Azure Stack HCı güvenlik konularıAzure Stack HCI security considerations

Uygulama hedefi: Azure Stack HI, sürüm 20H2; Windows Server 2019Applies to: Azure Stack HCI, version 20H2; Windows Server 2019

Bu konuda Azure Stack HCı işletim sistemiyle ilgili güvenlik konuları ve öneriler verilmektedir:This topic provides security considerations and recommendations related to the Azure Stack HCI operating system:

  • 1. bölüm, işletim sistemini sağlamlaştırmak için temel güvenlik araçları ve teknolojilerini içerir ve kuruluşunuz için güvenli bir temel oluşturmak üzere veri ve kimlikleri korur.Part 1 covers basic security tools and technologies to harden the operating system, and protect data and identities to efficiently build a secure foundation for your organization.
  • 2. bölüm, Azure Güvenlik Merkezi aracılığıyla sunulan kaynakları kapsıyor.Part 2 covers resources available through the Azure Security Center.
  • 3. bölüm, bu alanlardaki kuruluşunuzun güvenlik duruşunu daha da güçlendirin.Part 3 covers more advanced security considerations to further strengthen the security posture of your organization in these areas.

Güvenlik konuları neden önemlidir?Why are security considerations important?

Güvenlik, kuruluşunuzdaki herkesi, üst düzey yönetimden bilgi çalışanına etkiler.Security affects everyone in your organization from upper-level management to the information worker. Güvenlik ihlali, normal işletmeyi kesintiye uğratabilir ve kuruluşunuzu bir durduruma getirebilir.Inadequate security is a real risk for organizations, as a security breach can potentially disrupt all normal business and bring your organization to a halt. Olası bir saldırıyı tespit etmeniz daha hızlı bir şekilde daha hızlı bir güvenlik sorunu olasılığını ortadan kaldırabilirsiniz.The sooner that you can detect a potential attack, the faster you can mitigate any compromise in security.

Bir ortamın bu açıktan yararlanmaya yönelik zayıf noktaları araştırdıktan sonra, bir saldırgan, ağdaki sistemlerin denetimini ele almak için ilk riskli duruma alma ayrıcalıklarına sahip genellikle 24 ile 48 saat arasında olabilir.After researching an environment's weak points to exploit them, an attacker can typically within 24 to 48 hours of the initial compromise escalate privileges to take control of systems on the network. İyi güvenlik önlemleri, bir saldırganın, saldırganın hareketlerini engelleyerek saat ve hatta aylar arasında denetim sahibi olma süresini uzatmak için ortamdaki sistemleri çok fazla ele alır.Good security measures harden the systems in the environment to extend the time it takes an attacker to potentially take control from hours to weeks or even months by blocking the attacker's movements. Bu konudaki güvenlik önerilerini uygulamak, kuruluşunuzu mümkün olduğunca hızlı tespit etmek ve bunlara yanıt vermek için konumlandırır.Implementing the security recommendations in this topic position your organization to detect and respond to such attacks as fast as possible.

1. Bölüm: güvenli bir temel oluşturmaPart 1: Build a secure foundation

Aşağıdaki bölümlerde, ortamınızda Azure Stack HCı işletim sistemini çalıştıran sunucular için güvenli bir temel oluşturmaya yönelik güvenlik araçları ve teknolojileri önerilir.The following sections recommend security tools and technologies to build a secure foundation for the servers running the Azure Stack HCI operating system in your environment.

Ortamı sağlamlaştırınHarden the environment

Bu bölümde, işletim sisteminde çalışan hizmetlerin ve sanal makinelerin (VM 'Ler) nasıl korunduğu açıklanmaktadır:This section discusses how to protect services and virtual machines (VMs) running on the operating system:

  • Azure Stack HI sertifikalı donanım , kullanıma hazır olarak güvenli önyükleme, UEFı ve TPM ayarları sağlar.Azure Stack HCI certified hardware provides consistent Secure Boot, UEFI, and TPM settings out of the box. Sanallaştırma tabanlı güvenlik ve sertifikalı donanım birleştirme, güvenliğe duyarlı iş yüklerini korumanıza yardımcı olur.Combining virtualization-based security and certified hardware helps protect security-sensitive workloads. Ayrıca, bu güvenilir altyapıyı Azure Güvenlik Merkezi 'ne bağlanarak davranış analizlerini ve raporlamayı hızla değişen iş yüklerini ve tehditleri hesaba atayabilirsiniz.You can also connect this trusted infrastructure to Azure Security Center to activate behavioral analytics and reporting to account for rapidly changing workloads and threats.

    • Güvenli önyükleme , bir cihazın yalnızca özgün ekipman ÜRETICISI (OEM) tarafından güvenilen yazılımlar kullanılarak önyüklendiğinden emin olmak için bilgisayar sektörünün geliştirdiği bir güvenlik standardıdır.Secure boot is a security standard developed by the PC industry to help ensure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). Daha fazla bilgi için bkz. Güvenli önyükleme.To learn more, see Secure boot.
    • Birleşik Genişletilebilir Bellenim Arabirimi (UEFI) , sunucunun önyükleme işlemini denetler ve ardından denetimi Windows ya da başka bir işletim sistemine geçirir.United Extensible Firmware Interface (UEFI) controls the booting process of the server, and then passes control to either Windows or another operating system. Daha fazla bilgi için bkz. UEFI üretici yazılımı gereksinimleri.To learn more, see UEFI firmware requirements.
    • Güvenilir Platform Modülü (TPM) teknolojisi, donanım tabanlı ve güvenlikle ilgili işlevler sağlar.Trusted Platform Module (TPM) technology provides hardware-based, security-related functions. TPM yongası, şifreleme anahtarlarının kullanımını oluşturan, depolayan ve sınırlayan güvenli bir şifre işlemcisidir.A TPM chip is a secure crypto-processor that generates, stores, and limits the use of cryptographic keys. Daha fazla bilgi için bkz. Güvenilir Platform Modülü teknolojisine genel bakış.To learn more, see Trusted Platform Module Technology Overview.

    Azure Stack HCı sertifikalı donanım sağlayıcıları hakkında daha fazla bilgi edinmek için Azure Stack HCI çözümleri Web sitesine bakın.To learn more about Azure Stack HCI certified hardware providers, see the Azure Stack HCI solutions website.

  • Device Guard ve Credential Guard.Device Guard and Credential Guard. Device Guard, gizli olmayan imza, imzasız kod ve kötü amaçlı yazılım olmadan kötü amaçlı yazılımlara karşı koruma sağlar. Bu, hassas bilgileri yakalamak veya sisteme zarar vermek için çekirdeğe erişim sağlar.Device Guard protects against malware with no known signature, unsigned code, and malware that gains access to the kernel to either capture sensitive information or damage the system. Windows Defender Credential Guard, gizli dizileri yalnızca ayrıcalıklı sistem yazılımlarının erişebileceği şekilde yalıtmak için sanallaştırma tabanlı güvenlik kullanır.Windows Defender Credential Guard uses virtualization-based security to isolate secrets so that only privileged system software can access them.

    Daha fazla bilgi edinmek için bkz. Windows Defender Credential Guard 'ı yönetme ve Device Guard ve Credential Guard donanım hazırlığı aracı'nı indirme.To learn more, see Manage Windows Defender Credential Guard and download the Device Guard and Credential Guard hardware readiness tool.

  • Windows ve bellenim güncelleştirmeleri, kümeler, sunucular (konuk VM 'Ler dahil) ve bilgisayarların her ikisinin de işletim sisteminin ve sistem donanımının saldırganlar tarafından korunduğundan emin olmaya yardımcı olmak için gereklidir.Windows and firmware updates are essential on clusters, servers (including guest VMs), and PCs to help ensure that both the operating system and system hardware are protected from attackers. Ayrı sistemlere güncelleştirmeleri uygulamak için Windows Yönetim Merkezi güncelleştirmeler aracını kullanabilirsiniz.You can use the Windows Admin Center Updates tool to apply updates to individual systems. Donanım sağlayıcınız sürücü, bellenim ve çözüm güncelleştirmelerini almak için Windows Yönetim Merkezi desteği içeriyorsa, bu güncelleştirmeleri Windows güncelleştirmeleriyle aynı anda alabilir, aksi takdirde doğrudan satıcınızdan alabilirsiniz.If your hardware provider includes Windows Admin Center support for getting driver, firmware, and solution updates, you can get these updates at the same time as Windows updates, otherwise get them directly from your vendor.

    Daha fazla bilgi için bkz. kümeyi güncelleştirme.To learn more, see Update the cluster.

    Aynı anda birden çok küme ve sunucuda güncelleştirmeleri yönetmek için Windows Yönetim Merkezi ile tümleştirilmiş, isteğe bağlı Azure Güncelleştirme Yönetimi hizmetine abone olmayı düşünün.To manage updates on multiple clusters and servers at a time, consider subscribing to the optional Azure Update Management service, which is integrated with Windows Admin Center. Daha fazla bilgi için bkz. Windows Yönetim Merkezi 'ni kullanarak Azure güncelleştirme yönetimi.For more information, see Azure Update Management using Windows Admin Center.

Veri korumaProtect data

Bu bölümde, işletim sistemindeki verileri ve iş yüklerini korumak için Windows Yönetim Merkezi 'nin nasıl kullanılacağı anlatılmaktadır:This section discusses how to use Windows Admin Center to protect data and workloads on the operating system:

  • Depolama alanları Için BitLocker , bekleyen verileri korur.BitLocker for Storage Spaces protects data at rest. İşletim sistemindeki depolama alanları veri birimlerinin içeriğini şifrelemek için BitLocker 'ı kullanabilirsiniz.You can use BitLocker to encrypt the contents of Storage Spaces data volumes on the operating system. Verileri korumak için BitLocker kullanmak, kuruluşların FIPS 140-2 ve HIPAA gibi kamu, bölgesel ve sektöre özgü standartlarla uyumlu kalmasına yardımcı olabilir.Using BitLocker to protect data can help organizations stay compliant with government, regional, and industry-specific standards such as FIPS 140-2, and HIPAA.

    Windows Yönetim Merkezi 'nde BitLocker 'ı kullanma hakkında daha fazla bilgi için bkz. birim şifrelemeyi, Yinelenenleri kaldırmayı ve sıkıştırmayı etkinleştirmeTo learn more about using BitLocker in Windows Admin Center, see Enable volume encryption, deduplication, and compression

  • Windows ağ için SMB şifrelemesi, aktarım sırasında verileri korur.SMB encryption for Windows networking protects data in transit. Sunucu Ileti bloğu (SMB) , bir bilgisayardaki uygulamaların dosya okuyup yazmasına ve bir bilgisayar ağındaki sunucu programlarından hizmetler istemesine izin veren bir ağ dosya paylaşım protokolüdür.Server Message Block (SMB) is a network file sharing protocol that allows applications on a computer to read and write to files and to request services from server programs on a computer network.

    SMB şifrelemesini etkinleştirmek için bkz. SMB güvenlik geliştirmeleri.To enable SMB encryption, see SMB security enhancements.

  • Windows Yönetim Merkezi 'nde Windows Defender virüsten koruma , istemcileri ve sunucuları üzerindeki işletim sistemini virüsler, kötü amaçlı yazılım, casus yazılım ve diğer tehditlere karşı korur.Windows Defender Antivirus in Windows Admin Center protects the operating system on clients and servers against viruses, malware, spyware, and other threats. Daha fazla bilgi için bkz. Windows Server 2016 ve 2019 üzerinde Microsoft Defender virüsten koruma.To learn more, see Microsoft Defender Antivirus on Windows Server 2016 and 2019.

Kimlikleri korumaProtect identities

Bu bölümde, ayrıcalıklı kimlikleri korumak için Windows Yönetim Merkezi 'nin nasıl kullanılacağı anlatılmaktadır:This section discusses how to use Windows Admin Center to protect privileged identities:

  • Erişim denetimi , yönetim Yatayı güvenlik altına alabilir.Access control can improve the security of your management landscape. Windows Yönetim Merkezi sunucusunu (Windows 10 bilgisayarında çalışan) kullanıyorsanız, Windows Yönetim Merkezi 'ne iki düzeyde erişim denetimi yapabilirsiniz: ağ geçidi kullanıcıları ve ağ geçidi yöneticileri.If you're using a Windows Admin Center server (vs. running on a Windows 10 PC), you can control two levels of access to Windows Admin Center itself: gateway users and gateway administrators. Ağ Geçidi Yöneticisi kimlik sağlayıcısı seçenekleri şunlardır:Gateway administrator identity provider options include:

    • Akıllı kart kimlik doğrulamasını zorlamak için Active Directory veya yerel makine grupları.Active Directory or local machine groups to enforce smartcard authentication.
    • Koşullu erişim ve çok faktörlü kimlik doğrulamasını zorlamak için Azure Active Directory.Azure Active Directory to enforce conditional access and multifactor authentication.

    Daha fazla bilgi edinmek için bkz. Windows Yönetim Merkezi Ile Kullanıcı erişimi seçenekleri ve Kullanıcı Access Control ve izinlerini yapılandırma.To learn more, see User access options with Windows Admin Center and Configure User Access Control and Permissions.

  • Windows Yönetim merkezine tarayıcı TRAFIĞI HTTPS kullanır.Browser traffic to Windows Admin Center uses HTTPS. Windows Yönetim Merkezi 'nden yönetilen sunuculara giden trafik, Windows Uzaktan Yönetimi (WinRM) üzerinden standart PowerShell ve Windows Yönetim Araçları (WMI) kullanır.Traffic from Windows Admin Center to managed servers uses standard PowerShell and Windows Management Instrumentation (WMI) over Windows Remote Management (WinRM). Windows Yönetim Merkezi, yerel yönetici parolası çözümünü (LAPS), kaynak tabanlı kısıtlanmış temsilciyi, Active Directory (AD) veya Microsoft Azure Active Directory (Azure AD) kullanarak ağ geçidi erişim denetimini ve hedef sunucuları yönetmek için rol tabanlı erişim denetimi 'ni (RBAC) destekler.Windows Admin Center supports the Local Administrator Password Solution (LAPS), resource-based constrained delegation, gateway access control using Active Directory (AD) or Microsoft Azure Active Directory (Azure AD), and role-based access control (RBAC) for managing target servers.

    Windows Yönetim Merkezi, Windows 10 ' da Microsoft Edge (Windows 10, sürüm 1709 veya üzeri), Google Chrome ve Microsoft Edge Insider 'ı destekler.Windows Admin Center supports Microsoft Edge (Windows 10, version 1709 or later), Google Chrome, and Microsoft Edge Insider on Windows 10. Windows yönetici merkezini Windows 10 BILGISAYARıNA veya Windows Server 'a yükleyebilirsiniz.You can install Windows Admin Center on either a Windows 10 PC or a Windows server.

    Windows yönetici merkezini, ana bilgisayar sunucusu üzerinde kullanıcı arabirimi olmadan bir ağ geçidi olarak çalıştıran bir sunucuya yüklerseniz.If you install Windows Admin Center on a server it runs as a gateway, with no UI on the host server. Bu senaryoda Yöneticiler, konakta otomatik olarak imzalanan bir güvenlik sertifikasıyla güvenliği sağlanmış bir HTTPS oturumu aracılığıyla sunucuda oturum açabilir.In this scenario, administrators can log on to the server via an HTTPS session, secured by a self-signed security certificate on the host. Ancak, bağlantı, güvenilen bir VPN üzerinden yerel bir IP adresine olsa bile, desteklenen tarayıcılar otomatik olarak imzalanan bir bağlantıyı güvenli olmayan olarak kabul ettiğinden, oturum açma işlemi için güvenilir bir sertifika yetkilisinden uygun bir SSL sertifikası kullanmak daha iyidir.However, it's better to use an appropriate SSL certificate from a trusted certificate authority for the sign-on process, because supported browsers treat a self-signed connection as unsecure, even if the connection is to a local IP address over a trusted VPN.

    Kuruluşunuzun yükleme seçenekleri hakkında daha fazla bilgi edinmek için bkz. ne tür yükleme?.To learn more about installation options for your organization, see What type of installation is right for you?.

  • CredSSP , Windows Yönetim Merkezi 'nin, yönetmek üzere hedeflediğiniz belirli bir sunucunun dışındaki makinelere kimlik bilgilerini geçirmek için birkaç durumda kullandığı bir kimlik doğrulama sağlayıcısıdır.CredSSP is an authentication provider that Windows Admin Center uses in a few cases to pass credentials to machines beyond the specific server you are targeting to manage. Windows Yönetim Merkezi şu anda CredSSP 'yi gerektirir:Windows Admin Center currently requires CredSSP to:

    • Yeni bir küme oluşturun.Create a new cluster.
    • Yük Devretme Kümelemesi veya küme durumunu algılayan güncelleştirme özelliklerini kullanmak için güncelleştirmeler aracına erişin.Access the Updates tool to use either the Failover clustering or Cluster-Aware Updating features.
    • VM 'lerde toplanmış SMB depolamayı yönetin.Manage disaggregated SMB storage in VMs.

    Daha fazla bilgi edinmek için bkz. Windows Yönetim Merkezi CredSSP 'yi kullanıyor mu?To learn more, see Does Windows Admin Center use CredSSP?

  • Windows Yönetim Merkezi 'ndeki rol tabanlı erişim denetimi (RBAC) , kullanıcıların tam yerel Yöneticiler yapmak yerine, yönetmesi gereken sunuculara sınırlı erişimi sağlar.Role-based access control (RBAC) in Windows Admin Center allows users limited access to the servers they need to manage instead of making them full local administrators. Windows Yönetim Merkezi 'nde RBAC 'yi kullanmak için, her bir yönetilen sunucuyu yeterli yönetim uç noktası ile bir PowerShell ile yapılandırırsınız.To use RBAC in Windows Admin Center, you configure each managed server with a PowerShell Just Enough Administration endpoint.

    Daha fazla bilgi için bkz. rol tabanlı erişim denetimi ve yeterli yönetim.To learn more, see Role-based access control and Just Enough Administration.

  • Windows Yönetim Merkezi 'nde kimlikleri yönetmek ve korumak için kullanabileceğiniz güvenlik araçları , Active Directory, sertifikalar, güvenlik duvarı, yerel kullanıcılar ve gruplar ve daha fazlasını içerir.Security tools in Windows Admin Center that you can use to manage and protect identities include Active Directory, Certificates, Firewall, Local Users and Groups, and more.

    Daha fazla bilgi için bkz. Windows Yönetim Merkezi Ile sunucuları yönetme.To learn more, see Manage Servers with Windows Admin Center.

2. Bölüm: Azure Güvenlik Merkezi 'Ni kullanmaPart 2: Use Azure Security Center

Azure Güvenlik Merkezi , veri merkezlerinizin güvenlik duruşunu güçlendirir ve bulutta ve şirket içinde hibrit iş yükleriniz genelinde gelişmiş tehdit koruması sağlayan Birleşik bir altyapı güvenliği yönetim sistemidir.Azure Security Center is a unified infrastructure security management system that strengthens the security posture of your data centers, and provides advanced threat protection across your hybrid workloads in the cloud and on premises. Güvenlik Merkezi, ağınızın güvenlik durumunu değerlendirmek, iş yüklerini korumak, güvenlik uyarıları yükseltmek ve saldırıları düzeltmek ve gelecekteki tehditleri çözmek için belirli önerileri izlemek üzere araçlar sağlar.Security Center provides you with tools to assess the security status of your network, protect workloads, raise security alerts, and follow specific recommendations to remediate attacks and address future threats. Güvenlik Merkezi, Azure hizmetleriyle otomatik sağlama ve koruma aracılığıyla dağıtım yükü olmadan bu hizmetlerin tümünü bulutta yüksek hızda gerçekleştirir.Security Center performs all of these services at high speed in the cloud with no deployment overhead through auto-provisioning and protection with Azure services.

Güvenlik Merkezi, bu kaynaklara Log Analytics aracısını yükleyerek hem Windows Server hem de Linux sunucuları için sanal makineleri korur.Security Center protects VMs for both Windows servers and Linux servers by installing the Log Analytics agent on these resources. Azure, aracıların iş yüklerinizi güvenli hale getirmek için gerçekleştirdiğiniz öneriler (görevleri sağlamlaştırma) halinde toplar.Azure correlates events that the agents collect into recommendations (hardening tasks) that you perform to make your workloads secure. En iyi güvenlik uygulamalarına göre sağlamlaştırma görevleri, güvenlik ilkelerini yönetmeyi ve zorlamayı içerir.The hardening tasks based on security best practices include managing and enforcing security policies. Böylece sonuçları izleyebilir ve uyumluluk ve idare düzeyini Güvenlik Merkezi izleme aracılığıyla zaman içinde yönetebilir ve tüm kaynaklarınızın içindeki saldırı yüzeyini azaltabilirsiniz.You can then track the results and manage compliance and governance over time through Security Center monitoring while reducing the attack surface across all of your resources.

Azure kaynaklarınıza ve aboneliklerinize kimlerin erişebileceğini yönetmek, Azure yönetim stratejinizin önemli bir parçasını oluşturur.Managing who can access your Azure resources and subscriptions is an important part of your Azure governance strategy. Azure rol temelli erişim denetimi (RBAC), Azure’da erişimi yönetmenin birincil yöntemidir.Azure role-based access control (RBAC) is the primary method of managing access in Azure. Daha fazla bilgi edinmek için bkz. rol tabanlı erişim denetimi Ile Azure ortamınıza erişimi yönetme.To learn more, see Manage access to your Azure environment with role-based access control.

Windows Yönetim Merkezi ile güvenlik merkezi ile çalışma, bir Azure aboneliği gerektirir.Working with Security Center through Windows Admin Center requires an Azure subscription. Başlamak için bkz. Azure Güvenlik Merkezi 'Ni Windows Yönetim Merkezi Ile tümleştirme.To get started, see Integrate Azure Security Center with Windows Admin Center.

Kaydolduktan sonra, Windows Yönetim Merkezi 'nde Güvenlik Merkezi 'ne erişin: tüm bağlantılar sayfasında bir sunucu veya VM seçin, Araçlaraltında Azure Güvenlik Merkezi' ni seçin ve ardından Azure 'da oturum aç' ı seçin.After registering, access Security Center in Windows Admin Center: On the All Connections page, select a server or VM, under Tools, select Azure Security Center, and then select Sign into Azure.

Daha fazla bilgi edinmek için bkz. Azure Güvenlik Merkezi nedir?To learn more, see What is Azure Security Center?

3. kısım: Gelişmiş güvenlik eklemePart 3: Add advanced security

Aşağıdaki bölümlerde, ortamınızda Azure Stack HCı işletim sistemini çalıştıran sunucuların daha fazla güvenliğini sağlamak için gelişmiş güvenlik araçları ve teknolojileri önerilir.The following sections recommend advanced security tools and technologies to further harden servers running the Azure Stack HCI operating system in your environment.

Ortamı sağlamlaştırınHarden the environment

  • Microsoft güvenlik temelleri , Microsoft 'un ticari kuruluşlar ve ABD devlet, Savunma Bakanlığı gibi iş ortaklığı aracılığıyla elde edilen güvenlik önerilerini temel alır.Microsoft security baselines are based on security recommendations from Microsoft obtained through partnership with commercial organizations and the US government, such as the Department of Defense. Güvenlik temelleri Windows Güvenlik Duvarı, Windows Defender ve diğer birçok için önerilen güvenlik ayarlarını içerir.The security baselines include recommended security settings for Windows Firewall, Windows Defender, and many others.

    Güvenlik temelleri, Active Directory Domain Services (AD DS) içeri aktarabileceğiniz grup ilkesi nesne (GPO) yedeklemeleri olarak sağlanır ve sonra ortama zarar vermek için etki alanına katılmış sunuculara dağıtabilirsiniz.The security baselines are provided as Group Policy Object (GPO) backups that you can import into Active Directory Domain Services (AD DS), and then deploy to domain-joined servers to harden the environment. Ayrıca, güvenlik temellerine sahip tek başına (etki alanına katılmış olmayan) sunucular yapılandırmak için yerel betik araçları 'nı kullanabilirsiniz.You can also use Local Script tools to configure standalone (non domain-joined) servers with security baselines. Güvenlik temellerini kullanmaya başlamak için Microsoft Güvenlik uyumluluk araç seti 1,0' i indirin.To get started using the security baselines, download the Microsoft Security Compliance Toolkit 1.0.

    Daha fazla bilgi için bkz. Microsoft güvenlik temelleri.To learn more, see Microsoft Security Baselines.

Veri korumaProtect data

  • Hyper-V ortamının sağlamlaştırma, fiziksel bir sunucuda çalışan işletim sistemini çok fazla olacak şekilde, bir VM üzerinde çalışan Windows Server 'ı sağlamlaştırma gerektirir.Hardening the Hyper-V environment requires hardening Windows Server running on a VM just as you would harden the operating system running on a physical server. Sanal ortamlar genellikle aynı fiziksel ana bilgisayarı paylaşan birden çok VM 'ye sahip olduğu için, hem fiziksel konağın hem de üzerinde çalışan VM 'Lerin korunması zorunludur.Because virtual environments typically have multiple VMs sharing the same physical host, it is imperative to protect both the physical host and the VMs running on it. Bir konağı kapatan bir saldırgan, iş yükleri ve hizmetler üzerinde daha fazla etkisi olan birden çok VM 'yi etkileyebilir.An attacker who compromises a host can affect multiple VMs with a greater impact on workloads and services. Bu bölümde, Windows Server 'ı bir Hyper-V ortamında kullanmak için kullanabileceğiniz aşağıdaki yöntemler açıklanmaktadır:This section discusses the following methods that you can use to harden Windows Server in a Hyper-V environment:

    • Korunan yapı ve korumalı VM 'ler , saldırganların VM dosyalarını değiştirmesini önleyecek şekilde Hyper-V ortamlarında çalışan VM 'lerin güvenliğini güçlendirin.Guarded fabric and shielded VMs strengthen the security for VMs running in Hyper-V environments by preventing attackers from modifying VM files. Korunan bir yapı , genellikle üç düğüm kümesi, bir veya daha fazla korunan konak ve bir dizi korumalı VM olan bir konak koruyucu HIZMETINDEN (HGS) oluşur.A guarded fabric consists of a Host Guardian Service (HGS) that is typically a cluster of three nodes, one or more guarded hosts, and a set of shielded VMs. Kanıtlama hizmeti, ana bilgisayar isteklerinin geçerliliğini değerlendirir, anahtar koruma hizmeti korunan konakların korumalı VM 'yi başlatmak için kullanabileceği anahtarların serbest bırakılıp başlatılmayacağını belirler.The Attestation Service evaluates the validity of hosts requests, while the Key Protection Service determines whether to release keys that the guarded hosts can use to start the shielded VM.

      Daha fazla bilgi edinmek için bkz. korunan yapı ve korumalı VM 'lere genel bakış.To learn more, see Guarded fabric and shielded VMs overview.

    • Windows Server 'daki sanal Güvenilir Platform Modülü (vTPM) , VM 'lerde BitLocker gibi gelişmiş güvenlik teknolojilerini kullanmanıza olanak sağlayan VM 'ler için TPM 'yi destekler.Virtual Trusted Platform Module (vTPM) in Windows Server supports TPM for VMs, which lets you use advanced security technologies, such as BitLocker in VMs. Hyper-V Yöneticisi veya Enable-VMTPM Windows PowerShell cmdlet 'ini kullanarak, 2. nesil Hyper-v sanal MAKINESINDE TPM desteğini etkinleştirebilirsiniz.You can enable TPM support on any Generation 2 Hyper-V VM by using either Hyper-V Manager or the Enable-VMTPM Windows PowerShell cmdlet.

      Daha fazla bilgi için bkz. Enable-VMTPM.To learn more, see Enable-VMTPM.

    • Azure Stack HCı ve Windows Server 'daki yazılım tanımlı ağ (SDN) , veri merkezinizdeki yönlendiriciler, anahtarlar ve ağ geçitleri gibi fiziksel ve sanal ağ cihazlarını merkezi olarak yapılandırır ve yönetir.Software Defined Networking (SDN) in Azure Stack HCI and Windows Server centrally configures and manages physical and virtual network devices, such as routers, switches, and gateways in your datacenter. Hyper-V sanal anahtarı, Hyper-V ağ sanallaştırma ve RAS ağ geçidi gibi sanal ağ öğeleri, SDN altyapınızın tamsayı öğeleri olacak şekilde tasarlanmıştır.Virtual network elements, such as Hyper-V Virtual Switch, Hyper-V Network Virtualization, and RAS Gateway are designed to be integral elements of your SDN infrastructure.

      Daha fazla bilgi için bkz. yazılım tanımlı ağ (SDN).To learn more, see Software Defined Networking (SDN).

Kimlikleri korumaProtect identities

  • Yerel yönetici parolası çözümü (LAPS) , her bilgisayarın yerel yönetici hesabı parolasını yeni bir rastgele ve benzersiz bir değere düzenli olarak ayarlayan Active Directory etki alanına katılmış sistemler için hafif bir mekanizmadır.Local Administrator Password Solution (LAPS) is a lightweight mechanism for Active Directory domain-joined systems that periodically sets each computer’s local admin account password to a new random and unique value. Parolalar, yalnızca özellikle yetkili kullanıcıların bunları alabileceği Active Directory ilgili bilgisayar nesnesi üzerinde güvenli bir gizli bir öznitelikte saklanır.Passwords are stored in a secured confidential attribute on the corresponding computer object in Active Directory, where only specifically-authorized users can retrieve them. LAPS, uzak bilgisayar yönetimi için yerel hesapları, etki alanı hesaplarının kullanılmasıyla ilgili bazı avantajlar sunan bir şekilde kullanır.LAPS uses local accounts for remote computer management in a way that offers some advantages over using domain accounts. Daha fazla bilgi edinmek için bkz. yerel hesapların uzak kullanımı: LAPS her şeyi değiştiriyor.To learn more, see Remote Use of Local Accounts: LAPS Changes Everything.

    LAPS 'yi kullanmaya başlamak için, yerel yönetici parolası çözümünü (LAPS)indirin.To get started using LAPS, download Local Administrator Password Solution (LAPS).

  • Microsoft Advanced Threat Analytics (ata) , saldırganların ayrıcalıklı kimlikleri tehlikeye almaya çalışan saldırganların algılanmasına yardımcı olmak için kullanabileceğiniz şirket içi bir üründür.Microsoft Advanced Threat Analytics (ATA) is an on-premises product that you can use to help detect attackers attempting to compromise privileged identities. ATA, Kerberos ve DNS gibi kimlik doğrulama, yetkilendirme ve bilgi toplama protokolleri için ağ trafiğini ayrıştırır.ATA parses network traffic for authentication, authorization, and information gathering protocols, such as Kerberos and DNS. ATA, anomali ve bilinen saldırı düzenlerini algılamak için ağ üzerindeki kullanıcı ve diğer varlıkların davranış profillerini oluşturmak üzere verileri kullanır.ATA uses the data to build behavioral profiles of users and other entities on the network to detect anomalies and known attack patterns.

    Daha fazla bilgi edinmek için bkz. Advanced Threat Analytics nedir?.To learn more, see What is Advanced Threat Analytics?.

  • Windows Defender uzak Credential Guard , Kerberos isteklerini bağlantı isteyen cihaza yeniden yönlendirerek Uzak Masaüstü bağlantısı üzerinden kimlik bilgilerini korur.Windows Defender Remote Credential Guard protects credentials over a Remote Desktop connection by redirecting Kerberos requests back to the device that's requesting the connection. Ayrıca, uzak masaüstü oturumları için çoklu oturum açma (SSO) sağlar.It also provides single sign-on (SSO) for Remote Desktop sessions. Uzak Masaüstü oturumu sırasında, hedef cihazın güvenliği tehlikeye geçtiğinde kimlik bilgileriniz gösterilmez çünkü hem kimlik bilgileri hem de kimlik bilgisi açıklatlar hiçbir şekilde ağ üzerinden hedef cihaza geçirilmez.During a Remote Desktop session, if the target device is compromised, your credentials are not exposed because both credential and credential derivatives are never passed over the network to the target device.

    Daha fazla bilgi için bkz. Windows Defender Credential Guard 'ı yönetme.To learn more, see Manage Windows Defender Credential Guard.

Sonraki adımlarNext steps

Güvenlik ve mevzuat uyumluluğu hakkında daha fazla bilgi için Ayrıca bkz:For more information on security and regulatory compliance, see also: