Důležité informace o zabezpečení služby Azure Stack HCI

Platí pro: Azure Stack HCI, verze 21H2 a 20H2; Windows Server 2022, Windows Server 2019

Toto téma obsahuje aspekty zabezpečení a doporučení související s operačním systémem Azure Stack HCI:

  • Část 1 popisuje základní nástroje a technologie zabezpečení pro posílení operačního systému a ochranu dat a identit za účelem efektivního vytvoření zabezpečeného základu pro vaši organizaci.
  • Část 2 se zabývá prostředky dostupnými prostřednictvím Azure Security Center.
  • Část 3 se zabývá pokročilejšími aspekty zabezpečení pro další posílení stavu zabezpečení vaší organizace v těchto oblastech.

Proč jsou důležité důležité aspekty zabezpečení?

Zabezpečení ovlivňuje všechny uživatele ve vaší organizaci od správy nejvyšší úrovně až po informační pracovníky. Nedostatečné zabezpečení je skutečným rizikem pro organizace, protože narušení zabezpečení může potenciálně narušit všechny normální podnikání a zastavit vaši organizaci. Čím dříve můžete detekovat potenciální útok, tím rychleji můžete zmírnit případné ohrožení zabezpečení.

Po prozkoumání slabých bodů prostředí, které je zneužije, může útočník obvykle do 24 až 48 hodin od počátečního ohrožení eskalovat oprávnění k převzetí kontroly systémů v síti. Dobrá bezpečnostní opatření ztěžují systémy v prostředí, aby rozšířily dobu, po kterou útočník může potenciálně převzít kontrolu od hodin po týdny nebo dokonce měsíce tím, že blokuje pohyb útočníka. Implementace doporučení zabezpečení v tomto tématu umístěte vaši organizaci k detekci a reakci na takové útoky co nejrychleji.

Část 1: Vytvoření zabezpečeného základu

Následující části doporučují nástroje a technologie zabezpečení k vytvoření zabezpečeného základu pro servery s operačním systémem Azure Stack HCI ve vašem prostředí.

Posílení zabezpečení prostředí

Tato část popisuje, jak chránit služby a virtuální počítače spuštěné v operačním systému:

  • Certifikovaný hardware Azure Stack HCI poskytuje konzistentní nastavení zabezpečeného spouštění, UEFI a TPM. Kombinace zabezpečení založeného na virtualizaci a certifikovaného hardwaru pomáhá chránit úlohy citlivé na zabezpečení. Tuto důvěryhodnou infrastrukturu můžete také připojit k Azure Security Center k aktivaci analýzy chování a vytváření sestav, abyste mohli rychle měnit úlohy a hrozby.

    • Zabezpečené spouštění je standardní zabezpečení vyvinuté v odvětví pc, které pomáhá zajistit, aby zařízení používalo pouze software, který je důvěryhodný výrobcem OEM (Original Equipment Manufacturer). Další informace najdete v tématu Zabezpečené spouštění.
    • United Extensible Firmware Interface (UEFI) řídí proces spouštění serveru a pak předává řízení Windows nebo jinému operačnímu systému. Další informace najdete v požadavcích na firmware UEFI.
    • Technologie TPM (Trusted Platform Module) poskytuje hardwarové funkce související se zabezpečením. Čip TPM je zabezpečený kryptografický procesor, který generuje, ukládá a omezuje použití kryptografických klíčů. Další informace najdete v tématu Přehled technologie trusted Platform Module.

    Další informace o certifikovaných poskytovatelech hardwaru služby Azure Stack HCI najdete na webu řešení Azure Stack HCI .

  • Nástroj Zabezpečení je k dispozici nativně v Windows Admin Center pro clustery s jedním serverem i clustery Azure Stack HCI, které usnadňují správu zabezpečení a kontrolu. Nástroj centralizuje některá klíčová nastavení zabezpečení pro servery a clustery, včetně možnosti zobrazit stav zabezpečeného jádra systémů.

    Další informace najdete v tématu Zabezpečený server jádra.

  • Device Guard a Credential Guard. Device Guard chrání před malwarem bez známého podpisu, nepodepsaného kódu a malwaru, který získá přístup k jádru za účelem zachycení citlivých informací nebo poškození systému. Ochrana Credential Guard v programu Windows Defender používá zabezpečení založené na virtualizaci k izolaci tajných kódů, aby k nim měl přístup pouze privilegovaný systémový software.

    Další informace najdete v tématu Správa Ochrana Credential Guard v programu Windows Defender a stažení nástroje Pro připravenost hardwaru Device Guard a Credential Guard.

  • aktualizace Windows a firmwaru jsou nezbytné pro clustery, servery (včetně hostujících virtuálních počítačů) a počítače, které pomáhají zajistit ochranu operačního systému i systémového hardwaru před útočníky. Pomocí nástroje Windows Admin Center Aktualizace můžete použít aktualizace jednotlivých systémů. Pokud váš poskytovatel hardwaru obsahuje podporu Windows Admin Center získání aktualizací ovladačů, firmwaru a řešení, můžete tyto aktualizace získat současně s aktualizacemi Windows, jinak je získejte přímo od dodavatele.

    Další informace najdete v tématu Aktualizace clusteru.

    Pokud chcete spravovat aktualizace na více clusterech a serverech najednou, zvažte přihlášení k odběru volitelné služby Azure Update Management, která je integrovaná s Windows Admin Center. Další informace najdete v tématu Azure Update Management pomocí Windows Admin Center.

Ochrana dat

Tato část popisuje, jak používat Windows Admin Center k ochraně dat a úloh v operačním systému:

  • BitLocker pro Prostory úložiště chrání neaktivní uložená data. BitLocker můžete použít k šifrování obsahu Prostory úložiště datových svazků v operačním systému. Použití BitLockeru k ochraně dat může organizacím pomoct zůstat v souladu se standardy pro státní správu, regionální a oborové standardy, jako jsou FIPS 140–2 a HIPAA.

    Další informace o používání Nástroje BitLocker v Windows Admin Center najdete v tématu Povolení šifrování svazku, odstranění duplicitních dat a komprese.

  • Šifrování SMB pro Windows sítě chrání přenášená data. Server Message Block (SMB) je protokol pro sdílení souborů sítě, který aplikacím v počítači umožňuje číst a zapisovat do souborů a požadovat služby ze serverových programů v počítačové síti.

    Pokud chcete povolit šifrování SMB, přečtěte si téma Vylepšení zabezpečení protokolu SMB.

  • Antivirová ochrana v programu Windows Defender v Windows Admin Center chrání operační systém na klientech a serverech před viry, malwarem, spywarem a dalšími hrozbami. Další informace najdete v tématu Antivirová ochrana v programu Microsoft Defender o Windows Server 2016 a 2019.

Ochrana identit

Tato část popisuje, jak používat Windows Admin Center k ochraně privilegovaných identit:

  • Řízení přístupu může zlepšit zabezpečení vaší správy na šířku. Pokud používáte Windows Admin Center server (vs. spuštěný na počítači Windows 10), můžete řídit dvě úrovně přístupu k Windows Admin Center samotnému: uživatelům brány a správcům bran. Mezi možnosti zprostředkovatele identity správce brány patří:

    • Skupiny active directory nebo místních počítačů pro vynucení ověřování čipové karty
    • Azure Active Directory k vynucení podmíněného přístupu a vícefaktorového ověřování.

    Další informace najdete v tématu Možnosti přístupu uživatelů s Windows Admin Center a konfigurací Access Control a oprávnění uživatele.

  • Provoz prohlížeče do Windows Admin Center používá PROTOKOL HTTPS. Provoz z Windows Admin Center na spravované servery používá standardní Prostředí PowerShell a rozhraní WMI (Windows Management Instrumentation) přes vzdálenou správu Windows (WinRM). Windows Admin Center podporuje řešení pro hesla místního správce (LAPS), omezené delegování na základě prostředků, řízení přístupu k bráně pomocí služby Active Directory (AD) nebo Microsoft Azure Active Directory (Azure AD) a řízení přístupu na základě role (RBAC) pro správu Windows Admin Center bránu.

    Windows Admin Center podporuje Microsoft Edge (Windows 10 verze 1709 nebo novější), Google Chrome a Microsoft Edge Insider na Windows 10. Windows Admin Center můžete nainstalovat na počítač Windows 10 nebo na server Windows.

    Pokud nainstalujete Windows Admin Center na server, který běží jako brána, bez uživatelského rozhraní na hostitelském serveru. V tomto scénáři se správci můžou k serveru přihlásit prostřednictvím relace HTTPS zabezpečeného certifikátem zabezpečení podepsaného svým držitelem na hostiteli. Je ale lepší použít vhodný certifikát SSL od důvěryhodné certifikační autority pro proces přihlašování, protože podporované prohlížeče zacházejí s připojením podepsaným svým držitelem jako nezabezpečené, i když je připojení k místní IP adrese přes důvěryhodnou síť VPN.

    Další informace o možnostech instalace pro vaši organizaci najdete v tématu Jaký typ instalace je pro vás nejvhodnější?

  • CredSSP je zprostředkovatel ověřování, který Windows Admin Center používá v několika případech k předávání přihlašovacích údajů počítačům mimo konkrétní server, na který cílíte ke správě. Windows Admin Center v současné době vyžaduje CredSSP:

    • Vytvořte nový cluster.
    • Přístup k nástroji Aktualizace pro použití clusteringu s podporou převzetí služeb při selhání nebo Cluster-Aware funkce aktualizace.
    • Správa disagregovaného úložiště SMB ve virtuálních počítačích

    Další informace najdete v tématu Windows Admin Center použití CredSSP?

  • Mezi nástroje zabezpečení v Windows Admin Center, které můžete použít ke správě a ochraně identit, patří active Directory, certifikáty, brána firewall, místní uživatelé a skupiny a další.

    Další informace najdete v tématu Správa serverů pomocí Windows Admin Center.

Část 2: Použití Azure Security Center

Azure Security Center je jednotný systém pro správu zabezpečení infrastruktury, který posiluje stav zabezpečení vašich datových center a poskytuje pokročilou ochranu před hrozbami napříč hybridními úlohami v cloudu a v místním prostředí. Security Center poskytuje nástroje pro posouzení stavu zabezpečení sítě, ochranu úloh, zvýšení výstrah zabezpečení a sledování konkrétních doporučení k nápravě útoků a řešení budoucích hrozeb. Security Center provádí všechny tyto služby s vysokou rychlostí v cloudu bez režijních nákladů na nasazení prostřednictvím automatického zřizování a ochrany se službami Azure.

Security Center chrání virtuální počítače pro servery Windows i servery s Linuxem instalací agenta Log Analytics na tyto prostředky. Azure koreluje události, které agenti shromažďují do doporučení (úloh posílení zabezpečení), které provádíte za účelem zabezpečení úloh. Mezi úlohy posílení zabezpečení na základě osvědčených postupů zabezpečení patří správa a vynucování zásad zabezpečení. Výsledky pak můžete sledovat a spravovat dodržování předpisů a zásady správného řízení v průběhu času prostřednictvím monitorování služby Security Center a zároveň omezit prostor pro útoky napříč všemi vašimi prostředky.

Správa přístupu uživatelů k prostředkům a předplatným Azure představuje důležitou součást strategie zásad správného řízení Azure. Azure RBAC je primární metoda správy přístupu v Azure. Další informace najdete v tématu Správa přístupu k prostředí Azure pomocí řízení přístupu na základě role.

Práce se službou Security Center prostřednictvím Windows Admin Center vyžaduje předplatné Azure. Pokud chcete začít, přečtěte si téma Integrace Azure Security Center s Windows Admin Center.

Po registraci přejděte ke službě Security Center v Windows Admin Center: Na stránce Všechna připojení vyberte server nebo virtuální počítač v části Nástroje, vyberte Azure Security Center a pak vyberte Přihlásit se k Azure.

Další informace najdete v tématu Co je Azure Security Center?

Část 3: Přidání rozšířeného zabezpečení

Následující části doporučují pokročilé nástroje a technologie zabezpečení pro další posílení zabezpečení serverů, na kterých běží operační systém Azure Stack HCI ve vašem prostředí.

Posílení zabezpečení prostředí

  • Standardní hodnoty zabezpečení microsoftu jsou založené na doporučeních zabezpečení od Microsoftu získaných prostřednictvím partnerství s komerčními organizacemi a státní správou USA, jako je ministerstvo obrany. Standardní hodnoty zabezpečení zahrnují doporučená nastavení zabezpečení pro Windows firewall, Windows Defender a mnoho dalších.

    Standardní hodnoty zabezpečení jsou poskytovány jako zálohy objektů Zásady skupiny objektu (GPO), které můžete importovat do služby Active Directory Domain Services (AD DS) a pak je nasadit na servery připojené k doméně a posílit tak prostředí. Pomocí nástrojů pro místní skripty můžete také nakonfigurovat samostatné servery (nepřidružované k doméně) se standardními hodnotami zabezpečení. Pokud chcete začít používat standardní hodnoty zabezpečení, stáhněte si microsoft Security Compliance Toolkit 1.0.

    Další informace najdete v tématu Standardní hodnoty zabezpečení Microsoftu.

Ochrana dat

  • Posílení zabezpečení prostředí Hyper-V vyžaduje posílení zabezpečení Windows Serveru spuštěného na virtuálním počítači stejně jako posílení operačního systému spuštěného na fyzickém serveru. Vzhledem k tomu, že virtuální prostředí obvykle mají několik virtuálních počítačů sdílejících stejný fyzický hostitel, je nezbytné chránit fyzického hostitele i virtuální počítače spuštěné na něm. Útočník, který naruší hostitele, může ovlivnit více virtuálních počítačů s větším dopadem na úlohy a služby. Tato část popisuje následující metody, které můžete použít k posílení zabezpečení Windows Serveru v prostředí Hyper-V:

    • Virtual Trusted Platform Module (vTPM) v Windows Serveru podporuje čip TPM pro virtuální počítače, což umožňuje používat pokročilé technologie zabezpečení, jako je BitLocker ve virtuálních počítačích. Podporu čipu TPM můžete povolit na libovolném virtuálním počítači Hyper-V generace 2 pomocí Správce Technologie Hyper-V nebo rutiny Enable-VMTPM Windows PowerShell.

      Další informace najdete v tématu Enable-VMTPM.

    • Softwarově definované sítě (SDN) ve službě Azure Stack HCI a Windows Server centrálně konfiguruje a spravuje zařízení virtuální sítě, jako je nástroj pro vyrovnávání zatížení softwaru, brána firewall datového centra, brány a virtuální přepínače ve vaší infrastruktuře. Prvky virtuální sítě, jako je virtuální přepínač Hyper-V, Virtualizace sítě Hyper-V a brána RAS, jsou navržené tak, aby byly integrálními prvky infrastruktury SDN.

      Další informace najdete v tématu Softwarově definované sítě (SDN).

      Poznámka

      Stíněné virtuální počítače se v Azure Stack HCI nepodporují.

Ochrana identit

  • Řešení pro hesla místního správce (LAPS) je jednoduchý mechanismus pro systémy připojené k doméně služby Active Directory, který pravidelně nastavuje heslo účtu místního správce každého počítače na novou náhodnou a jedinečnou hodnotu. Hesla jsou uložena v zabezpečeném důvěrném atributu na příslušném objektu počítače ve službě Active Directory, kde je můžou načíst pouze konkrétně autorizovaní uživatelé. LAPS používá místní účty ke vzdálené správě počítačů způsobem, který nabízí některé výhody oproti používání účtů domény. Další informace najdete v tématu Vzdálené používání místních účtů: FUNKCE LAPS všechno změní.

    Pokud chcete začít používat LAPS, stáhněte si řešení pro hesla místního správce (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) je místní produkt, který můžete použít k detekci útočníků, kteří se pokoušejí ohrozit privilegované identity. ATA analyzuje síťový provoz pro ověřování, autorizaci a shromažďování informací protokoly, jako je Kerberos a DNS. ATA používá data k vytváření profilů chování uživatelů a dalších entit v síti k detekci anomálií a známých vzorů útoku.

    Další informace najdete v tématu Co je Advanced Threat Analytics?

  • Windows Defender Remote Credential Guard chrání přihlašovací údaje přes připojení ke vzdálené ploše přesměrováním požadavků Protokolu Kerberos zpět na zařízení, které požaduje připojení. Poskytuje také jednotné přihlašování (SSO) pro relace vzdálené plochy. Pokud dojde k ohrožení zabezpečení cílového zařízení, během relace vzdálené plochy se vaše přihlašovací údaje nezořejí, protože přihlašovací údaje i deriváty přihlašovacích údajů se nikdy nepřenesou přes síť do cílového zařízení.

    Další informace najdete v tématu Správa Ochrana Credential Guard v programu Windows Defender.

Další kroky

Další informace o dodržování předpisů a zabezpečení najdete v tématech: