Tam zamanında erişim ile yönetim bağlantı noktalarınızın güvenliğini sağlama

Bulut için Microsoft Defender 'daki sanal makinelerinizden JıT 'i etkinleştirin

Defender for Cloud 'dan JıT VM erişimini etkinleştirebilir ve yapılandırabilirsiniz.

1. Iş yükü korumaları panosunu açın ve gelişmiş koruma alanından tam zamanında VM erişimi' ni seçin.

   Tam ZAMANıNDA VM erişimi sayfası, VM 'leriniz aşağıdaki sekmelerde gruplandırılarak açılır:

   • Yapılandırıldı -tam zamanında VM erişimini destekleyecek şekilde yapılandırılmış VM 'ler. Her VM için, yapılandırılan sekmede şunları gösterir:
     • Son yedi gündeki onaylanan JıT isteği sayısı
     • son erişim tarihi ve saati
     • Bağlantı ayrıntıları yapılandırıldı
     • Son Kullanıcı
   • Yapılandırılmadı -JIT etkin olmayan VM 'ler, ancak JIT desteği sağlayabilir. Bu VM 'Ler için JıT 'i etkinleştirmenizi öneririz.
   • Desteklenmeyen -JIT etkin olmayan ve özelliği desteklemeyen VM 'ler. VM 'niz aşağıdaki nedenlerle bu sekmede olabilir:
     • Eksik ağ güvenlik grubu (NSG) veya Azure Güvenlik Duvarı-JıT, bir NSG 'nin yapılandırılmasını veya bir güvenlik duvarı yapılandırmasını (veya her ikisini de) gerektirir
     • Klasik VM-JıT, ' klasik dağıtım ' değil Azure Resource Manager aracılığıyla dağıtılan VM 'Leri destekler. Klasik vs Azure Resource Manager dağıtım modelleri hakkında daha fazla bilgi edinin.
     • Diğer-VM 'Niz, aboneliğin veya kaynak grubunun güvenlik ilkesinde devre dışı bırakılmışsa Bu sekmede olabilir.

2. Yapılandırılmadı SEKMESINDE, JIT Ile korunacak VM 'leri Işaretleyin ve VM 'Lerde JIT 'i etkinleştir' i seçin.

   JıT VM erişimi sayfası açılır ve bu, Defender 'ın bulut için kullandığı bağlantı noktalarının korunmasını öneriyor:

   • 22-SSH
   • 3389-RDP
   • 5985-WinRM
   • 5986-WinRM

   Varsayılan ayarları kabul etmek için Kaydet' i seçin.

3. JıT seçeneklerini özelleştirmek için:

   • Ekle düğmesine sahip özel bağlantı noktaları ekleyin.
   • Listeden seçerek varsayılan bağlantı noktalarından birini değiştirin.

   Her bağlantı noktası için (özel ve varsayılan) bağlantı noktası yapılandırması Ekle bölmesi aşağıdaki seçenekleri sunar:

   • Protokol-bir istek onaylandığında bu bağlantı noktasında izin verilen protokol
   • Izin verilen kaynak IP 'leri-bir istek onaylandığında bu bağlantı noktasında ızın verilen IP aralıkları
   • En fazla istek süresi-belirli bir bağlantı noktasının açılabileceği en uzun zaman penceresi

   1. Bağlantı noktası güvenliğini gereksinimlerinize göre ayarlayın.

   2. Tamam’ı seçin.

4. Kaydet’i seçin.

Bulut için Defender 'ı kullanarak JıT özellikli bir VM 'de JıT yapılandırmasını düzenleme

Bu VM için koruma için yeni bir bağlantı noktası ekleyip yapılandırarak veya zaten korumalı bir bağlantı noktasıyla ilgili diğer ayarları değiştirerek bir sanal makinenin tam zamanında yapılandırmasını değiştirebilirsiniz.

Bir VM için mevcut JıT kurallarını düzenlemek için:

1. Iş yükü korumaları panosunu açın ve gelişmiş koruma alanından tam zamanında VM erişimi' ni seçin.

2. Yapılandırılmış sekmesinden, bağlantı noktası eklemek istediğiniz sanal makineye sağ tıklayın ve Düzenle ' yi seçin.

   

3. JıT VM erişimi yapılandırması altında, zaten korumalı bir bağlantı noktasının var olan ayarlarını düzenleyebilir ya da yeni bir özel bağlantı noktası ekleyebilirsiniz.

4. Bağlantı noktalarını düzenledikten sonra Kaydet' i seçin.

Azure sanal makinelerinizdeki VM 'leriniz üzerinde JıT 'i etkinleştirin

Azure portal Azure sanal makineler sayfalarından bir VM 'de JıT 'i etkinleştirebilirsiniz.

1. Azure Portal, sanal makineleri arayıp seçin.

2. JıT ile korumak istediğiniz sanal makineyi seçin.

3. Menüde yapılandırma' yı seçin.

4. Tam zamanında erişim altında, tam zamanında etkinleştir' i seçin.

   Bu, aşağıdaki varsayılan ayarları kullanarak VM için tam zamanında erişim imkanı sunar:

   • Windows makineler:
     • RDP bağlantı noktası 3389
     • İzin verilen en fazla üç saat
     • İzin verilen kaynak IP adresleri any olarak ayarlandı
   • Linux makineleri:
     • SSH bağlantı noktası 22
     • İzin verilen en fazla üç saat
     • İzin verilen kaynak IP adresleri any olarak ayarlandı

5. Bu değerlerden herhangi birini düzenlemek veya JıT yapılandırmanıza daha fazla bağlantı noktası eklemek için, Microsoft Defender 'ı bulutun tam zamanında sayfasında kullanın:

   1. Bulut için Defender menüsünde, tam ZAMANıNDA VM erişimi' ni seçin.

   2. Yapılandırılmış sekmesinden, bağlantı noktası eklemek istediğiniz sanal makineye sağ tıklayın ve Düzenle ' yi seçin.

      

   3. JıT VM erişimi yapılandırması altında, zaten korumalı bir bağlantı noktasının var olan ayarlarını düzenleyebilir ya da yeni bir özel bağlantı noktası ekleyebilirsiniz.

   4. Bağlantı noktalarını düzenledikten sonra Kaydet' i seçin.

PowerShell kullanarak VM'lerinizde JIT'yi etkinleştirme

PowerShell 'den tam zamanında VM erişimini etkinleştirmek için, Cloud PowerShell cmdlet 'ini kullanarak resmi Microsoft Defender 'ı kullanın Set-AzJitNetworkAccessPolicy .

Örnek -aşağıdaki kurallara sahip belırlı bir sanal makinede tam zamanında VM erişimini etkinleştirin:

• Bağlantı noktalarını kapat 22 ve 3389
• Her biri için en fazla 3 saat, her bir onaylanan istek için açılabilecekleri bir zaman penceresi ayarlayın
• Kaynak IP adreslerini denetlemek için erişim isteyen kullanıcıya izin ver
• Erişim isteyen kullanıcının onaylanan bir tam zamanında erişim isteği üzerinde başarılı bir oturum kurmasını sağlar

Aşağıdaki PowerShell komutları bu JıT yapılandırmasını oluşturur:

1. Bir VM için tam zamanında VM erişim kurallarını tutan bir değişken atayın:

   $JitPolicy = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
            number=22;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"},
            @{
            number=3389;
            protocol="*";
            allowedSourceAddressPrefix=@("*");
            maxRequestAccessDuration="PT3H"})})
   

2. VM 'nin tam zamanında VM erişim kurallarını bir diziye ekleyin:

   $JitPolicyArr=@($JitPolicy)
   

3. Seçilen VM 'de tam zamanında VM erişim kurallarını yapılandırın:

   Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
   

   VM belirtmek için-name parametresini kullanın. Örneğin, VM1 ve VM2 olmak üzere iki farklı VM için JıT yapılandırması oluşturmak için: Set-AzJitNetworkAccessPolicy -Name VM1 ve kullanın Set-AzJitNetworkAccessPolicy -Name VM2 .

REST API kullanarak sanal makinelerinizdeki JıT 'i etkinleştirin

Tam zamanında VM erişimi özelliği, Cloud API için Microsoft Defender aracılığıyla kullanılabilir. Yapılandırılan VM 'Ler hakkında bilgi almak, yenilerini eklemek, bir VM 'ye erişim istemek ve daha fazlasını yapmak için bu API 'yi kullanın.

JIT ağ erişim ilkelerihakkında daha fazla bilgi edinin.

Bulut için Microsoft Defender 'dan JıT özellikli bir VM 'ye erişim isteme

Bir sanal makinede JıT etkin olduğunda, bu sunucuya bağlanmak için erişim istemeniz gerekir. JıT 'i etkinleştirmenizin ne olursa olsun, desteklenen yollarla erişim isteğinde buluntırabilirsiniz.

1. Tam ZAMANıNDA VM erişimi sayfasında, yapılandırılan sekmesini seçin.

2. Erişmek istediğiniz VM 'Leri işaretleyin.

   • Bağlantı ayrıntıları sütunundaki simge, ağ güvenlik grubunda veya GÜVENLIK duvarında JIT özelliğinin etkin olup olmadığını gösterir. Her ikisinde de etkinse yalnızca güvenlik duvarı simgesi görüntülenir.

   • Bağlantı ayrıntıları sütunu, VM 'yi bağlamak için gereken bilgileri ve açık bağlantı noktalarını sağlar.

3. Erişim iste' yi seçin. Erişim iste penceresi açılır.

4. Erişim iste, her VM için, açmak istediğiniz bağlantı noktalarını ve bağlantı noktasının açık olduğu kaynak IP adreslerini ve bağlantı noktasının açılacağı zaman penceresini yapılandırın. Yalnızca yapılandırılan bağlantı noktalarına erişim istemek mümkün olacaktır. Her bağlantı noktasının, oluşturduğunuz JıT yapılandırmasından elde edilen izin verilen en uzun süre vardır.

5. Açık bağlantı noktaları' nı seçin.

Azure sanal makinesinin Connect sayfasından JıT özellikli bir VM 'ye erişim isteme

Bir sanal makinede JıT etkin olduğunda, bu sunucuya bağlanmak için erişim istemeniz gerekir. JıT 'i etkinleştirmenizin ne olursa olsun, desteklenen yollarla erişim isteğinde buluntırabilirsiniz.

Azure sanal makinelerinden erişim istemek için:

1. Azure portal, sanal makineler sayfalarını açın.

2. bağlanmak istediğiniz VM 'yi seçin ve Bağlan sayfasını açın.

   Azure, bu VM üzerinde JıT özelliğinin etkin olup olmadığını denetler.

   • VM için JıT etkinleştirilmemişse, etkinleştirmeniz istenir.

   • JıT 'in etkin olması durumunda, istenen IP, zaman aralığı ve bu VM için yapılandırılmış bağlantı noktalarıyla erişim isteği geçirmek için erişim iste ' yi seçin.

PowerShell kullanarak JIT özellikli VM'ye erişim isteme

Aşağıdaki örnekte, belirli bir IP adresi ve belirli bir süre için, bağlantı noktası 22 ' nin açılabileceği belirli bir sanal makineye tam zamanında VM erişimi isteği görebilirsiniz:

PowerShell 'de aşağıdakileri çalıştırın:

1. VM isteği erişim özelliklerini yapılandırın:

   $JitPolicyVm1 = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
          number=22;
          endTimeUtc="2020-07-15T17:00:00.3658798Z";
          allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
   

2. VM erişim isteği parametrelerini bir diziye ekleyin:

   $JitPolicyArr=@($JitPolicyVm1)
   

3. İstek erişimini gönderin (1. adımdan kaynak KIMLIĞINI kullanın)

   Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
   

PowerShell cmdlet belgelerindedaha fazla bilgi edinin.

REST API kullanarak JıT özellikli bir VM 'ye erişim isteme

Tam zamanında VM erişimi özelliği, Cloud API için Microsoft Defender aracılığıyla kullanılabilir. Yapılandırılan VM 'Ler hakkında bilgi almak, yenilerini eklemek, bir VM 'ye erişim istemek ve daha fazlasını yapmak için bu API 'yi kullanın.

JIT ağ erişim ilkelerihakkında daha fazla bilgi edinin.