Skydda dina hanteringsportar med just-in-time-åtkomst

Aktivera JIT på dina virtuella datorer från Microsoft Defender för molnet

Från Defender for Cloud kan du aktivera och konfigurera JIT VM-åtkomst.

1. Öppna instrumentpanelen Arbetsbelastningsskydd och välj Just-in-time VM access (Just-in-time-åtkomst till virtuella datorer) från området avancerat skydd.

   Sidan Just-in-time-åtkomst till virtuella datorer öppnas med dina virtuella datorer grupperade på följande flikar:

   • Konfigurerad – virtuella datorer som redan har konfigurerats för att stödja just-in-time-åtkomst till virtuella datorer. För varje virtuell dator visar den konfigurerade fliken:
     • antalet godkända JIT-begäranden under de senaste sju dagarna
     • datum och tid för senaste åtkomst
     • anslutningsinformationen konfigurerad
     • den senaste användaren
   • Inte konfigurerad – virtuella datorer utan JIT aktiverat, men det kan stödja JIT. Vi rekommenderar att du aktiverar JIT för dessa virtuella datorer.
   • Stöds inte – virtuella datorer utan JIT aktiverat och som inte stöder funktionen. Den virtuella datorn kan finnas på den här fliken av följande skäl:
     • Nätverkssäkerhetsgrupp saknas (NSG) eller Azure Firewall – JIT kräver att en NSG konfigureras eller en brandväggskonfiguration (eller båda)
     • Klassisk virtuell dator – JIT stöder virtuella datorer som distribueras via Azure Resource Manager, inte "klassisk distribution". Läs mer om klassiska eller Azure Resource Manager distributionsmodeller.
     • Övrigt – Den virtuella datorn kan finnas på den här fliken om JIT-lösningen är inaktiverad i säkerhetsprincipen för prenumerationen eller resursgruppen.

2. På fliken Inte konfigurerad markerar du de virtuella datorer som ska skyddas med JIT och väljer Aktivera JIT på virtuella datorer.

   Åtkomstsidan för virtuella JIT-datorer öppnas med en lista över de portar som Defender for Cloud rekommenderar att du skyddar:

   • 22 – SSH
   • 3389 – RDP
   • 5985 – WinRM
   • 5986 – WinRM

   Om du vill acceptera standardinställningarna väljer du Spara.

3. Anpassa JIT-alternativen:

   • Lägg till anpassade portar med knappen Lägg till.
   • Ändra en av standardportarna genom att välja den i listan.

   För varje port (anpassad och standard) erbjuder fönstret Lägg till portkonfiguration följande alternativ:

   • Protokoll– Protokollet som tillåts på den här porten när en begäran godkänns
   • Tillåtna käll-IP-adresser– DE IP-intervall som tillåts på den här porten när en begäran godkänns
   • Maximal tid för begäran – Den längsta tidsperiod då en viss port kan öppnas

   1. Ställ in portsäkerheten efter dina behov.

   2. Välj OK.

4. Välj Spara.

Redigera JIT-konfigurationen på en JIT-aktiverad virtuell dator med Defender for Cloud

Du kan ändra en virtuell dators just-in-time-konfiguration genom att lägga till och konfigurera en ny port som ska skyddas för den virtuella datorn, eller genom att ändra andra inställningar relaterade till en redan skyddad port.

Så här redigerar du befintliga JIT-regler för en virtuell dator:

1. Öppna instrumentpanelen Arbetsbelastningsskydd och välj Just-in-time VM access (Just-in-time-åtkomst till virtuella datorer) från området avancerat skydd.

2. På fliken Konfigurerad högerklickar du på den virtuella dator som du vill lägga till en port till och väljer redigera.

   

3. Under KONFIGURATION av JIT VM-åtkomst kan du antingen redigera befintliga inställningar för en redan skyddad port eller lägga till en ny anpassad port.

4. När du är klar med att redigera portarna väljer du Spara.

Aktivera JIT på dina virtuella datorer från virtuella Azure-datorer

Du kan aktivera JIT på en virtuell dator från sidorna för virtuella Azure-datorer i Azure Portal.

1. Från Azure Portaldu efter och väljer Virtuella datorer.

2. Välj den virtuella dator som du vill skydda med JIT.

3. I menyn väljer du Konfiguration.

4. Under Just-in-time-åtkomst väljer du Aktivera just-in-time.

   Detta möjliggör just-in-time-åtkomst för den virtuella datorn med hjälp av följande standardinställningar:

   • Windows datorer:
     • RDP-port 3389
     • Tre timmar med högsta tillåtna åtkomst
     • Tillåtna käll-IP-adresser har angetts till Alla
   • Linux-datorer:
     • SSH-port 22
     • Tre timmar med högsta tillåtna åtkomst
     • Tillåtna käll-IP-adresser har angetts till Alla

5. Om du vill redigera något av dessa värden eller lägga till fler portar i din JIT-konfiguration använder du Microsoft Defender for Clouds just-in-time-sida:

   1. Gå till menyn i Defender for Cloud och välj Just-in-time VM access (Just-in-time-åtkomst till virtuella datorer).

   2. På fliken Konfigurerad högerklickar du på den virtuella dator som du vill lägga till en port till och väljer redigera.

      

   3. Under KONFIGURATION av JIT VM-åtkomst kan du antingen redigera befintliga inställningar för en redan skyddad port eller lägga till en ny anpassad port.

   4. När du är klar med att redigera portarna väljer du Spara.

Aktivera JIT på dina virtuella datorer med PowerShell

Om du vill aktivera just-in-time-åtkomst till virtuella datorer från PowerShell använder du den officiella Microsoft Defender för Cloud PowerShell-cmdleten Set-AzJitNetworkAccessPolicy .

Exempel – Aktivera just-in-time-åtkomst till virtuella datorer på en specifik virtuell dator med följande regler:

• Stäng portarna 22 och 3389
• Ange en maximal tidsperiod på 3 timmar för varje så att de kan öppnas per godkänd begäran
• Tillåt den användare som begär åtkomst att kontrollera källans IP-adresser
• Tillåt den användare som begär åtkomst att upprätta en lyckad session vid en godkänd just-in-time-åtkomstbegäran

Följande PowerShell-kommandon skapar den här JIT-konfigurationen:

1. Tilldela en variabel som innehåller just-in-time-åtkomstregler för virtuella datorer för en virtuell dator:

   $JitPolicy = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
            number=22;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"},
            @{
            number=3389;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"})})
   

2. Infoga JUST-in-time-åtkomstregler för virtuella datorer i en matris:

   $JitPolicyArr=@($JitPolicy)
   

3. Konfigurera just-in-time-åtkomstregler för virtuella datorer på den valda virtuella datorn:

   Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
   

   Använd parametern -Name för att ange en virtuell dator. Om du till exempel vill upprätta JIT-konfigurationen för två olika virtuella datorer, VM1 och VM2, använder Set-AzJitNetworkAccessPolicy -Name VM1 du: och Set-AzJitNetworkAccessPolicy -Name VM2 .

Aktivera JIT på dina virtuella datorer med hjälp av REST API

Just-in-time-funktionen för VM-åtkomst kan användas via Microsoft Defender för Cloud API. Använd det här API:et för att hämta information om konfigurerade virtuella datorer, lägga till nya, begära åtkomst till en virtuell dator med mera.

Läs mer i JIT-principer för nätverksåtkomst.

Begära åtkomst till en JIT-aktiverad virtuell dator från Microsoft Defender för molnet

När en virtuell dator har en JIT aktiverad måste du begära åtkomst för att ansluta till den. Du kan begära åtkomst på något av de sätt som stöds, oavsett hur du har aktiverat JIT.

1. På sidan Just-in-time-åtkomst till virtuell dator väljer du fliken Konfigurerad.

2. Markera de virtuella datorer som du vill komma åt.

   • Ikonen i kolumnen Anslutningsinformation anger om JIT är aktiverat i nätverkssäkerhetsgruppen eller brandväggen. Om den är aktiverad på båda visas bara brandväggsikonen.

   • Kolumnen Anslutningsinformation innehåller den information som krävs för att ansluta till den virtuella datorn och dess öppna portar.

3. Välj Begär åtkomst. Fönstret Begär åtkomst öppnas.

4. Under Begär åtkomst konfigurerar du de portar som du vill öppna för varje virtuell dator och de KÄLL-IP-adresser som porten öppnas på och det tidsfönster som porten ska vara öppen för. Det går bara att begära åtkomst till de konfigurerade portarna. Varje port har en högsta tillåten tid som härletts från den JIT-konfiguration som du har skapat.

5. Välj Öppna portar.

Begär åtkomst till en JIT-aktiverad virtuell dator från den virtuella Azure-datorns anslutningssida

När en virtuell dator har en JIT aktiverad måste du begära åtkomst för att ansluta till den. Du kan begära åtkomst på något av de sätt som stöds, oavsett hur du har aktiverat JIT.

Så här begär du åtkomst från virtuella Azure-datorer:

1. I Azure Portal du sidorna för virtuella datorer.

2. Välj den virtuella dator som du vill ansluta till och öppna Anslut sidan.

   Azure kontrollerar om JIT är aktiverat på den virtuella datorn.

   • Om JIT inte är aktiverat för den virtuella datorn uppmanas du att aktivera det.

   • Om JIT är aktiverat väljer du Begär åtkomst för att skicka en åtkomstbegäran med den begärande IP-adressen, det tidsperiod och de portar som har konfigurerats för den virtuella datorn.

Begära åtkomst till en JIT-aktiverad virtuell dator med PowerShell

I följande exempel kan du se en just-in-time-begäran om VM-åtkomst till en specifik virtuell dator där port 22 begärs att öppnas för en specifik IP-adress och under en viss tidsperiod:

Kör följande i PowerShell:

1. Konfigurera egenskaper för vm-begärandeåtkomst:

   $JitPolicyVm1 = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
          number=22;
          endTimeUtc="2020-07-15T17:00:00.3658798Z";
          allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
   

2. Infoga parametrarna för VM-åtkomstbegäran i en matris:

   $JitPolicyArr=@($JitPolicyVm1)
   

3. Skicka begäran om åtkomst (använd resurs-ID:t från steg 1)

   Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
   

Läs mer i dokumentationen för PowerShell-cmdleten.

Begära åtkomst till en JIT-aktiverad VM med hjälp av REST API

Just-in-time-funktionen för VM-åtkomst kan användas via Microsoft Defender för Cloud API. Använd det här API:et för att hämta information om konfigurerade virtuella datorer, lägga till nya, begära åtkomst till en virtuell dator med mera.

Läs mer i JIT-principer för nätverksåtkomst.