Gyakorlat – JIT virtuálisgép-hozzáférés engedélyezése

  • 10 perc

A funkció használatához rendelkeznie kell a Felhőhöz készült Microsoft Defender továbbfejlesztett biztonsági funkcióival. A próbaverzió aktiválása vagy az előfizetés fokozott biztonsága után engedélyezheti a just-in-time (JIT) virtuális gép (VM) hozzáférést az előfizetésben kiválasztott Azure-beli virtuális gépekhez. Ha most nem szeretné elindítani a próbaverziót, az alábbi utasításokat követve megtekintheti a szükséges lépéseket.

Új virtuális gép létrehozása

Először hozzunk létre egy virtuális gépet az Azure Cloud Shell használatával.

Feljegyzés

Ez a gyakorlat nem hajtható végre az Azure-tesztkörnyezetben. Győződjön meg arról, hogy olyan előfizetést választ, amely Felhőhöz készült Defender engedélyezett fokozott biztonsági funkciókkal rendelkezik.

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza a Cloud Shell ikont az Azure Portal eszköztárának jobb felső sarkában. A Cloud Shell a portál alján jelenik meg.

    Először adjon meg néhány alapértelmezett értéket, így nem kell többször megadnia őket.

  3. Állítsa be az alapértelmezett helyet. Itt az eastus-t használjuk, de nyugodtan módosítsa azt egy Önhöz közelebbi helyre.

    az configure --defaults location=eastus

    Tipp.

    A Másolás gombbal a vágólapra másolhatja a parancsokat. Beillesztéshez kattintson a jobb gombbal egy új sorra a Cloud Shell-terminálban, és válassza a Beillesztés lehetőséget, vagy használja a Shift+Beszúrás billentyűparancsot (⌘+V macOS rendszeren).

  4. Ezután hozzon létre egy új Azure-erőforráscsoportot a virtuálisgép-erőforrások tárolásához. Ezzel a névvel mslearnDeleteMe emlékeztettük magunkat, hogy töröljük ezt a csoportot, amikor elkészültünk.

    az group create --name mslearnDeleteMe --location eastus

  5. Lépjen tovább, és állítsa be mslearnDeleteMe alapértelmezett erőforráscsoportként.

    az configure --defaults group="mslearnDeleteMe"

  6. Ezután futtassa a következő parancsot egy új Windows-alapú virtuális gép létrehozásához. Mindenképpen cserélje le az <your-password-here> értéket a saját érvényes jelszavára.

    az vm create \
    --name SRVDC01 \
    --image win2019datacenter \
    --resource-group mslearnDeleteMe \
    --admin-username azureuser \
    --admin-password <your-password-here>

    A virtuális gép és a kapcsolódó erőforrások létrehozása csak néhány percet vesz igénybe. Az alábbi példához hasonló választ kell kapnia.

    {
  "fqdns": "",
  "id": "/subscriptions/abcd/resourceGroups/mslearnDeleteMe/providers/Microsoft.Compute/virtualMachines/SRVDC01",
  "location": "eastus",
  "macAddress": "00-00-00-00-00-00",
  "powerState": "VM running",
  "privateIpAddress": "10.1.0.4",
  "publicIpAddress": "52.123.123.123",
  "resourceGroup": "mslearnDeleteMe",
  "zones": ""
}

  7. Ha Távoli asztal (RDP) használatával szeretne csatlakozni a virtuális géphez, használja a válaszban szereplő nyilvános IP-címet. A Windows beépített RDP-ügyfélrel rendelkezik. Ha másik ügyfélrendszert használ, a macOS és a Linux rendszerhez is elérhetők ügyfelek.

Csatlakoztathatja és felügyelheti a virtuális gépet. Adjunk hozzá JIT-t a biztonság érdekében!

JIT virtuálisgép-hozzáférés engedélyezése a Felhőhöz készült Defender

  1. Az Azure Portal kezdőlapján, a felső keresősávon keresse meg és válassza ki a Felhőhöz készült Microsoft Defender. Megjelenik a Felhőhöz készült Microsoft Defender Áttekintés panelje.

  2. A bal oldali menüpanel Felhőbiztonság területén válassza a Számítási feladatok védelme lehetőséget. Megjelenik a Számítási feladatok védelme panel.

  3. A főablakban görgessen le a Speciális védelemhez. válassza az Igény szerint virtuálisgép-hozzáférést. Megjelenik a Just-in-time virtuálisgép-hozzáférési ablaktábla.

  4. A Virtuális gépek területen válassza a Nincs konfigurálva lapot.

  5. Válassza ki a virtuális gépet az MSLEARNDELETEME erőforráscsoportból.

  6. Válassza a JIT engedélyezése 1 virtuális gépen a kiválasztott virtuális géppel, ahogyan az alábbi képernyőképen látható.

    Screenshot that depicts how you can enable JIT VM Access for a selected VM.

    Megjelenik a JIT virtuális gép hozzáférési konfigurációs panelje a virtuális géphez. A JIT-szabályok engedélyezése után megvizsgálhatja a virtuális gép hálózati biztonsági csoportját. Új szabálykészletet alkalmaz a távfelügyeleti hozzáférés letiltására, ahogy az az alábbi képen is látható.

    Screenshot that depicts rules to block remote management access.

    Figyelje meg, hogy a szabályok a belső címen vannak alkalmazva, és vonatkoznak az összes felügyeleti portra, köztük az RDP protokollra (3389) és az SSH-ra (22) is.

  7. A felső menüsávon válassza a Mentés lehetőséget. Újra megjelenik a Just-in-time virtuálisgép-hozzáférési ablaktábla.

Távoli asztal-hozzáférés kérése

Ha ezen a ponton próbál RDP-t létrehozni a Windows rendszerű virtuális gépre, a hozzáférés le lesz tiltva. Amikor a rendszergazdának hozzáférésre van szüksége, Felhőhöz készült Defender kérhetnek hozzáférést.

  1. A Virtuális gépek területen válassza a Konfigurált lapot.

  2. Válassza ki a virtuális gépet, majd válassza a Hozzáférés kérése lehetőséget a felügyeleti portok megnyitásához.

    Screenshot that depicts how you can request access to a VM.

    Megjelenik a Kérés hozzáférési panel az SRVD01-hez.

  3. Válassza ki a megnyitni kívánt portokat; ebben az esetben a Távoli asztali port (3389).

    Screenshot that depicts opening a port by selecting On for its toggle.

  4. Válassza a Portok megnyitása lehetőséget a kérés véglegesítéséhez. Beállíthatja, hogy hány óra legyen nyitva a port ezen a panelen is. Az idő lejárta után a port bezárul, és a hozzáférés megtagadva.

A távoli asztali ügyfél most már sikeresen csatlakozhat – legalábbis arra az időtartamra, amelyen keresztül Felhőhöz készült Defender.