Bearbeiten

Aktivieren des Just-In-Time-Zugriffs auf virtuellen Computern

  • Vorgehensweise

Mithilfe des Just-in-Time-Zugriffs (JIT) von Microsoft Defender for Cloud können Sie Ihre virtuellen Azure-Computer (VMs) vor nicht autorisiertem Netzwerkzugriff schützen. Firewalls enthalten häufig Zulassungsregeln, die Ihre VMs anfällig für Angriffe machen. Mit JIT können Sie den Zugriff auf Ihre VMs nur bei Bedarf, an den benötigten Ports und für die benötigte Zeitspanne erlauben.

Erfahren Sie mehr über die Funktionsweise von JIT und die erforderlichen Berechtigungen zum Konfigurieren und Verwenden von JIT.

In diesem Artikel erfahren Sie, wie Sie JIT in Ihr Sicherheitsprogramm einbinden können, einschließlich:

  • Aktivieren von JIT auf Ihren VMs, entweder im Azure-Portal oder programmgesteuert
  • Anfordern des Zugriffs auf eine VM, für die JIT aktiviert ist, entweder im Azure-Portal oder programmgesteuert
  • Überwachen der JIT-Aktivität, um sicherzustellen, dass Ihre VMs ordnungsgemäß geschützt sind

Verfügbarkeit

Aspekt Details
Status des Release: Allgemeine Verfügbarkeit (General Availability, GA)
Unterstützte VMs: Über Azure Resource Manager bereitgestellte VMs
Mithilfe von klassischen Bereitstellungsmodellen bereitgestellte VMs
VMs, die durch Azure Firewall-Instanzen im VNet mit der VM geschützt sind
Über Azure Firewall-Instanzen geschützte VMs, die mit Azure Firewall Manager gesteuert werden.
AWS EC2-Instanzen (Vorschau)
Erforderliche Rollen und Berechtigungen: Reader, SecurityReader oder eine benutzerdefinierte Rolle können JIT-Status und Parameter einsehen.
Verwenden Sie das Skript Set-JitLeastPrivilegedRole, um für Benutzer, die JIT-Zugriff auf eine VM anfordern, eine Rolle mit den geringsten Rechten zu erstellen.
Clouds: Kommerzielle Clouds
National (Azure Government, Microsoft Azure betrieben von 21Vianet)
Verbundene AWS-Konten (Vorschau)

Voraussetzungen

  • Für JIT muss Microsoft Defender for Servers Plan 2 im Abonnement aktiviert sein.

  • Die Rollen Reader und SecurityReader können sowohl den JIT-Status als auch die Parameter anzeigen.

  • Wenn Sie benutzerdefinierte Rollen erstellen möchten, die mit JIT funktionieren, benötigen Sie die Angaben aus der folgenden Tabelle:

    Optionen, die Benutzern ermöglicht werden können: Festzulegende Berechtigungen
    Konfigurieren oder Bearbeiten einer JIT-Richtlinie für einen virtuellen Computer Weisen Sie der Rolle diese Aktionen zu:
    • Im Bereich eines Abonnements (oder einer Ressourcengruppe, wenn nur API oder PowerShell verwendet wird), das der VM zugeordnet ist:
      Microsoft.Security/locations/jitNetworkAccessPolicies/write
    • Im Bereich eines Abonnements (oder einer Ressourcengruppe, wenn nur API oder PowerShell verwendet wird) der VM:
      Microsoft.Compute/virtualMachines/write
    Anfordern von JIT-Zugriff auf einen virtuellen Computer Weisen Sie dem Benutzer diese Aktionen zu:
    • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
    • Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Network/networkInterfaces/*/read
    • Microsoft.Network/publicIPAddresses/read
    Lesen von JIT-Richtlinien Weisen Sie dem Benutzer diese Aktionen zu:
    • Microsoft.Security/locations/jitNetworkAccessPolicies/read
    • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
    • Microsoft.Security/policies/read
    • Microsoft.Security/pricings/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Network/*/read

    Hinweis

    Für AWS sind lediglich die Microsoft.Security-Berechtigungen relevant.

  • Um JIT in Ihrer AWS (Amazon Web Services)-VM einzurichten, müssen Sie Ihr AWS-Konto mit Microsoft Defender for Cloud verbinden.

    Tipp

    Verwenden Sie das im Communitybereich von GitHub für Defender für Cloud verfügbare Skript Set-JitLeastPrivilegedRole, um eine geringstprivilegierte Rolle für Benutzer*innen zu erstellen, die JIT-Zugriff auf eine VM anfordern, aber keine weiteren JIT-Vorgänge ausführen müssen.

    Hinweis

    Um eine benutzerdefinierte JIT-Richtlinie erfolgreich erstellen zu können, darf der Name der Richtlinie zusammen mit dem Namen der Ziel-VM insgesamt nicht mehr als 56 Zeichen umfassen.

Arbeiten mit JIT-VM-Zugriff mit Microsoft Defender for Cloud

Sie können Defender for Cloud verwenden oder den JIT-Zugriff auf VMs mit Ihren eigenen Optionen programmgesteuert aktivieren. Sie können JIT auch mit standardmäßigen, fest kodierten Parametern von Azure-VMs aktivieren.

Just-in-Time-VM-Zugriff zeigt Ihre VMs in folgenden Gruppen:

  • Konfiguriert: VMs, die für die Unterstützung von Just-In-Time-VM-Zugriff konfiguriert wurden, mit folgenden Informationen:
    • Anzahl der genehmigten JIT-Anforderungen in den letzten sieben Tagen
    • Datum und Uhrzeit des letzten Zugriffs
    • Konfigurierte Verbindungsdetails
    • Letzter Benutzer
  • Nicht konfiguriert: VMs ohne aktiviertes JIT, die aber JIT unterstützen können. Es wird empfohlen, JIT für diese VMS zu aktivieren.
  • Nicht unterstützt: VMs, die JIT aus folgenden Gründen nicht unterstützen:
    • Fehlende Netzwerksicherheitsgruppe (NSG) oder Azure Firewall: JIT erfordert die Konfiguration einer NSG oder eine Firewallkonfiguration (oder beides).
    • Klassische VM: JIT unterstützt VMs, die über Azure Resource Manager bereitgestellt werden. Erfahren Sie mehr über klassische und Azure Resource Manager-Bereitstellungsmodelle.
    • Sonstige: Die JIT-Lösung ist in der Sicherheitsrichtlinie des Abonnements oder der Ressourcengruppe deaktiviert.

Aktivieren von JIT auf Ihren virtuellen Computern über Microsoft Defender für Cloud (Security Center)

Screenshot des Konfigurierens des JIT-VM-Zugriffs in Microsoft Defender for Cloud.

In Defender für Cloud (Security Center) können Sie den JIT-Zugriff auf virtuelle Computer aktivieren und konfigurieren.

  1. Öffnen Sie Workloadschutz, und wählen Sie im Bereich „Erweiterter Schutz“ die Option Just-In-Time-VM-Zugriff aus.

  2. Markieren Sie in der VM-Registerkarte Nicht konfiguriert die VMs, die mit JIT geschützt werden sollen, und wählen Sie JIT auf VMs aktivieren aus.

    Die Seite für den JIT-Zugriff auf virtuelle Computer wird geöffnet und listet die Ports auf, deren Schutz von Defender für Cloud (Security Center) empfohlen wird:

    • 22 – SSH
    • 3389 – RDP
    • 5985 – WinRM
    • 5986 – WinRM

    So passen Sie den JIT-Zugriff an

    1. Wählen Sie Hinzufügen.

    2. Wählen Sie in der Liste einen der Ports aus, um ihn zu bearbeiten, oder geben Sie andere Ports ein. Für jeden Port können Sie Folgendes festlegen:

      • Protokoll: das Protokoll, das an diesem Port zulässig ist, wenn eine Anforderung genehmigt ist
      • Zulässige Quell-IP-Adressen: die IP-Bereiche, die für diesen Port zulässig sind, wenn eine Anforderung genehmigt ist
      • Maximale Anforderungsdauer: das maximale Zeitfenster, in dem ein bestimmter Port geöffnet werden kann

    3. Klicken Sie auf OK.

  3. Wählen Sie zum Speichern der Portkonfiguration Speichern aus.

Bearbeiten der JIT-Konfiguration auf einem JIT-fähigen virtuellen Computer mit Defender für Cloud

Sie können die Just-In-Time-Konfiguration eines virtuellen Computers ändern, indem Sie einen neuen Port, der für diesen virtuellen Computer geschützt werden soll, hinzufügen und konfigurieren oder eine beliebige andere Einstellung eines bereits geschützten Ports ändern.

So bearbeiten Sie die vorhandenen JIT-Regeln für eine VM

  1. Öffnen Sie Workloadschutz, und wählen Sie im Bereich „Erweiterter Schutz“ die Option Just-In-Time-VM-Zugriff aus.

  2. Klicken Sie in der VM-Registerkarte Konfiguriert mit der rechten Maustaste auf eine VM und wählen Sie Bearbeiten aus.

  3. Unter JIT-VM-Zugriffskonfiguration können Sie die Liste der Ports bearbeiten, oder Hinzufügen auswählen, um einen neuen benutzerdefinierten Port hinzuzufügen.

  4. Wenn Sie die Bearbeitung der Ports abgeschlossen haben, wählen Sie Speichern aus.

Anfordern eines Zugriffs auf einen JIT-fähigen virtuellen Computer von Microsoft Defender für Cloud aus

Wenn JIT für einen virtuellen Computer aktiviert ist, müssen Sie zum Herstellen der Verbindung entsprechend den Zugriff anfordern. Sie können Zugriff auf jede der unterstützten Arten anfordern, unabhängig davon, wie Sie JIT aktiviert haben.

  1. Wählen Sie auf der Seite JIT-VM-Zugriff die RegisterkarteKonfiguriert aus.

  2. Wählen Sie die VMs aus, auf die Sie zugreifen möchten.

    • Das Symbol in der Spalte Verbindungsdetails gibt an, ob JIT in der Netzwerksicherheitsgruppe oder der Firewall aktiviert ist. Wenn JIT für beide aktiviert ist, wird nur das Firewallsymbol angezeigt.

    • In der Spalte Verbindungsdetails werden der Benutzer und Ports gezeigt, die auf die VM zugreifen können.

  3. Wählen Sie Zugriff anfordern aus. Das Fenster Zugriff anfordern wird geöffnet.

  4. Wählen Sie unter Zugriff anfordern die Ports aus, die Sie auf jeder VM öffnen möchten, die Quell-IP-Adressen, für die der Port geöffnet werden soll, und das Zeitfenster zum Öffnen der Ports.

  5. Wählen Sie Ports öffnen aus.

    Hinweis

    Wenn sich ein Benutzer, der den Zugriff anfordert, hinter einem Proxy befindet, können Sie den IP-Adressbereich des Proxys eingeben.

Andere Möglichkeiten zum Arbeiten mit JIT-VM-Zugriff

Virtuelle Azure-Computer

Aktivieren von JIT auf Ihren VMs über virtuelle Azure-Computer

Sie können JIT auf einer VM von den Seiten für virtuelle Azure-Computer des Azure-Portals aus aktivieren.

Tipp

Wenn JIT bereits für eine VM aktiviert ist, ist auf der VM-Konfigurationsseite zu sehen, dass JIT aktiviert ist. Über den Link können Sie die Seite für den JIT-VM-Zugriff in Defender for Cloud öffnen, um die Einstellungen anzuzeigen und zu ändern.

  1. Suchen Sie im Azure-Portal nach Virtuelle Computer, und wählen Sie die Option aus.

  2. Wählen Sie den virtuellen Computer aus, den Sie mit JIT schützen möchten.

  3. Wählen Sie im Menü die Option Konfiguration aus.

  4. Wählen Sie unter Just-in-Time-Zugriff die Option Just-in-Time aktivieren aus.

    Standardmäßig gelten für den Just-in-Time-Zugriff auf die VM die folgenden Einstellungen:

    • Windows-Computer
      • RDP-Port: 3389
      • Maximal erlaubte Zugriffsdauer: drei Stunden
      • Zulässige Quell-IP-Adressen: beliebige
    • Linux-Computer
      • SSH-Port: 22
      • Maximal erlaubte Zugriffsdauer: drei Stunden
      • Zulässige Quell-IP-Adressen: beliebige

  5. Auf der Microsoft Defender for Cloud-Seite „Just-in-Time“ können Sie diese Werte bearbeiten oder Ihrer JIT-Konfiguration weitere Ports hinzufügen:

    1. Wählen Sie im Defender-für-Cloud-Menü die Option Just-In-Time-Zugriff auf virtuelle Computer aus.

    2. Klicken Sie auf der Registerkarte Konfiguriert mit der rechten Maustaste auf die VM, zu der Sie einen Port hinzufügen möchten, und wählen Sie Bearbeiten aus.

      Bearbeiten einer Konfiguration eines JIT-Zugriffs für virtuelle Computer in Microsoft Defender für Cloud.

    3. Unter JIT-VM-Zugriffskonfiguration können Sie die vorhandenen Einstellungen eines bereits geschützten Ports bearbeiten oder einen neuen benutzerdefinierten Port hinzufügen.

    4. Wenn Sie die Bearbeitung der Ports abgeschlossen haben, wählen Sie Speichern aus.

Anfordern des Zugriffs auf eine JIT-fähige VM über die Seite „Verbinden“ des virtuellen Azure-Computers

Wenn JIT für einen virtuellen Computer aktiviert ist, müssen Sie zum Herstellen der Verbindung entsprechend den Zugriff anfordern. Sie können Zugriff auf jede der unterstützten Arten anfordern, unabhängig davon, wie Sie JIT aktiviert haben.

Screenshot: Just-in-Time-Anforderung.

So fordern Sie den Zugriff von virtuellen Azure-Computern an

  1. Öffnen Sie im Azure-Portal die Seiten mit den virtuellen Computern.

  2. Wählen Sie die VM aus, mit der Sie eine Verbindung herstellen möchten, und öffnen Sie die Seite Verbinden.

    Azure prüft, ob JIT auf diesem virtuellen Computer aktiviert ist.

    • Wenn JIT für den virtuellen Computer nicht aktiviert ist, werden Sie aufgefordert, es zu aktivieren.

    • Wenn JIT aktiviert ist, wählen Sie Zugriff anfordern aus, um eine Zugriffsanforderung mit der anfordernden IP-Adresse, dem Zeitbereich und den Ports zu übergeben, die für diese VM konfiguriert wurden.

Hinweis

Nachdem eine Anforderung für einen durch eine Azure Firewall geschützten virtuellen Computer genehmigt wurde, stellt Defender für Cloud (Security Center) dem Benutzer die richtigen Verbindungsinformationen (die Portzuordnung aus der DNAT-Tabelle) zum Herstellen einer Verbindung mit dem virtuellen Computer zur Verfügung.

PowerShell

Aktivieren von JIT auf Ihren VMs mithilfe von PowerShell

Verwenden Sie das offizielle PowerShell-cmdlet Set-AzJitNetworkAccessPolicy von Microsoft Defender für Cloud (Security Center), um den Just-In-Time-Zugriff auf virtuelle Computer von PowerShell aus zu ermöglichen.

Beispiel: Aktivieren Sie den Just-In-Time-VM-Zugriff auf eine bestimmte VM mit den folgenden Regeln:

  • Schließen Sie die Ports 22 und 3389.
  • Legen Sie für die Ports ein maximales Zeitfenster von drei Stunden fest, damit sie bei genehmigter Anforderung geöffnet werden können.
  • Erlauben Sie dem Zugriff anfordernden Benutzer die Steuerung der IP-Quelladressen.
  • Erlauben Sie dem Zugriff anfordernden Benutzer die Einrichtung einer erfolgreichen Sitzung nach einer genehmigten Just-In-Time-Zugriffsanforderung

Die folgenden PowerShell-Befehle erstellen diese JIT-Konfiguration:

  1. Weisen Sie eine Variable zu, die die Just-In-Time-VM-Zugriffsregeln für eine VM enthält:

    $JitPolicy = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"},
        @{
        number=3389;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"})})

  2. Fügen Sie einem Array die Just-In-Time-VM-Zugriffsregeln hinzu:

    $JitPolicyArr=@($JitPolicy)

  3. Konfigurieren Sie die Just-In-Time-VM-Zugriffsregeln auf der ausgewählten VM:

    Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr

    Verwenden Sie den Parameter „-Name“, um eine VM anzugeben. Verwenden Sie z. B. zur Einrichtung der JIT-Konfiguration für zwei verschiedene VMs (VM1 und VM2): Set-AzJitNetworkAccessPolicy -Name VM1 und Set-AzJitNetworkAccessPolicy -Name VM2.

Anfordern des Zugriffs auf eine JIT-fähige VM mithilfe von PowerShell

Im folgenden Beispiel sehen Sie eine Just-In-Time-VM-Zugriffsanforderung für eine bestimmte VM für Port 22, eine bestimmte IP-Adresse und einen bestimmten Zeitraum:

Führen Sie die folgenden Befehle in PowerShell aus:

  1. Konfigurieren Sie die Eigenschaften für die VM-Zugriffsanforderung:

    $JitPolicyVm1 = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
      number=22;
      endTimeUtc="2020-07-15T17:00:00.3658798Z";
      allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

  2. Fügen Sie die Parameter für die VM-Zugriffsanforderung zu einem Array hinzu:

    $JitPolicyArr=@($JitPolicyVm1)

  3. Senden Sie die Zugriffsanforderung (mit der Ressourcen-ID aus Schritt 1).

    Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

Weitere Informationen finden Sie in der PowerShell-Cmdlet-Dokumentation.

REST-API

Aktivieren von JIT auf Ihren VMs mithilfe der REST-API

Die Funktion Just-In-Time-Zugriff auf virtuelle Computer kann über die Microsoft-Defender-für-Cloud-API verwendet werden. Verwenden Sie diese API, um Informationen über konfigurierte virtuelle Computer zu erhalten, neue virtuelle Computer hinzufügen, Zugriff auf einen virtuellen Computer anzufordern usw.

Weitere Informationen finden Sie unter Richtlinien für den JIT-Netzwerkzugriff.

Anfordern des Zugriffs auf JIT-fähige VMs mithilfe der REST-API

Die Funktion Just-In-Time-Zugriff auf virtuelle Computer kann über die Microsoft-Defender-für-Cloud-API verwendet werden. Verwenden Sie diese API, um Informationen über konfigurierte virtuelle Computer zu erhalten, neue virtuelle Computer hinzufügen, Zugriff auf einen virtuellen Computer anzufordern usw.

Weitere Informationen finden Sie unter Richtlinien für den JIT-Netzwerkzugriff.

Überwachen einer JIT-Zugriffsaktivität in Defender für Cloud

Mit der Protokollsuche erhalten Sie Einblicke in VM-Aktivitäten. So zeigen Sie die Protokolle an:

  1. Wählen Sie über JIT-VM-Zugriff die RegisterkarteKonfiguriert aus.

  2. Öffnen Sie für die zu überwachende VM das durch Auslassungspunkte dargestellte Menü am Ende der Zeile.

  3. Wählen Sie im Menü Aktivitätsprotokoll aus.

    Auswählen des Just-In-Time-Aktivitätsprotokolls

    Das Aktivitätsprotokoll enthält eine gefilterte Ansicht der früheren Vorgänge für diesen virtuellen Computer zusammen mit der Uhrzeit, dem Datum und dem Abonnement.

  4. Wählen Sie Als CSV herunterladen aus, um die Protokollinformationen herunterzuladen.

Nächster Schritt

Grundlegendes zur Just-in-Time-Zugriffsverwaltung für virtuelle Computer