Azure Stack HCI: Sicherheitsaspekte

Gilt für: Azure Stack HCI, Versionen 22H2 und 21H2; Windows Server 2022, Windows Server 2019

Dieses Thema behandelt Sicherheitsaspekte und -empfehlungen im Zusammenhang mit dem Azure Stack HCI-Betriebssystem:

  • In Teil 1 werden grundlegende Sicherheitstools und -Technologien zum Härten des Betriebssystems und zum Schutz von Daten und Identitäten behandelt, um effizient eine sichere Grundlage für Ihr Unternehmen zu schaffen.
  • Teil 2 behandelt Ressourcen, die über die Microsoft Defender für Cloud verfügbar sind. Weitere Informationen finden Sie unter Microsoft Defender zur Cloudeinführung.
  • Teil 3 befasst sich mit erweiterten Sicherheitsaspekten, um den Sicherheitsstatus Ihrer Organisation in diesen Bereichen weiter zu erhöhen.

Warum sind Sicherheitsüberlegungen wichtig?

Sicherheit betrifft jeden in Ihrem Unternehmen, vom leitenden Management bis zum Information Worker. Unzureichende Sicherheit ist ein echtes Risiko für Organisationen, da eine Sicherheitsverletzung potenziell alle normalen Geschäfte stören und Ihre organization zum Stillstand bringen kann. Je eher Sie einen potenziellen Angriff erkennen können, desto schneller können Sie eventuelle Bedrohungen der Sicherheit bekämpfen.

Nach dem Erforschen der Schwachpunkte einer Umgebung, um sie auszunutzen, kann ein Angreifer normalerwiese innerhalb von 24 bis 48 Stunden nach der ersten Gefährdung seine Berechtigungen heraufstufen, um die Kontrolle über Systeme im Netzwerk zu übernehmen. Durch gute Sicherheitsmaßnahmen in der Umgebung wird der Zeitraum, den ein Angreifer benötigt, um die Kontrolle zu übernehmen, von Stunden auf Wochen oder sogar Monate verlängert, indem die Bewegungen des Angreifers blockiert werden. Das Implementieren der Sicherheitsempfehlungen in diesem Thema versetzt Ihr Unternehmen in die Lage, solche Angriffe so schnell wie möglich zu erkennen und auf sie zu reagieren.

Teil 1: Aufbau einer sicheren Grundlage

In den folgenden Abschnitten werden Sicherheitstools und-Technologien empfohlen, um in Ihrer Umgebung eine sichere Grundlage für die Server zu schaffen, auf denen das Betriebssystem Azure Stack HCI ausgeführt wird.

Härten der Umgebung

In diesem Abschnitt wird der Schutz von Diensten und virtuellen Computern (VMs) erörtert, die unter dem Betriebssystem ausgeführt werden:

  • Azure Stack HCI-zertifizierte Hardware bietet sofort konsistente Einstellungen für sicheren Start, UEFI und TPM. Die Kombination von virtualisierungsbasierter Sicherheit und zertifizierter Hardware unterstützt den Schutz von sicherheitsrelevanten Workloads. Sie können diese vertrauenswürdige Infrastruktur auch mit Microsoft Defender für Cloud verbinden, um Verhaltensanalysen und Berichte zu aktivieren, um sich schnell ändernde Workloads und Bedrohungen zu berücksichtigen.

    • Sicherer Start ist ein von der Computerindustrie entwickelter Sicherheitsstandard, mit dem erreicht werden soll, dass ein Gerät nur mit Software gestartet werden kann, die vom OEM (Original Equipment Manufacturer) als vertrauenswürdig angesehen wird. Weitere Informationen finden Sie unter Sicherer Start.
    • United Extensible Firmware Interface (UEFI) steuert den Startvorgang des Servers und übergibt die Steuerung dann an Windows oder ein anderes Betriebssystem. Weitere Informationen finden Sie unter UEFI-Firmware-Anforderungen.
    • Die TPM (Trusted Platform Module) -Technologie stellt hardwarebasierte sicherheitsbezogene Funktionen zur Verfügung. Bei einem TPM-Chip handelt es sich um einen sicheren Kryptografieprozessor, der Kryptografieschlüssel generiert, speichert und ihre Verwendung einschränkt. Weitere Informationen finden Sie unter Trusted Platform Module – Technologieübersicht.

    Weitere Informationen zu von Azure Stack HCI zertifizierten Hardwareanbietern finden Sie auf der Website für Azure Stack HCI-Lösungen .

  • Das Sicherheitstool ist in Windows Admin Center sowohl für Einzelserver als auch für Azure Stack HCI-Cluster nativ verfügbar, um die Sicherheitsverwaltung und -kontrolle zu vereinfachen. Das Tool zentralisiert einige wichtige Sicherheitseinstellungen für Server und Cluster, einschließlich der Möglichkeit, den Secured-Core-Status von Systemen anzuzeigen.

    Weitere Informationen finden Sie unter Secured-Core-Server.

  • Device Guard- und Credential Guard. Device Guard schützt vor Malware ohne bekannte Signatur, mit unsigniertem Code und Malware, die Zugriff auf den Kernel erlangt, um entweder vertrauliche Informationen zu erfassen oder das System zu beschädigen. Windows Defender Credential Guard verwendet auf Virtualisierung basierende Sicherheit, um Geheimnisse zu isolieren, sodass nur privilegierte Systemsoftware auf sie zugreifen kann.

    Weitere Informationen finden Sie unter Verwalten von Windows Defender Credential Guard und indem Sie das Hardware-Bereitschaftstool für Device Guard und Credential Guard herunterladen.

  • Windows- und Firmware-Updates auf Clustern, Servern (einschließlich Gast-VMs) und PCs sind unverzichtbar, um sicherzustellen, dass sowohl das Betriebssystem als auch die Systemhardware bestmöglich vor Angreifern geschützt sind. Sie können das Updates-Tool aus dem Windows Admin Center verwenden, um Updates auf einzelne Systeme anzuwenden. Wenn Ihr Hardwareanbieter Windows Admin Center Unterstützung zum Abrufen von Treiber-, Firmware- und Lösungsupdates enthält, können Sie diese Updates gleichzeitig mit Windows-Updates erhalten. Andernfalls erhalten Sie sie direkt von Ihrem Anbieter.

    Weitere Informationen finden Sie unter Aktualisieren des Clusters.

    Um Updates auf mehreren Clustern und Servern zugleich zu verwalten, erwägen Sie ein Abonnement des optionalen Azure-Updateverwaltungsdiensts, der in Windows Admin Center integriert ist. Weitere Informationen finden Sie unter Azure-Updateverwaltung mithilfe von Windows Admin Center.

Schützen von Daten

In diesem Abschnitt wird erläutert, wie Sie Windows Admin Center verwenden, um Daten und Workloads im Betriebssystem zu schützen:

  • BitLocker für Speicherplätze schützt ruhende Daten. Sie können BitLocker verwenden, um den Inhalt von Speicherplatz-Datenvolumes im Betriebssystem zu verschlüsseln. Die Verwendung von BitLocker zum Schutz von Daten kann Organisationen dabei unterstützen, mit den behördlichen, regionalen und branchenspezifischen Standards wie FIPS 140-2 und HIPAA konform zu bleiben.

    Weitere Informationen zur Verwendung von BitLocker in Windows Admin Center finden Sie unter Aktivieren der Volumeverschlüsselung, Deduplizierung und Komprimierung.

  • Die SMB-Verschlüsselung für Windows-Netzwerke schützt Daten bei der Übertragung. Server Message Block (SMB) ist ein Netzwerkdateifreigabeprotokoll, mit dem Anwendungen auf einem Computer Dateien lesen und schreiben und Dienste von Serverprogrammen in einem Computernetzwerk anfordern können.

    Informationen zum Aktivieren der SMB-Verschlüsselung finden Sie unter SMB security enhancements (SMB-Sicherheitsverbesserungen).

  • Windows Defender Antivirus schützt das Betriebssystem auf Clients und Servern vor Viren, Schadsoftware, Spyware und anderen Bedrohungen. Weitere Informationen finden Sie unter Microsoft Defender Antivirus unter Windows Server.

Schutz von Identitäten

In diesem Abschnitt wird erläutert, wie Sie das Windows Admin Center zum Schützen privilegierter Identitäten verwenden:

  • Zugriffssteuerung kann die Sicherheit Ihrer Managementlandschaft verbessern. Wenn Sie einen Windows Admin Center-Server (im Gegensatz zur Ausführung auf einem Windows 10-PC) verwenden, können Sie den Zugriff auf Windows Admin Center auf zwei Ebenen verwalten: für Gatewaybenutzer und für Gatewayadministratoren. Zu den Optionen für den Gatewayadministrator-Identitätsanbieter gehören:

    • Active Directory- oder lokale Computergruppen zum Durchsetzen von Smartcard-Authentifizierung.
    • Microsoft Entra ID, um bedingten Zugriff und mehrstufige Authentifizierung zu erzwingen.

    Weitere Informationen finden Sie unter User access options with Windows Admin Center (Optionen für den Benutzerzugriff in Windows Admin Center) und Configure User Access Control and Permissions (Konfigurieren von Benutzerzugriffssteuerung und Berechtigungen).

  • Browserverkehr mit dem Windows Admin Center verwendet HTTPS. Datenverkehr vom Windows Admin Center mit verwalteten Servern verwendet standardmäßig PowerShell und Windows Management Instrumentation (WMI) anstelle von Windows Remote Management (WinRM). Windows Admin Center unterstützt die lokale Administratorkennwortlösung (Local Administrator Password Solution, LAPS), ressourcenbasierte eingeschränkte Delegierung, Gatewayzugriffssteuerung mithilfe von Active Directory (AD) oder Microsoft Entra-ID sowie rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für die Verwaltung des Windows Admin Center-Gateways.

    Windows Admin Center unterstützt Microsoft Edge (Windows 10, Version 1709 oder höher), Google Chrome und Microsoft Edge Insider unter Windows 10. Sie können Windows Admin Center wahlweise auf einem Windows 10-PC oder einem Windows-Server installieren.

    Wenn Sie Windows Admin Center auf einem Server installieren, wird es als Gateway ohne Benutzeroberfläche auf dem Hostserver ausgeführt. In diesem Szenario können sich Administratoren mithilfe einer HTTPS-Sitzung beim Server anmelden, die durch ein selbstsigniertes Sicherheitszertifikat auf dem Host geschützt ist. Es ist jedoch besser, ein geeignetes SSL-Zertifikat einer vertrauenswürdigen Zertifizierungsstelle für den Anmeldeprozess zu verwenden, da unterstützte Browser eine selbstsignierte Verbindung als unsicher behandeln, auch wenn die Verbindung zu einer lokalen IP-Adresse über ein vertrauenswürdiges VPN besteht.

    Mehr über Installationsoptionen für Ihre Organisation erfahren Sie unter What type of installation is right for you? (Welche Installationsart ist für Sie die richtige?).

  • CredSSP ist ein Authentifizierungsanbieter, den Windows Admin Center in einigen Fällen verwendet, um Anmeldeinformationen jenseits des spezifischen Servers, der Ihr Verwaltungsziel darstellt, an Computer zu übergeben. Windows Admin Center schreibt CredSSP aktuell für diese Vorgänge vor:

    • Erstellen eines neuen Clusters.
    • Zugriff auf das Tool Updates, um die Funktionen zum Failoverclustering oder zum clusterfähigen Aktualisieren zu verwenden.
    • Verwenden von zerteiltem SMB-Speicher in VMs.

    Weitere Informationen finden Sie unter Does Windows Admin Center use CredSSP? (Wird CredSSP von Windows Admin Center verwendet?)

  • Zu den Sicherheitstools in Windows Admin Center, die Sie zum Verwalten und Schützen von Identitäten verwenden können, zählen Active Directory, Zertifikate, Firewall, Lokale Benutzer und Gruppen und weitere.

    Weitere Informationen dazu finden Sie unter Verwalten von Servern mit Windows Admin Center.

Teil 2: Verwenden von Microsoft Defender für Cloud (MDC)

Microsoft Defender für Cloud ist ein einheitliches Sicherheitsmanagementsystem für die Infrastruktur, das den Sicherheitsstatus Ihrer Rechenzentren stärkt und erweiterten Bedrohungsschutz für Ihre Hybridworkloads in der Cloud und lokal bietet. Defender für Cloud bietet Ihnen Tools zum Bewerten der sicherheitsrelevanten status Ihres Netzwerks, zum Schutz von Workloads, zum Auslösen von Sicherheitswarnungen und zum Befolgen spezifischer Empfehlungen zur Behebung von Angriffen und zur Bewältigung zukünftiger Bedrohungen. Defender für Cloud führt alle diese Dienste mit hoher Geschwindigkeit in der Cloud ohne Bereitstellungsaufwand durch automatische Bereitstellung und Schutz mit Azure-Diensten aus.

Defender für Cloud schützt virtuelle Computer sowohl für Windows-Server als auch für Linux-Server, indem der Log Analytics-Agent auf diesen Ressourcen installiert wird. Azure korreliert vom Agent erfasste Ereignisse zu Empfehlungen (Härtungsaufgaben), die Sie ausführen, um Ihre Workloads sicher zu machen. Die auf bewährten Sicherheitsmethoden basierenden Härtungsaufgaben umfassen das Verwalten und Durchsetzen von Sicherheitsrichtlinien. Anschließend können Sie die Ergebnisse nachverfolgen und Compliance und Governance im Laufe der Zeit über die Überwachung von Defender für Cloud verwalten und gleichzeitig die Angriffsfläche für alle Ihre Ressourcen reduzieren.

Die Verwaltung der Personen, die auf Ihre Azure-Ressourcen und -Abonnements zugreifen können, ist ein wichtiger Bestandteil Ihrer Azure-Governancestrategie. Azure RBAC ist die primäre Methode zum Verwalten des Zugriffs in Azure. Weitere Informationen dazu finden Sie unter Verwalten des Zugriffs auf Ihre Azure-Umgebung per rollenbasierter Zugriffssteuerung.

Für die Arbeit mit Defender für Cloud über Windows Admin Center ist ein Azure-Abonnement erforderlich. Informationen zu den ersten Schritten finden Sie unter Schützen Windows Admin Center-Ressourcen mit Microsoft Defender für Cloud. Informationen zu den ersten Schritten finden Sie unter Planen Ihrer Defender for Server-Bereitstellung. Informationen zur Lizenzierung von Defender für Server (Serverpläne) finden Sie unter Auswählen eines Defender für Server-Plans.

Greifen Sie nach der Registrierung auf MDC in Windows Admin Center zu: Wählen Sie auf der Seite Alle Verbindungen einen Server oder virtuellen Computer aus, wählen Sie unter ToolsMicrosoft Defender für Cloud aus, und wählen Sie dann Bei Azure anmelden aus.

Weitere Informationen finden Sie unter Was ist Microsoft Defender for Cloud?.

Teil 3: Hinzufügen erweiterter Sicherheit

In den folgenden Abschnitten werden erweiterte Sicherheitstools und-Technologien empfohlen, um Server in Ihrer Umgebung, auf denen das Betriebssystem Azure Stack HCI ausgeführt wird, weiter zu härten.

Härten der Umgebung

  • Microsoft-Sicherheitsbaselinse beruhen auf Sicherheitsempfehlungen von Microsoft, die aus der Partnerschaft mit Handelsorganisationen und der US-Regierung stammen, beispielsweise dem Verteidigungsministerium. Die Sicherheitsbaselines umfassen empfohlene Sicherheitseinstellungen für Windows Firewall, Windows Defender und viele andere.

    Die Sicherheitsbaselines werden als Gruppenrichtlinie-Objektsicherungen (GPO) bereitgestellt, die Sie in Active Directory Domain Services (AD DS) importieren und dann auf Domänenservern bereitstellen können, um die Umgebung zu härten. Sie können auch lokale Skripttools verwenden, um eigenständige Server (nicht in die Domäne eingebunden) mit Sicherheitsbaselines zu konfigurieren. Zum Einstieg in die Sicherheitsbaselines laden Sie das Microsoft Security Compliance Toolkit 1.0 herunter.

    Weitere Informationen finden Sie unter Microsoft-Sicherheitsbaselines.

Schützen von Daten

  • Die Härtung der Hyper-V-Umgebung erfordert die Härtung von Windows Server bei der Ausführung auf einem virtuellen Computer ebenso, wie das bei einem auf einem physischen Server ausgeführten Betriebssystem erforderlich ist. Da sich in virtuellen Umgebungen normalerweise mehrere VMs den gleichen physischen Host teilen, ist es unverzichtbar, sowohl den physischen Host als auch die virtuellen Computer zu schützen, die auf ihm ausgeführt werden. Ein Angreifer, der einen Host schädigt, kann mehrere virtuelle Computer mit entsprechend größerem Einfluss auf Workloads und Dienste beeinträchtigen. In diesem Abschnitt werden die folgenden Methoden erörtert, die Sie verwenden können, um Windows Server in einer Hyper-V-Umgebung zu härten:

    • Das virtuelle Trusted Platform Module (vTPM) in Windows Server unterstützt TPM für VMs, mit dessen Hilfe Sie erweiterte Sicherheitstechnologien wie BitLocker in VMs einsetzen können. TPM-Unterstützung lässt sich auf jeder Hyper-V-VM der 2. Generation aktivieren, entweder mithilfe des Hyper-V-Managers oder des Windows PowerShell-Cmdlets Enable-VMTPM.

      Hinweis

      Die Aktivierung von vTPM wirkt sich auf die VM-Mobilität aus: Manuelle Aktionen sind erforderlich, damit die VM auf einem anderen Host gestartet werden kann als auf dem Host, den Sie ursprünglich vTPM aktiviert haben.

      Weitere Informationen finden Sie unter Enable-VMTPM.

    • Software Defined Networking (SDN) in Azure Stack HCI und Windows Server konfiguriert und verwaltet virtuelle Netzwerkgeräte wie den Softwarelastenausgleich, die Firewall des Rechenzentrums, Gateways und virtuelle Switches in Ihrer Infrastruktur zentral. Virtuelle Netzwerkelemente, wie etwa der virtuelle Hyper-V-Switch, die Hyper-V-Netzwerkvirtualisierung und das RAS Gateway, wurden als integrale Elemente Ihrer SDN-Infrastruktur konzipiert.

      Weitere Informationen dazu finden Sie unter Softwaredefiniertes Netzwerk (SDN).

      Hinweis

      Abgeschirmte VMs, die vom Host Guardian Service geschützt werden, werden in Azure Stack HCI nicht unterstützt.

Schutz von Identitäten

  • Die Local Administrator Password Solution (LAPS) ist ein schlanker Mechanismus für Mitgliedssysteme einer Active Directory-Domäne, der die Kennwörter aller lokalen Administratorkonten in regelmäßigen Abständen auf einen neuen, zufälligen und eindeutigen Wert festlegt. Kennwörter werden in einem geschützten vertraulichen Attribut im entsprechenden Computerobjekt in Active Directory gespeichert, wo sie nur von speziell autorisierten Benutzern abgerufen werden können. LAPS verwendet lokale Konten für die Remoteverwaltung von Computern auf eine Weise, die einige Vorteile gegenüber Domänenkonten bietet. Weitere Informationen finden Sie unter Remoteverwendung lokaler Konten: LAPS ändert alles.

    Zum Einstieg in die Verwendung von LAPS laden Sie Local Administrator Password Solution (LAPS) herunter.

  • Microsoft Advanced Threat Analytics (ATA) ist ein lokal eingesetztes Produkt, das Sie verwenden können, um das Erkennen von Angriffsversuchen auf privilegierte Identitäten zu unterstützen. ATA analysiert den Netzwerkdatenverkehr auf Protokolle, die Authentifizierungs-, Autorisierungs- und Informationsdaten sammeln, wie etwa Kerberos und DNS. ATA verwendet die Daten zum Erstellen von Verhaltensprofilen von Benutzern und anderen Entitäten im Netzwerk, um Anomalien und bekannte Angriffsmuster zu erkennen.

    Weitere Informationen finden Sie unter Was ist Advanced Threat Analytics?

  • Windows Defender Remote Credential Guard schützt Anmeldeinformationen über eine Remotedesktopverbindung durch Umleiten von Kerberos-Anforderungen zurück an das Gerät, das die Verbindung anfordert. Es stellt außerdem SSO (Single Sign-On, einmaliges Anmelden) für Remotedesktopsitzungen zur Verfügung. Wenn das Zielgerät während einer Remotedesktopsitzung beschädigt wird, werden Ihre Anmeldeinformationen nicht offengelegt, da weder Anmeldeinformationen noch Ableitungen daraus jemals über das Netzwerk an das Zielgerät übergeben werden.

    Weitere Informationen finden Sie unter Verwalten von Windows Defender Credential Guard.

  • Microsoft Defender für Identitäten unterstützt Sie beim Schutz privilegierter Identitäten, indem Sie das Benutzerverhalten und aktivitäten überwachen, die Angriffsfläche verringern, den Active Directory Federal Service (AD FS) in einer Hybridumgebung schützen und verdächtige Aktivitäten und erweiterte Angriffe in der gesamten Kill-Chain für Cyberangriffe identifizieren.

    Weitere Informationen finden Sie unter Was ist Microsoft Defender for Identity?.

Nächste Schritte

Weitere Informationen zur Sicherheits- und Einhaltung gesetzlicher Bestimmungen finden Sie unter: