Aspekty zabezpečení služby Azure Stack HCI

  • Článek

Platí pro: Azure Stack HCI verze 22H2 a 21H2; Windows Server 2022, Windows Server 2019

Toto téma obsahuje aspekty zabezpečení a doporučení související s operačním systémem Azure Stack HCI:

  • Část 1 se věnuje základním nástrojům a technologiím zabezpečení pro posílení operačního systému a ochraně dat a identit, aby bylo možné efektivně vytvořit zabezpečený základ pro vaši organizaci.
  • Část 2 se věnuje prostředkům dostupným prostřednictvím Microsoft Defender for Cloud. Viz úvod ke Microsoft Defender ke cloudu.
  • Část 3 se věnuje pokročilejším aspektům zabezpečení, které dále posílí stav zabezpečení vaší organizace v těchto oblastech.

Proč jsou důležité aspekty zabezpečení?

Zabezpečení má vliv na všechny uživatele ve vaší organizaci, od správy vyšší úrovně až po pracovníka s informacemi. Nedostatečné zabezpečení představuje pro organizace skutečné riziko, protože narušení zabezpečení může potenciálně narušit všechny běžné podnikání a zastavit vaši organizaci. Čím dříve zjistíte potenciální útok, tím rychleji můžete zmírnit případné ohrožení zabezpečení.

Po prozkoumání slabých bodů prostředí k jejich zneužití může útočník obvykle během 24 až 48 hodin od počátečního ohrožení eskalovat oprávnění, aby převzal kontrolu nad systémy v síti. Dobrá bezpečnostní opatření zpevnily systémy v prostředí a prodlužovaly dobu, po kterou útočník může potenciálně převzít kontrolu z hodin na týdny nebo dokonce měsíce tím, že blokuje pohyby útočníka. Implementace doporučení zabezpečení v tomto tématu umožňuje vaší organizaci co nejrychleji takové útoky detekovat a reagovat na ně.

Část 1: Vytvoření zabezpečeného základu

Následující části doporučují nástroje a technologie zabezpečení pro vytvoření zabezpečeného základu pro servery s operačním systémem Azure Stack HCI ve vašem prostředí.

Posílení zabezpečení prostředí

Tato část popisuje, jak chránit služby a virtuální počítače spuštěné v operačním systému:

  • Hardware certifikovaný pro Azure Stack HCI poskytuje konzistentní nastavení zabezpečeného spouštění, rozhraní UEFI a čipu TPM. Kombinace zabezpečení založeného na virtualizaci a certifikovaného hardwaru pomáhá chránit úlohy citlivé na zabezpečení. Tuto důvěryhodnou infrastrukturu můžete také připojit ke službě Microsoft Defender for Cloud a aktivovat tak analýzu chování a vytváření sestav, aby se zohlednily rychle se měnící úlohy a hrozby.

    • Zabezpečené spouštění je bezpečnostní standard vyvinutý počítačovým průmyslem, který pomáhá zajistit, aby se zařízení spouštěla pouze pomocí softwaru, kterému důvěřuje výrobce OEM (Original Equipment Manufacturer). Další informace najdete v tématu Zabezpečené spouštění.
    • United Extensible Firmware Interface (UEFI) řídí proces spouštění serveru a pak předává řízení systému Windows nebo jinému operačnímu systému. Další informace najdete v tématu Požadavky na firmware rozhraní UEFI.
    • Technologie TPM (Trusted Platform Module) poskytuje hardwarové funkce související se zabezpečením. Čip TPM je zabezpečený kryptografický procesor, který generuje, ukládá a omezuje použití kryptografických klíčů. Další informace najdete v tématu Přehled technologie Trusted Platform Module.

    Další informace o poskytovateli hardwaru s certifikací Azure Stack HCI najdete na webu řešení Azure Stack HCI .

  • Nástroj Zabezpečení je k dispozici nativně v Windows Admin Center pro jednoúčelové servery i clustery Azure Stack HCI, aby se usnadnila správa a řízení zabezpečení. Nástroj centralizuje některá klíčová nastavení zabezpečení pro servery a clustery, včetně možnosti zobrazit stav zabezpečeného jádra systémů.

    Další informace najdete v tématu Server se zabezpečeným jádrem.

  • Device Guard a Credential Guard. Device Guard chrání před malwarem bez známého podpisu, nepodepsaného kódu a malwaru, který získá přístup k jádru za účelem zachycení citlivých informací nebo poškození systému. Windows Defender Credential Guard používá zabezpečení založené na virtualizaci k izolaci tajných kódů, aby k nim měl přístup jenom privilegovaný systémový software.

    Další informace najdete v tématu Správa Windows Defender Credential Guard a stáhněte si nástroj pro připravenost hardwaru Device Guard a Credential Guard.

  • Aktualizace systému Windows a firmwaru jsou nezbytné pro clustery, servery (včetně hostovaných virtuálních počítačů) a počítače, které pomáhají zajistit ochranu operačního systému i systémového hardwaru před útočníky. K instalaci aktualizací pro jednotlivé systémy můžete použít nástroj Windows Admin Center Aktualizace. Pokud váš poskytovatel hardwaru zahrnuje Windows Admin Center podporu pro získání aktualizací ovladačů, firmwaru a řešení, můžete tyto aktualizace získat současně s aktualizacemi Windows. V opačném případě je můžete získat přímo od svého dodavatele.

    Další informace najdete v tématu Aktualizace clusteru.

    Pokud chcete spravovat aktualizace na více clusterech a serverech najednou, zvažte přihlášení k odběru volitelné služby Azure Update Management, která je integrovaná s Windows Admin Center. Další informace najdete v tématu Azure Update Management s využitím Windows Admin Center.

Ochrana dat

Tato část popisuje, jak používat Windows Admin Center k ochraně dat a úloh v operačním systému:

  • BitLocker pro Prostory úložiště chrání neaktivní uložená data. BitLocker můžete použít k šifrování obsahu Prostory úložiště datových svazků v operačním systému. Ochrana dat pomocí Nástroje BitLocker může organizacím pomoct zajistit dodržování standardů pro státní správu, regionální a oborové standardy, jako jsou FIPS 140-2 a HIPAA.

    Další informace o používání nástroje BitLocker v Windows Admin Center najdete v tématu Povolení šifrování svazků, odstranění duplicitních dat a komprese.

  • Šifrování SMB pro sítě s Windows chrání přenášená data. Smb (Server Message Block) je síťový protokol pro sdílení souborů, který umožňuje aplikacím v počítači číst a zapisovat do souborů a vyžadovat služby ze serverových programů v počítačové síti.

    Pokud chcete povolit šifrování SMB, přečtěte si téma Vylepšení zabezpečení PROTOKOLU SMB.

  • Windows Defender Antivirus chrání operační systém na klientech a serverech před viry, malwarem, spywarem a dalšími hrozbami. Další informace najdete v tématu Microsoft Defender Antivirová ochrana na Windows Serveru.

Ochrana identit

Tato část popisuje, jak používat Windows Admin Center k ochraně privilegovaných identit:

  • Řízení přístupu může zlepšit zabezpečení prostředí správy. Pokud používáte server Windows Admin Center (vs. spuštěný na Windows 10 počítači), můžete řídit dvě úrovně přístupu k Windows Admin Center samotnému: uživatelům brány a správcům brány. Mezi možnosti zprostředkovatele identity správce brány patří:

    • Služba Active Directory nebo skupiny místních počítačů k vynucení ověřování pomocí čipové karty
    • Microsoft Entra ID k vynucení podmíněného přístupu a vícefaktorového ověřování.

    Další informace najdete v tématech Možnosti přístupu uživatelů s Windows Admin Center a Konfigurace uživatelských Access Control a oprávnění.

  • Provoz prohlížeče do Windows Admin Center používá PROTOKOL HTTPS. Provoz z Windows Admin Center na spravované servery používá standardní Prostředí PowerShell a rozhraní WMI (Windows Management Instrumentation) přes vzdálenou správu systému Windows (WinRM). Windows Admin Center podporuje řešení LAPS (Local Administrator Password Solution), omezené delegování na základě prostředků, řízení přístupu k bráně pomocí Služby Active Directory (AD) nebo ID Microsoft Entra a řízení přístupu na základě role (RBAC) pro správu brány Windows Admin Center.

    Windows Admin Center podporuje Microsoft Edge (Windows 10 verze 1709 nebo novější), Google Chrome a Microsoft Edge Insider na Windows 10. Windows Admin Center můžete nainstalovat na Windows 10 počítač nebo server s Windows.

    Pokud Windows Admin Center nainstalujete na server, spustí se jako brána bez uživatelského rozhraní na hostitelském serveru. V tomto scénáři se správci můžou přihlásit k serveru prostřednictvím relace HTTPS, která je zabezpečená certifikátem zabezpečení podepsaným svým držitelem na hostiteli. Pro proces přihlašování je ale lepší použít odpovídající certifikát SSL od důvěryhodné certifikační autority, protože podporované prohlížeče považují připojení podepsané svým držitelem za nezabezpečené, a to i v případě, že se jedná o připojení k místní IP adrese přes důvěryhodnou síť VPN.

    Další informace o možnostech instalace pro vaši organizaci najdete v tématu Jaký typ instalace je pro vás nejvhodnější?

  • CredSSP je zprostředkovatel ověřování, který Windows Admin Center v několika případech používá k předávání přihlašovacích údajů počítačům mimo konkrétní server, který chcete spravovat. Windows Admin Center v současné době vyžaduje CredSSP:

    • Vytvořte nový cluster.
    • Pokud chcete používat funkce clusteringu s podporou převzetí služeb při selhání nebo Cluster-Aware aktualizace, přejděte k nástroji Aktualizace.
    • Správa členěného úložiště SMB na virtuálních počítačích

    Další informace najdete v tématu Používá Windows Admin Center CredSSP?

  • Mezi nástroje zabezpečení v Windows Admin Center, které můžete použít ke správě a ochraně identit, patří active directory, certifikáty, brána firewall, místní uživatelé a skupiny a další.

    Další informace najdete v tématu Správa serverů pomocí Windows Admin Center.

Část 2: Použití Microsoft Defender for Cloud (MDC)

Microsoft Defender for Cloud je jednotný systém správy zabezpečení infrastruktury, který posiluje stav zabezpečení vašich datových center a poskytuje pokročilou ochranu před hrozbami napříč hybridními úlohami v cloudu i místně. Defender for Cloud poskytuje nástroje pro posouzení stavu zabezpečení sítě, ochranu úloh, generování výstrah zabezpečení a dodržování konkrétních doporučení k nápravě útoků a řešení budoucích hrozeb. Defender for Cloud provádí všechny tyto služby v cloudu vysokorychlostním způsobem bez režijních nákladů na nasazení prostřednictvím automatického zřizování a ochrany pomocí služeb Azure.

Defender for Cloud chrání virtuální počítače pro servery s Windows i servery s Linuxem tím, že na tyto prostředky nainstaluje agenta Log Analytics. Azure koreluje události, které agenti shromažďují, s doporučeními (úlohami posílení zabezpečení), které provádíte, aby vaše úlohy byly zabezpečené. Mezi úlohy posílení zabezpečení založené na osvědčených postupech zabezpečení patří správa a vynucování zásad zabezpečení. Pak můžete sledovat výsledky a spravovat dodržování předpisů a zásady správného řízení v průběhu času prostřednictvím monitorování Defenderu pro cloud a zároveň omezit prostor pro útoky napříč všemi vašimi prostředky.

Správa přístupu uživatelů k prostředkům a předplatným Azure představuje důležitou součást strategie zásad správného řízení Azure. Azure RBAC je primární metodou správy přístupu v Azure. Další informace najdete v tématu Správa přístupu k prostředí Azure pomocí řízení přístupu na základě role.

Práce s Defenderem for Cloud prostřednictvím Windows Admin Center vyžaduje předplatné Azure. Začněte tím, že si projděte téma Ochrana Windows Admin Center prostředků pomocí Microsoft Defender for Cloud. Pokud chcete začít, přečtěte si téma Plánování nasazení Defenderu pro server. Informace o licencování Defenderu pro servery (plány serverů) najdete v tématu Výběr plánu Defenderu pro servery.

Po registraci přejděte k MDC v Windows Admin Center: Na stránce Všechna připojení vyberte server nebo virtuální počítač, v části Nástroje vyberte Microsoft Defender pro cloud a pak vyberte Přihlásit se k Azure.

Další informace najdete v tématu Co je Microsoft Defender pro cloud?.

Část 3: Přidání pokročilého zabezpečení

Následující části doporučují pokročilé nástroje a technologie zabezpečení pro další posílení zabezpečení serverů s operačním systémem Azure Stack HCI ve vašem prostředí.

Posílení zabezpečení prostředí

  • Standardní hodnoty zabezpečení společnosti Microsoft jsou založené na doporučeních zabezpečení od Microsoftu získaných prostřednictvím partnerství s komerčními organizacemi a vládou USA, jako je ministerstvo obrany. Standardní hodnoty zabezpečení zahrnují doporučené nastavení zabezpečení pro bránu Windows Firewall, Windows Defender a řadu dalších.

    Standardní hodnoty zabezpečení jsou k dispozici jako zálohy Zásady skupiny objektů (GPO), které můžete importovat do Active Directory Domain Services (AD DS) a pak nasadit na servery připojené k doméně a posílit tak zabezpečení prostředí. Pomocí nástrojů pro místní skripty můžete také nakonfigurovat samostatné servery (nepřidá-li se k doméně) se standardními hodnotami zabezpečení. Pokud chcete začít používat standardní hodnoty zabezpečení, stáhněte si sadu Microsoft Security Compliance Toolkit 1.0.

    Další informace najdete v tématu Standardní hodnoty zabezpečení Microsoftu.

Ochrana dat

  • Posílení zabezpečení prostředí Hyper-V vyžaduje posílení zabezpečení Windows Serveru na virtuálním počítači stejně jako posílení operačního systému běžícího na fyzickém serveru. Vzhledem k tomu, že virtuální prostředí obvykle mají více virtuálních počítačů, které sdílejí stejného fyzického hostitele, je nezbytné chránit fyzického hostitele i virtuální počítače, které na něm běží. Útočník, který napadá hostitele, může ovlivnit více virtuálních počítačů s větším dopadem na úlohy a služby. Tato část popisuje následující metody, které můžete použít k posílení zabezpečení Windows Serveru v prostředí Hyper-V:

    • Virtual Trusted Platform Module (vTPM) ve Windows Serveru podporuje čip TPM pro virtuální počítače, který umožňuje ve virtuálních počítačích používat pokročilé technologie zabezpečení, jako je BitLocker. Podporu čipu TPM můžete povolit na libovolném virtuálním počítači Hyper-V 2. generace pomocí Správce technologie Hyper-V nebo rutiny Enable-VMTPM Windows PowerShell.

      Poznámka

      Povolení virtuálního počítače vTPM ovlivní mobilitu virtuálních počítačů. Aby se virtuální počítač mohl spouštět na jiném hostiteli, než jste původně povolili vTPM, budou potřeba ruční akce.

      Další informace najdete v tématu Enable-VMTPM.

    • Softwarově definované sítě (SDN) v Azure Stack HCI a Windows Serveru centrálně konfigurují a spravují virtuální síťová zařízení, jako je nástroj pro vyrovnávání zatížení softwaru, brána firewall datacentra, brány a virtuální přepínače ve vaší infrastruktuře. Prvky virtuální sítě, jako je virtuální přepínač Hyper-V, virtualizace sítě Hyper-V a brána RAS, jsou navržené tak, aby byly nedílnou součástí infrastruktury SDN.

      Další informace najdete v tématu Softwarově definované sítě (SDN).

      Poznámka

      Stíněné virtuální počítače chráněné službou Strážce hostitele se ve službě Azure Stack HCI nepodporují.

Ochrana identit

  • Řešení LAPS (Local Administrator Password Solution) je jednoduchý mechanismus pro systémy připojené k doméně Active Directory, který pravidelně nastavuje heslo účtu místního správce každého počítače na novou náhodnou a jedinečnou hodnotu. Hesla jsou uložena v zabezpečeném důvěrném atributu v odpovídajícím objektu počítače ve službě Active Directory, kde je můžou načíst jenom speciálně oprávnění uživatelé. LAPS používá místní účty pro vzdálenou správu počítačů způsobem, který nabízí určité výhody oproti používání doménových účtů. Další informace najdete v tématu Vzdálené použití místních účtů: LAPS mění všechno.

    Pokud chcete začít používat LAPS, stáhněte si řešení s hesly místního správce (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) je místní produkt, který můžete použít k detekci útočníků, kteří se pokoušejí ohrozit privilegované identity. ATA parsuje síťový provoz pro protokoly ověřování, autorizace a shromažďování informací, jako jsou Kerberos a DNS. ATA používá data k vytváření profilů chování uživatelů a dalších entit v síti k detekci anomálií a známých vzorů útoků.

    Další informace najdete v tématu Co je Advanced Threat Analytics?

  • Windows Defender Ochrana Remote Credential Guard chrání přihlašovací údaje přes připojení ke vzdálené ploše přesměrováním požadavků Protokolu Kerberos zpět na zařízení, které žádá o připojení. Poskytuje také jednotné přihlašování (SSO) pro relace Vzdálené plochy. Pokud během relace Vzdálené plochy dojde k ohrožení zabezpečení cílového zařízení, vaše přihlašovací údaje se nezobrazí, protože přihlašovací údaje a odvozené přihlašovací údaje se nikdy nepředávají přes síť do cílového zařízení.

    Další informace najdete v tématu Správa Windows Defender Credential Guard.

  • Microsoft Defender for Identity pomáhá chránit privilegované identity monitorováním chování a aktivit uživatelů, zmenšením možnosti útoku, ochranou služby Active Directory Federal Service (AD FS) v hybridním prostředí a identifikací podezřelých aktivit a pokročilých útoků v rámci řetězce kill-chainu kybernetických útoků.

    Další informace najdete v tématu Co je Microsoft Defender for Identity?.

Další kroky

Další informace o dodržování předpisů a zabezpečení najdete tady: