Igény szerint történő hozzáférés engedélyezése virtuális gépeken

• A JIT megköveteli , hogy a Microsoft Defender for Servers 2 . csomagja engedélyezve legyen az előfizetésben.

• Az Olvasó és a SecurityReader szerepkör egyaránt megtekintheti a JIT állapotát és paramétereit.

• Ha olyan egyéni szerepköröket szeretne létrehozni, amelyek a JIT-vel működnek, az alábbi táblázat adataira van szüksége:

  Ha engedélyezni szeretné a felhasználónak a következőt:	A beállításhoz szükséges engedélyek
  JIT-szabályzat konfigurálása vagy szerkesztése virtuális géphez	Rendelje hozzá ezeket a műveleteket a szerepkörhöz: A virtuális géphez társított előfizetés hatókörén (vagy erőforráscsoporton belül, ha csak API-t vagy PowerShellt használ): Microsoft.Security/locations/jitNetworkAccessPolicies/write A virtuális gép előfizetésének hatókörén (vagy erőforráscsoporton belül, ha csak API-t vagy PowerShellt használ): Microsoft.Compute/virtualMachines/write
  JIT-hozzáférés kérése egy virtuális géphez	Rendelje hozzá ezeket a műveleteket a felhasználóhoz: Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action Microsoft.Security/locations/jitNetworkAccessPolicies/*/read Microsoft.Compute/virtualMachines/read Microsoft.Network/networkInterfaces/*/read Microsoft.Network/publicIPAddresses/read
  JIT-szabályzatok olvasása	Rendelje hozzá ezeket a műveleteket a felhasználóhoz: Microsoft.Security/locations/jitNetworkAccessPolicies/read Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action Microsoft.Security/policies/read Microsoft.Security/pricings/read Microsoft.Compute/virtualMachines/read Microsoft.Network/*/read

  Feljegyzés

  Csak az Microsoft.Security engedélyek relevánsak az AWS-hez.

• Ha az Amazon Web Service (AWS) virtuális gépen szeretné beállítani a JIT-t, csatlakoztatnia kell az AWS-fiókját Felhőhöz készült Microsoft Defender.

  Tipp.

  Ha a legkevésbé kiemelt szerepkört szeretné létrehozni azon felhasználók számára, amelyeknek JIT-hozzáférést kell kérniük egy virtuális géphez, és semmilyen más JIT-műveletet nem hajtanak végre, használja a Set-JitLeastPrivilegedRole szkriptet a Felhőhöz készült Defender GitHub-közösségi oldalakról.

  Feljegyzés

  Egyéni JIT-szabályzat sikeres létrehozásához a szabályzat neve és a megcélzott virtuális gép neve nem haladhatja meg az 56 karaktert.

Használhatja a Felhőhöz készült Defender, vagy programozott módon engedélyezheti a JIT virtuális gépek elérését saját egyéni beállításaival, vagy engedélyezheti a JIT-t az Azure-beli virtuális gépek alapértelmezett, kemény kóddal ellátott paramétereivel.

A just-in-time virtuálisgép-hozzáférés a következő csoportba csoportosított virtuális gépeket jeleníti meg:

• Konfigurálva – A virtuális gépek igény szerint történő elérésének támogatására konfigurált virtuális gépek, és a következőt jeleníti meg:
  • az elmúlt hét nap jóváhagyott JIT-kérelmeinek száma
  • az utolsó hozzáférési dátum és időpont
  • a konfigurált kapcsolat részletei
  • az utolsó felhasználó
• Nincs konfigurálva – A JIT-t nem engedélyező virtuális gépek, de támogatják a JIT-t. Javasoljuk, hogy engedélyezze a JIT-t ezekhez a virtuális gépekhez.
• Nem támogatott virtuális gépek, amelyek nem támogatják a JIT-t, mert:
  • Hiányzó hálózati biztonsági csoport (NSG) vagy Azure Firewall – A JIT használatához NSG-t vagy tűzfalkonfigurációt (vagy mindkettőt) kell konfigurálni
  • Klasszikus virtuális gép – A JIT az Azure Resource Manageren keresztül üzembe helyezett virtuális gépeket támogatja. További információ a klasszikus és az Azure Resource Manager-alapú üzemi modellekről.
  • Egyéb – A JIT-megoldás le van tiltva az előfizetés vagy az erőforráscsoport biztonsági szabályzatában.

JIT engedélyezése a virtuális gépeken a Felhőhöz készült Microsoft Defender

A Felhőhöz készült Defender engedélyezheti és konfigurálhatja a JIT virtuálisgép-hozzáférést.

1. Nyissa meg a számítási feladatok védelmét , és a speciális védelemben válassza az Igény szerint virtuálisgép-hozzáférést.

2. A Nem konfigurált virtuális gépek lapon jelölje meg a virtuális gépeket a JIT-vel való védelemhez, és válassza a JIT engedélyezése a virtuális gépeken lehetőséget.

   Megnyílik a JIT virtuális gép hozzáférési lapja, amely felsorolja azokat a portokat, amelyeket Felhőhöz készült Defender javasol a védelemhez:

   • 22 – SSH
   • 3389 – RDP
   • 5985 - WinRM
   • 5986 - WinRM

   A JIT-hozzáférés testreszabása:

   1. Válassza a Hozzáadás lehetőséget.

   2. Jelölje ki a lista egyik portját a szerkesztéshez, vagy adjon meg más portokat. Minden porthoz beállíthatja a következőt:

      • Protokoll – Az a protokoll, amely ezen a porton engedélyezett egy kérelem jóváhagyásakor
      • Engedélyezett forrás IP-címek – A porton a kérelem jóváhagyásakor engedélyezett IP-tartományok
      • Maximális kérelemidő – Az a maximális időkeret, amely alatt egy adott port megnyitható

   3. Kattintson az OK gombra.

3. A portkonfiguráció mentéséhez válassza a Mentés lehetőséget.

JIT-konfiguráció szerkesztése JIT-kompatibilis virtuális gépen Felhőhöz készült Defender

A virtuális gép igény szerinti konfigurációját úgy módosíthatja, hogy hozzáad és konfigurál egy új portot a virtuális gép védelméhez, vagy módosítja a már védett porthoz kapcsolódó egyéb beállításokat.

A virtuális gép meglévő JIT-szabályainak szerkesztése:

1. Nyissa meg a számítási feladatok védelmét , és a speciális védelemben válassza az Igény szerint virtuálisgép-hozzáférést.

2. A Konfigurált virtuális gépek lapon kattintson a jobb gombbal egy virtuális gépre, és válassza a Szerkesztés lehetőséget.

3. A JIT virtuális gép hozzáférési konfigurációjában szerkesztheti a portok listáját, vagy választhatja az Új egyéni port hozzáadása lehetőséget.

4. Amikor befejezte a portok szerkesztését, válassza a Mentés lehetőséget.

Hozzáférés kérése JIT-kompatibilis virtuális géphez Felhőhöz készült Microsoft Defender

Ha egy virtuális gép rendelkezik jiT-kompatibilis állapottal, hozzáférést kell kérnie a csatlakozáshoz. A JIT engedélyezésétől függetlenül bármilyen támogatott módon kérhet hozzáférést.

1. A Just-in-time virtuálisgép-hozzáférési lapon válassza a Konfigurált lapot.

2. Válassza ki a elérni kívánt virtuális gépeket:

   • A Kapcsolat részletei oszlop ikonja jelzi, hogy a JIT engedélyezve van-e a hálózati biztonsági csoportban vagy tűzfalon. Ha mindkettőn engedélyezve van, csak a tűzfalikon jelenik meg.

   • A Kapcsolat részletei oszlop a virtuális géphez hozzáférő felhasználót és portokat jeleníti meg.

3. Válassza a Hozzáférés kérése lehetőséget. Megnyílik a Kérelem hozzáférési ablak.

4. A Hozzáférés kérése területen válassza ki az egyes virtuális gépekhez megnyitni kívánt portokat, a portot megnyitni kívánt forrás IP-címeket és a portok megnyitásához szükséges időkeretet.

5. Válassza a Portok megnyitása lehetőséget.

   Feljegyzés

   Ha a hozzáférést kérő felhasználó proxy mögött található, megadhatja a proxy IP-címtartományát.

Azure-beli virtuális gépek

JIT engedélyezése a virtuális gépeken azure-beli virtuális gépekről

A JIT-t a virtuális gépeken az Azure Portal Azure-beli virtuálisgép-oldalain engedélyezheti.

1. Az Azure Portalon keresse meg és válassza ki a virtuális gépeket.

2. Válassza ki a JIT-vel védeni kívánt virtuális gépet.

3. A menüben válassza a Konfiguráció lehetőséget.

4. A Just-in-time (Igény szerinti hozzáférés) területen válassza az Igény szerinti hozzáférés engedélyezése lehetőséget.

   Alapértelmezés szerint a virtuális géphez való igény szerinti hozzáférés a következő beállításokat használja:

   • Windows rendszerű gépek
     • RDP-port: 3389
     • Maximálisan engedélyezett hozzáférés: három óra
     • Engedélyezett forrás IP-címek: Bármely
   • Linux rendszerű gépek
     • SSH-port: 22
     • Maximálisan engedélyezett hozzáférés: három óra
     • Engedélyezett forrás IP-címek: Bármely

5. Ha ezen értékek bármelyikét szerkeszteni szeretné, vagy több portot szeretne hozzáadni a JIT-konfigurációhoz, használja Felhőhöz készült Microsoft Defender igény szerinti oldalát:

   1. A Felhőhöz készült Defender menüjében válassza az Igény szerint virtuálisgép-hozzáférés lehetőséget.

   2. A Konfigurált lapon kattintson a jobb gombbal arra a virtuális gépre, amelyhez portot szeretne hozzáadni, és válassza a Szerkesztés lehetőséget.

      

   3. A JIT virtuális gép hozzáférési konfigurációja alatt szerkesztheti egy már védett port meglévő beállításait, vagy hozzáadhat egy új egyéni portot.

   4. Ha befejezte a portok szerkesztését, válassza a Mentés lehetőséget.

Hozzáférés kérése JIT-kompatibilis virtuális géphez az Azure-beli virtuális gép kapcsolódási oldaláról

Ha egy virtuális gép rendelkezik jiT-kompatibilis állapottal, hozzáférést kell kérnie a csatlakozáshoz. A JIT engedélyezésétől függetlenül bármilyen támogatott módon kérhet hozzáférést.

Hozzáférés kérése Azure-beli virtuális gépekről:

1. Az Azure Portalon nyissa meg a virtuális gépek lapjait.

2. Jelölje ki azt a virtuális gépet, amelyhez csatlakozni szeretne, és nyissa meg a Csatlakozás lapot.

   Az Azure ellenőrzi, hogy engedélyezve van-e a JIT az adott virtuális gépen.

   • Ha a JIT nincs engedélyezve a virtuális gépen, a rendszer kérni fogja annak engedélyezését.

   • Ha a JIT engedélyezve van, válassza a Hozzáférés kérése lehetőséget a hozzáférési kérelemnek az adott virtuális géphez konfigurált ip-címmel, időtartománysal és portokkal való átadásához.

PowerShell

A JIT engedélyezése virtuális gépeken a PowerShell-lel

Az igény szerinti virtuális gépek PowerShell-hozzáférésének engedélyezéséhez használja a hivatalos Felhőhöz készült Microsoft Defender PowerShell-parancsmagotSet-AzJitNetworkAccessPolicy.

Példa – Igény szerinti virtuálisgép-hozzáférés engedélyezése egy adott virtuális gépen az alábbi szabályokkal:

• A 22-s és a 3389-s port bezárása
• Adjon meg egy 3 órás maximális időkeretet mindegyikhez, hogy jóváhagyott kérésenként meg lehessen nyitni őket.
• A forrás IP-címek vezérlésének engedélyezése a hozzáférést kérő felhasználó számára
• Engedélyezze a hozzáférést kérő felhasználónak, hogy sikeres munkamenetet hozzon létre egy jóváhagyott igényalapú hozzáférési kérelem alapján

A következő PowerShell-parancsok hozzák létre ezt a JIT-konfigurációt:

1. Rendeljen hozzá egy változót, amely a virtuális géphez tartozó igény szerint megadott virtuálisgép-hozzáférési szabályokat tartalmazza:

   $JitPolicy = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
           number=22;
           protocol="*";
           allowedSourceAddressPrefix=@("*");
           maxRequestAccessDuration="PT3H"},
           @{
           number=3389;
           protocol="*";
           allowedSourceAddressPrefix=@("*");
           maxRequestAccessDuration="PT3H"})})
   

2. Szúrja be a virtuális gép igény szerint történő virtuálisgép-hozzáférési szabályait egy tömbbe:

   $JitPolicyArr=@($JitPolicy)
   

3. Konfigurálja az igény szerint megadott virtuálisgép-hozzáférési szabályokat a kijelölt virtuális gépen:

   Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
   

   A -Name paraméterrel adjon meg egy virtuális gépet. Ha például két különböző virtuális gép( VM1 és VM2) JIT-konfigurációját szeretné létrehozni, használja a következőt: Set-AzJitNetworkAccessPolicy -Name VM1 és Set-AzJitNetworkAccessPolicy -Name VM2.

Hozzáférés kérése egy JIT-kompatibilis virtuális géphez a PowerShell használatával

Az alábbi példában egy igény szerinti virtuálisgép-hozzáférési kérés jelenik meg egy adott virtuális géphez a 22-s porthoz, egy adott IP-címhez és egy meghatározott ideig:

Futtassa a következő parancsokat a PowerShellben:

1. A virtuális gép hozzáférési tulajdonságainak konfigurálása:

   $JitPolicyVm1 = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
         number=22;
         endTimeUtc="2020-07-15T17:00:00.3658798Z";
         allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
   

2. Szúrja be a virtuálisgép-hozzáférési kérelem paramétereit egy tömbbe:

   $JitPolicyArr=@($JitPolicyVm1)
   

3. A kérelem hozzáférésének elküldése (az erőforrás-azonosító használata az 1. lépésben)

   Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
   

További információ a PowerShell-parancsmag dokumentációjában.

REST API

JIT engedélyezése virtuális gépeken a REST API használatával

Az igény szerint használható virtuálisgép-hozzáférési funkció a Felhőhöz készült Microsoft Defender API-val használható. Ezzel az API-val információkat kaphat a konfigurált virtuális gépekről, újakat vehet fel, hozzáférést kérhet egy virtuális géphez stb.

További információ a JIT hálózati hozzáférési szabályzatairól.

Hozzáférés kérése JIT-kompatibilis virtuális géphez a REST API használatával

Az igény szerint használható virtuálisgép-hozzáférési funkció a Felhőhöz készült Microsoft Defender API-val használható. Ezzel az API-val információkat kaphat a konfigurált virtuális gépekről, újakat vehet fel, hozzáférést kérhet egy virtuális géphez stb.

További információ a JIT hálózati hozzáférési szabályzatairól.

JIT-hozzáférési tevékenység naplózása Felhőhöz készült Defender

A naplókereséssel betekintést nyerhet a virtuálisgép-tevékenységekbe. A naplók megtekintése:

1. A just-in-time virtuálisgép-hozzáférésből válassza a Konfigurált lapot.

2. A naplózni kívánt virtuális gép esetében nyissa meg a sor végén található három pont menüt.

3. Válassza ki a tevékenységnaplót a menüből.

   

   A tevékenységnapló szűrt nézetet biztosít az adott virtuális gép korábbi műveleteiről, valamint az időről, a dátumról és az előfizetésről.

4. A naplóadatok letöltéséhez válassza a Letöltés CSV-ként lehetőséget.