nätverkstrafik för autentisering, auktorisering och protokoll för insamling av information, till exempel Kerberos och DNS. ATA använder data för att skapa beteendeprofiler för användare och andra entiteter i nätverket för att identifiera avvikelser och kända angreppsmönster.

  Mer information finns i Vad är Advanced Threat Analytics?.

• Windows Defender Remote Credential Guard skyddar autentiseringsuppgifter via en fjärrskrivbordsanslutning genom att omdirigera Kerberos-begäranden tillbaka till den enhet som begär anslutningen. Den tillhandahåller också enkel inloggning (SSO) för fjärrskrivbordssessioner. Om målenheten komprometteras under en fjärrskrivbordssession exponeras inte dina autentiseringsuppgifter eftersom både autentiseringsuppgifter och autentiseringsuppgifter aldrig skickas via nätverket till målenheten.

  Mer information finns i Hantera Windows Defender Credential Guard.

Nästa steg

Mer information om säkerhet och regelefterlevnad finns här:

• Säkerhet och kontroll
• Metodtips för säkerhet för Azure-lösningar