Sichern Ihrer Verwaltungsports mit Just-in-Time-Zugriff (JIT)

Sperren Sie den eingehenden Datenverkehr auf Ihre virtuellen Azure-Computer mit der Just-In-Time-(JIT)-Zugriffsfunktion für virtuelle Computer von Microsoft Defender für Cloud. Dies verringert die Angriffsfläche und bietet gleichzeitig einfachen Zugriff, wenn Sie eine Verbindung mit einer VM herstellen müssen.

Eine vollständige Erläuterung der Funktionsweise von JIT und der zugrunde liegenden Logik findet sich unter Erläuterung von Just-In-Time.

Eine vollständige Erläuterung der Berechtigungsanforderungen finden Sie unter Welche Berechtigungen sind zum Konfigurieren und Verwenden von JIT erforderlich?.

Auf dieser Seite erfahren Sie, wie Sie JIT in Ihr Sicherheitsprogramm einbinden. Sie lernen Folgendes:

  • Aktivieren von JIT auf Ihren virtuellen Computern (virtual machines VMs) : Sie können JIT mit Ihren eigenen benutzerdefinierten Optionen für einen oder mehrere virtuelle Computer (VMs) mithilfe von Defender für Cloud (Security Center), PowerShell oder der REST-API aktivieren. Alternativ können Sie JIT mit hartcodierten Standardparametern von virtuellen Azure-Computern aus aktivieren. Wenn JIT aktiviert ist, sperrt es den eingehenden Datenverkehr zu Ihren virtuellen Azure- und AWS-Computern, indem es eine Regel in Ihrer Netzwerksicherheitsgruppe erstellt.
  • Zugriff auf einen virtuellen Computer (VM) mit aktiviertem JIT anfordern: Das Ziel von JIT ist es, sicherzustellen, dass das Security Center auch bei gesperrtem eingehenden Datenverkehr einen einfachen Zugriff bietet, um bei Bedarf eine Verbindung mit den virtuellen Computern herzustellen. Sie können einen Zugriff auf einen JIT-fähigen virtuellen Computer über das Security Center, virtuelle Azure-Computer, PowerShell oder die REST-API anfordern.
  • Überwachen der Aktivität: Um sicherzustellen, dass Ihre VMs angemessen gesichert sind, überprüfen Sie die Zugriffe auf Ihre JIT-fähigen virtuellen Computer im Rahmen Ihrer regelmäßigen Sicherheitsüberprüfungen.

Verfügbarkeit

Aspekt Details
Status des Release: Allgemeine Verfügbarkeit (General Availability, GA)
Unterstützte VMs: Über Azure Resource Manager bereitgestellte VMs.
Mithilfe von klassischen Bereitstellungsmodellen bereitgestellte VMs. Erfahren Sie mehr über diese Bereitstellungsmodelle.
Über Azure Firewall-Instanzen1 geschützte VMs, die mit Azure Firewall Manager gesteuert werden.
AWS EC2-Instanzen (Vorschau)
Erforderliche Rollen und Berechtigungen: Die Rollen Reader und SecurityReader können sowohl den JIT-Status als auch die Parameter anzeigen.
Informationen zur Erstellung benutzerdefinierter Rollen, die mit JIT arbeiten können, finden Sie unter Welche Berechtigungen sind erforderlich, um JIT zu konfigurieren und zu verwenden?.
Verwenden Sie das Skript Set-JitLeastPrivilegedRole der GitHub-Community-Bereichs des Security Centers, um für Nutzer, die einen JIT-Zugriff auf einen virtuellen Computer anfordern und keine anderen JIT-Operationen durchführen müssen, eine Rolle mit den geringsten Berechtigungen zu erstellen.
Clouds: Kommerzielle Clouds
National (Azure Government, Azure China 21Vianet)
Connected AWS accounts (Vorschau)

1 Bei durch Azure Firewall geschützten virtuellen Computern schützt JIT die Computer nur dann vollständig, wenn sie sich im gleichen VNet wie die Firewall befinden. Virtuelle Computer, die VNET-Peering verwenden, sind nicht vollständig geschützt.

Aktivieren des JIT-VM-Zugriffs

Sie können den JIT-Zugriff auf virtuelle Computer mit Ihren eigenen benutzerdefinierten Optionen für einen oder mehrere virtuelle Computer über das Security Center oder programmgesteuert aktivieren.

Alternativ können Sie JIT mit hartcodierten Standardparametern von virtuellen Azure-Computern aus aktivieren.

Jede dieser Optionen wird auf einer separaten Registerkarte unten erläutert.

Aktivieren von JIT auf Ihren virtuellen Computern über Microsoft Defender für Cloud (Security Center)

Konfigurieren des JIT-Zugriffs auf den virtuellen Computer in Microsoft Defender für Cloud (Security Center).

In Defender für Cloud (Security Center) können Sie den JIT-Zugriff auf virtuelle Computer aktivieren und konfigurieren.

  1. Öffnen Sie das Auslastungsschutz(Workloadschutz)-Dashboard, und wählen Sie im Bereich „Erweiterter Schutz“ die Option JIT-Zugriff auf virtuelle Computer aus.

    Die Seite Just-In-Time-VM-Zugriff wird geöffnet, auf der Ihre VMs auf den folgenden Registerkarten gruppiert sind:

    • Konfiguriert: Virtuelle Computer, die bereits für die Unterstützung von Just-In-Time-Zugriff konfiguriert wurden. Für jede VM zeigt die konfigurierte Registerkarte Folgendes an:
      • Anzahl der genehmigten JIT-Anforderungen in den letzten sieben Tagen
      • Datum und Uhrzeit des letzten Zugriffs
      • Konfigurierte Verbindungsdetails
      • Letzter Benutzer
    • Nicht konfiguriert: VMs ohne aktiviertes JIT, die aber JIT unterstützen können. Es wird empfohlen, JIT für diese VMS zu aktivieren.
    • Nicht unterstützt: VMs ohne aktiviertes JIT, die das Feature auch nicht unterstützen. Ihre VM befindet sich aus folgenden Gründen möglicherweise auf dieser Registerkarte:
      • Fehlende Netzwerksicherheitsgruppe (NSG) oder Azure Firewall: JIT erfordert die Konfiguration einer NSG oder eine Firewallkonfiguration (oder beides).
      • Klassische VM – JIT unterstützt VMs, die über Azure Resource Manager und nicht die „klassische Bereitstellung“ bereitgestellt werden. Erfahren Sie mehr über klassische und Azure Resource Manager-Bereitstellungsmodelle.
      • Sonstige – Ihre VM befindet sich möglicherweise auf dieser Registerkarte, wenn die JIT-Lösung in der Sicherheitsrichtlinie des Abonnements oder der Ressourcengruppe deaktiviert ist.
  2. Markieren Sie auf der Registerkarte Nicht konfiguriert die VMs, die mit JIT geschützt werden sollen, und wählen Sie JIT auf VMs aktivieren aus.

    Die Seite für den JIT-Zugriff auf virtuelle Computer wird geöffnet und listet die Ports auf, deren Schutz von Defender für Cloud (Security Center) empfohlen wird:

    • 22 – SSH
    • 3389 – RDP
    • 5985 – WinRM
    • 5986 – WinRM

    Wählen Sie Speichern aus, um die Standardeinstellungen zu akzeptieren.

  3. So passen Sie die JIT-Optionen an

    • Fügen Sie benutzerdefinierte Ports mit der Schaltfläche Hinzufügen hinzu.
    • Ändern Sie einen der Standardports, indem Sie ihn aus der Liste auswählen.

    Für jeden (benutzerdefinierten oder standardmäßigen) Port bietet der Bereich Portkonfiguration hinzufügen die folgenden Optionen:

    • Protokoll: Das Protokoll, das auf diesem Port zulässig ist, wenn eine Anforderung genehmigt wird.
    • Zulässige Quell-IP-Adressen: Die IP-Bereiche, die für diesen Port zulässig sind, wenn eine Anforderung genehmigt wird.
    • Maximale Anforderungsdauer: Das maximale Zeitfenster, in dem ein bestimmter Port geöffnet werden kann.
    1. Legen Sie die Portsicherheit gemäß Ihren Anforderungen fest.

    2. Klicken Sie auf OK.

  4. Wählen Sie Speichern aus.

Bearbeiten der JIT-Konfiguration auf einem JIT-fähigen virtuellen Computer mit Defender für Cloud

Sie können die Just-In-Time-Konfiguration eines virtuellen Computers ändern, indem Sie einen neuen Port, der für diesen virtuellen Computer geschützt werden soll, hinzufügen und konfigurieren oder eine beliebige andere Einstellung eines bereits geschützten Ports ändern.

So bearbeiten Sie die vorhandenen JIT-Regeln für eine VM

  1. Öffnen Sie das Auslastungsschutz(Workloadschutz)-Dashboard, und wählen Sie im Bereich „Erweiterter Schutz“ die Option JIT-Zugriff auf virtuelle Computer aus.

  2. Klicken Sie auf der Registerkarte Konfiguriert mit der rechten Maustaste auf die VM, zu der Sie einen Port hinzufügen möchten, und wählen Sie „Bearbeiten“ aus.

    Bearbeiten einer Konfiguration eines JIT-Zugriffs für virtuelle Computer in Microsoft Defender für Cloud.

  3. Unter JIT-VM-Zugriffskonfiguration können Sie die vorhandenen Einstellungen eines bereits geschützten Ports bearbeiten oder einen neuen benutzerdefinierten Port hinzufügen.

  4. Wenn Sie die Bearbeitung der Ports abgeschlossen haben, wählen Sie Speichern aus.

Anfordern des Zugriffs auf einen JIT-fähigen virtuellen Computer

Sie können den Zugriff auf einen JIT-fähigen virtuellen Computer über das Azure-Portal (in Defender für Cloud oder auf virtuellen Azure-Computern) bzw. programmgesteuert anfordern.

Jede dieser Optionen wird auf einer separaten Registerkarte unten erläutert.

Anfordern eines Zugriffs auf einen JIT-fähigen virtuellen Computer von Microsoft Defender für Cloud aus

Wenn JIT für einen virtuellen Computer aktiviert ist, müssen Sie zum Herstellen der Verbindung entsprechend den Zugriff anfordern. Sie können Zugriff auf jede der unterstützten Arten anfordern, unabhängig davon, wie Sie JIT aktiviert haben.

Anfordern eines JIT-Zugriffs von Defender für Cloud aus.

  1. Wählen Sie auf der Seite JIT-VM-Zugriff die RegisterkarteKonfiguriert aus.

  2. Markieren Sie die virtuellen Computer, auf die Sie zugreifen möchten.

    • Das Symbol in der Spalte Verbindungsdetails gibt an, ob JIT in der Netzwerksicherheitsgruppe oder der Firewall aktiviert ist. Wenn JIT für beide aktiviert ist, wird nur das Firewallsymbol angezeigt.

    • Die Spalte Verbindungsdetails enthält die Informationen, die dazu erforderlich sind, den virtuellen Computer zu verbinden, und enthält dessen geöffnete Ports.

  3. Wählen Sie Zugriff anfordern aus. Das Fenster Zugriff anfordern wird geöffnet.

  4. Konfigurieren Sie unter Zugriff anfordern für jeden virtuellen Computer die zu öffnenden Ports und die Quell-IP-Adressen, für die der jeweilige Port geöffnet wird, und das Zeitfenster, in dem der Port geöffnet wird. Es ist nur möglich, Zugriff auf die konfigurierten Ports anzufordern. Jeder Port verfügt über eine maximal zulässige Zeit, die sich aus der von Ihnen erstellten JIT-Konfiguration ableitet.

  5. Wählen Sie Ports öffnen aus.

Hinweis

Wenn sich ein Benutzer, der Zugriff anfordert, hinter einem Proxy befindet, funktioniert die Option Meine IP-Adresse möglicherweise nicht. Möglicherweise müssen Sie den vollständigen IP-Adressenbereich der Organisation definieren.

Überwachen einer JIT-Zugriffsaktivität in Defender für Cloud

Mit der Protokollsuche erhalten Sie Einblicke in VM-Aktivitäten. So zeigen Sie die Protokolle an:

  1. Wählen Sie über JIT-VM-Zugriff die RegisterkarteKonfiguriert aus.

  2. Öffnen Sie für die zu überwachende VM das durch Auslassungspunkte dargestellte Menü am Ende der Zeile.

  3. Wählen Sie im Menü Aktivitätsprotokoll aus.

    Auswählen des Just-In-Time-Aktivitätsprotokolls

    Das Aktivitätsprotokoll enthält eine gefilterte Ansicht der früheren Vorgänge für diesen virtuellen Computer zusammen mit der Uhrzeit, dem Datum und dem Abonnement.

  4. Wählen Sie Als CSV herunterladen aus, um die Protokollinformationen herunterzuladen.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie den Just-In-Time-VM-Zugriff einrichten und nutzen. Lesen Sie den Konzeptartikel, in dem die von JIT abgewehrten Bedrohungen erläutert werden, um die Gründe für die Verwendung von JIT zu erfahren: