Cvičení – povolení přístupu k virtuálnímu počítači JIT

  • 10 min

Abyste mohli tuto funkci používat, musíte mít rozšířené funkce zabezpečení v programu Microsoft Defender for Cloud. Po aktivaci zkušební verze nebo povolení rozšířeného zabezpečení předplatného můžete pro vybrané virtuální počítače Azure v předplatném povolit přístup k virtuálním počítačům podle potřeby (JIT). Pokud teď nechcete spustit zkušební verzi, můžete si projít následující pokyny a zobrazit požadované kroky.

Vytvořit nový virtuální počítač

Začněme vytvořením virtuálního počítače pomocí Azure Cloud Shellu.

Poznámka:

Toto cvičení nejde provést v Sandboxu Azure. Nezapomeňte vybrat předplatné s povolenými rozšířenými funkcemi zabezpečení pro Defender for Cloud.

  1. Přihlaste se k portálu Azure.

  2. V pravém horním rohu panelu nástrojů webu Azure Portal vyberte ikonu Cloud Shellu. Cloud Shell se zobrazí v dolní části portálu.

    Začněte nastavením některých výchozích hodnot, takže je nemusíte zadávat několikrát.

  3. Nastavte výchozí umístění. Tady používáme eastus, ale můžete to změnit na umístění blíže k vám.

    az configure --defaults location=eastus

    Tip

    Můžete použít tlačítko Kopírovat pro kopírování příkazů do schránky. Pokud chcete vložit, klikněte pravým tlačítkem myši na nový řádek v terminálu Cloud Shellu a vyberte Vložit nebo použijte klávesovou zkratku Shift+Insert (⌘+V v macOS).

  4. Dále vytvořte novou skupinu prostředků Azure, která bude obsahovat prostředky virtuálního počítače. Toto jméno mslearnDeleteMe jsme použili k připomenutí, že jsme tuto skupinu po dokončení odstranili.

    az group create --name mslearnDeleteMe --location eastus

  5. Pokračujte a nastavte mslearnDeleteMe jako výchozí skupinu prostředků.

    az configure --defaults group="mslearnDeleteMe"

  6. Potom spuštěním následujícího příkazu vytvořte nový virtuální počítač se systémem Windows. Nezapomeňte hodnotu nahradit <your-password-here> vlastním platným heslem.

    az vm create \
    --name SRVDC01 \
    --image win2019datacenter \
    --resource-group mslearnDeleteMe \
    --admin-username azureuser \
    --admin-password <your-password-here>

    Vytvoření virtuálního počítače a podpůrných prostředků trvá několik minut. Měla by se zobrazit odpověď podobná následujícímu příkladu.

    {
  "fqdns": "",
  "id": "/subscriptions/abcd/resourceGroups/mslearnDeleteMe/providers/Microsoft.Compute/virtualMachines/SRVDC01",
  "location": "eastus",
  "macAddress": "00-00-00-00-00-00",
  "powerState": "VM running",
  "privateIpAddress": "10.1.0.4",
  "publicIpAddress": "52.123.123.123",
  "resourceGroup": "mslearnDeleteMe",
  "zones": ""
}

  7. K připojení k virtuálnímu počítači pomocí protokolu RDP (Remote Desktop) použijte veřejnou IP adresu v odpovědi. Systém Windows má integrovaného klienta RDP. Pokud používáte jiný klientský systém, jsou k dispozici klienti pro macOS a Linux.

Virtuální počítač můžete připojit a spravovat. Pojďme přidat JIT pro zabezpečení!

Povolení přístupu k virtuálnímu počítači JIT v Defenderu pro cloud

  1. Na domovské stránce webu Azure Portal na horním panelu hledání vyhledejte a vyberte Microsoft Defender for Cloud. Zobrazí se podokno Přehled pro Microsoft Defender for Cloud .

  2. V levém podokně nabídek v části Cloud Security vyberte Ochranu úloh. Zobrazí se podokno Ochrana úloh.

  3. V hlavním okně se posuňte dolů na Rozšířenou ochranu. Vyberte přístup k virtuálnímu počítači za běhu. Zobrazí se podokno přístupu k virtuálním počítačům za běhu.

  4. V části Virtuální počítače vyberte kartu Nenakonfigurováno .

  5. Vyberte virtuální počítač ze skupiny prostředků MSLEARNDELETEME.

  6. Vyberte Povolit JIT na 1 virtuálním počítači s vybraným virtuálním počítačem, jak je znázorněno na následujícím snímku obrazovky.

    Screenshot that depicts how you can enable JIT VM Access for a selected VM.

    Pro váš virtuální počítač se zobrazí podokno konfigurace přístupu k virtuálnímu počítači podle potřeby. Po povolení pravidel JIT můžete prozkoumat skupinu zabezpečení sítě pro virtuální počítač. Obsahuje novou sadu pravidel, která se použijí pro blokování přístupu ke vzdálené správě, jak je znázorněno na následujícím obrázku.

    Screenshot that depicts rules to block remote management access.

    Všimněte si, že pravidla jsou použita u interní adresy a že jsou zahrnuty všechny porty pro správu – jak protokol RDP (3389), tak i SSH (22).

  7. V horním řádku nabídek vyberte Uložit. Znovu se zobrazí podokno přístupu k virtuálním počítačům za běhu.

Žádost o přístup přes Vzdálenou plochu

Pokud se v tomto okamžiku pokusíte připojit k virtuálnímu počítači s Windows protokol RDP, přístup se zablokuje. Když váš správce potřebuje přístup, může přejít do programu Defender for Cloud a požádat o přístup.

  1. V části Virtuální počítače vyberte kartu Konfigurace .

  2. Vyberte virtuální počítač a pak vyberte Požádat o přístup , aby se otevřely porty pro správu.

    Screenshot that depicts how you can request access to a VM.

    Zobrazí se podokno Žádosti o přístup pro SRVD01.

  3. Vyberte porty, které chcete otevřít. v tomto případě port vzdálené plochy (3389).

    Screenshot that depicts opening a port by selecting On for its toggle.

  4. Výběrem možnosti Otevřít porty dokončete požadavek. Můžete nastavit počet hodin, po které bude port otevřený i z tohoto podokna. Po vypršení platnosti se port zavře a přístup se odepře.

Teď se klient vzdálené plochy může úspěšně připojit – aspoň po dobu, kterou jste přidělili prostřednictvím programu Defender for Cloud.