Beveiligingsoverwegingen voor Azure Stack HCI

Van toepassing op: Azure Stack HCI, versies 22H2 en 21H2; Windows Server 2022, Windows Server 2019

Dit onderwerp bevat beveiligingsoverwegingen en aanbevelingen met betrekking tot het Azure Stack HCI-besturingssysteem:

  • Deel 1 behandelt basisbeveiligingshulpprogramma's en -technologieën om het besturingssysteem te beveiligen en gegevens en identiteiten te beveiligen om efficiënt een veilige basis voor uw organisatie te bouwen.
  • Deel 2 behandelt resources die beschikbaar zijn via de Microsoft Defender voor cloud. Zie Microsoft Defender voor inleiding tot de cloud.
  • Deel 3 behandelt geavanceerdere beveiligingsoverwegingen om de beveiligingspostuur van uw organisatie op deze gebieden verder te versterken.

Waarom zijn beveiligingsoverwegingen belangrijk?

Beveiliging is van invloed op iedereen in uw organisatie, van beheer op het hoogste niveau tot de informatiemedewerker. Onvoldoende beveiliging is een reëel risico voor organisaties, omdat een beveiligingsschending alle normale activiteiten kan verstoren en uw organisatie kan stoppen. Hoe eerder u een potentiële aanval kunt detecteren, hoe sneller u eventuele beveiligingsinbreuken kunt beperken.

Na onderzoek van de zwakke punten van een omgeving om deze te misbruiken, kan een aanvaller doorgaans binnen 24 tot 48 uur na de eerste inbreuk bevoegdheden escaleren om de controle over systemen op het netwerk over te nemen. Goede beveiligingsmaatregelen beschermen de systemen in de omgeving om de tijd die een aanvaller nodig heeft om mogelijk de controle over te nemen, te verlengen van uren tot weken of zelfs maanden door de bewegingen van de aanvaller te blokkeren. Door de beveiligingsaanbevelingen in dit onderwerp te implementeren, kan uw organisatie dergelijke aanvallen zo snel mogelijk detecteren en erop reageren.

Deel 1: Een veilige basis bouwen

In de volgende secties worden beveiligingshulpprogramma's en -technologieën aanbevolen voor het bouwen van een veilige basis voor de servers waarop het Azure Stack HCI-besturingssysteem in uw omgeving wordt uitgevoerd.

De omgeving beveiligen

In deze sectie wordt beschreven hoe u services en virtuele machines (VM's) beveiligt die worden uitgevoerd op het besturingssysteem:

  • Azure Stack HCI-gecertificeerde hardware biedt standaard consistente secure boot-, UEFI- en TPM-instellingen. Het combineren van beveiliging op basis van virtualisatie en gecertificeerde hardware helpt bij het beveiligen van beveiligingsgevoelige workloads. U kunt deze vertrouwde infrastructuur ook verbinden met Microsoft Defender voor cloud om gedragsanalyses en rapportage te activeren om rekening te houden met snel veranderende workloads en bedreigingen.

    • Beveiligd opstarten is een beveiligingsstandaard die is ontwikkeld door de pc-industrie om ervoor te zorgen dat een apparaat wordt opgestart met alleen software die wordt vertrouwd door de OEM (Original Equipment Manufacturer). Zie Beveiligd opstarten voor meer informatie.
    • United Extensible Firmware Interface (UEFI) beheert het opstartproces van de server en geeft vervolgens de besturing door aan Windows of een ander besturingssysteem. Zie UEFI-firmwarevereisten voor meer informatie.
    • TPM-technologie (Trusted Platform Module) biedt op hardware gebaseerde beveiligingsfuncties. Een TPM-chip is een beveiligde cryptoprocessor die het gebruik van cryptografische sleutels genereert, opslaat en beperkt. Zie Trusted Platform Module Technology Overview (Overzicht van Trusted Platform Module Technology) voor meer informatie.

    Zie de website met Azure Stack HCI-oplossingen voor meer informatie over Azure Stack HCI-gecertificeerde hardwareproviders.

  • Het hulpprogramma Beveiliging is systeemeigen beschikbaar in Windows Admin Center voor zowel enkele server- als Azure Stack HCI-clusters om beveiligingsbeheer en -controle eenvoudiger te maken. Het hulpprogramma centraliseert enkele belangrijke beveiligingsinstellingen voor servers en clusters, waaronder de mogelijkheid om de status van de beveiligde kern van systemen weer te geven.

    Zie Beveiligde kernserver voor meer informatie.

  • Device Guard en Credential Guard. Device Guard beschermt tegen malware zonder bekende handtekening, niet-ondertekende code en malware die toegang krijgt tot de kernel om gevoelige informatie vast te leggen of het systeem te beschadigen. Windows Defender Credential Guard maakt gebruik van op virtualisatie gebaseerde beveiliging om geheime gegevens te isoleren. Zo hebt u er alleen met bevoegde systeemsoftware toegang toe.

    Zie Manage Windows Defender Credential Guard (Windows Defender beheren) en download het Device Guard- en Credential Guard-hulpprogramma voor hardwaregereedheid voor meer informatie.

  • Windows - en firmware-updates zijn essentieel op clusters, servers (inclusief gast-VM's) en pc's om ervoor te zorgen dat zowel het besturingssysteem als de systeemhardware worden beschermd tegen aanvallers. U kunt het hulpprogramma Windows Admin Center Updates gebruiken om updates toe te passen op afzonderlijke systemen. Als uw hardwareprovider Windows Admin Center ondersteuning biedt voor het ophalen van stuurprogramma-, firmware- en oplossingsupdates, kunt u deze updates tegelijk met Windows-updates downloaden. Anders kunt u ze rechtstreeks bij uw leverancier downloaden.

    Zie Het cluster bijwerken voor meer informatie.

    Als u updates op meerdere clusters en servers tegelijk wilt beheren, kunt u zich abonneren op de optionele Azure Update Management-service, die is geïntegreerd met Windows Admin Center. Zie Azure Updatebeheer met Windows Admin Center voor meer informatie.

Gegevens beveiligen

In deze sectie wordt beschreven hoe u Windows Admin Center gebruikt om gegevens en workloads op het besturingssysteem te beveiligen:

  • BitLocker voor Opslagruimten beveiligt data-at-rest. U kunt BitLocker gebruiken om de inhoud van Opslagruimten gegevensvolumes op het besturingssysteem te versleutelen. Als u BitLocker gebruikt om gegevens te beveiligen, kunnen organisaties voldoen aan de overheids-, regionale en branchespecifieke standaarden, zoals FIPS 140-2 en HIPAA.

    Zie Volumeversleuteling, ontdubbeling en compressie inschakelen voor meer informatie over het gebruik van BitLocker in Windows Admin Center

  • SMB-versleuteling voor Windows-netwerken beschermt gegevens die onderweg zijn. Server Message Block (SMB) is een netwerkprotocol voor het delen van bestanden waarmee toepassingen op een computer bestanden kunnen lezen en schrijven en services kunnen aanvragen van serverprogramma's op een computernetwerk.

    Zie SMB-beveiligingsverbeteringen om SMB-versleuteling in te schakelen.

  • Windows Defender Antivirus beschermt het besturingssysteem op clients en servers tegen virussen, malware, spyware en andere bedreigingen. Zie Microsoft Defender Antivirus op Windows Server voor meer informatie.

Identiteiten beveiligen

In deze sectie wordt beschreven hoe u Windows Admin Center gebruikt om bevoegde identiteiten te beveiligen:

  • Toegangsbeheer kan de beveiliging van uw beheerlandschap verbeteren. Als u een Windows Admin Center-server gebruikt (in plaats van op een Windows 10 pc), kunt u twee toegangsniveaus tot Windows Admin Center zelf beheren: gatewaygebruikers en gatewaybeheerders. Opties voor de id-provider van de gatewaybeheerder zijn onder andere:

    • Active Directory of lokale computergroepen voor het afdwingen van smartcard-verificatie.
    • Microsoft Entra-id om voorwaardelijke toegang en meervoudige verificatie af te dwingen.

    Zie Opties voor gebruikerstoegang met Windows Admin Center en Gebruikers Access Control en machtigingen configureren voor meer informatie.

  • Browserverkeer naar Windows Admin Center maakt gebruik van HTTPS. Verkeer van Windows Admin Center naar beheerde servers maakt gebruik van standaard PowerShell en Windows Management Instrumentation (WMI) via Windows Remote Management (WinRM). Windows Admin Center ondersteunt LAPS (Local Administrator Password Solution), beperkte delegatie op basis van resources, gatewaytoegangsbeheer met behulp van Active Directory (AD) of Microsoft Entra-id en op rollen gebaseerd toegangsbeheer (RBAC) voor het beheren van de Windows Admin Center-gateway.

    Windows Admin Center ondersteunt Microsoft Edge (Windows 10 versie 1709 of hoger), Google Chrome en Microsoft Edge Insider op Windows 10. U kunt Windows Admin Center installeren op een Windows 10 pc of een Windows-server.

    Als u Windows Admin Center op een server installeert, wordt deze uitgevoerd als een gateway, zonder gebruikersinterface op de hostserver. In dit scenario kunnen beheerders zich aanmelden bij de server via een HTTPS-sessie, beveiligd door een zelfondertekend beveiligingscertificaat op de host. Het is echter beter om een geschikt SSL-certificaat van een vertrouwde certificeringsinstantie te gebruiken voor het aanmeldingsproces, omdat in ondersteunde browsers een zelfondertekende verbinding als onbeveiligd wordt beschouwd, zelfs als de verbinding met een lokaal IP-adres via een vertrouwd VPN is.

    Zie Welk type installatie is geschikt voor u? voor meer informatie over de installatieopties voor uw organisatie.

  • CredSSP is een verificatieprovider die Windows Admin Center in een paar gevallen gebruikt om referenties door te geven aan computers buiten de specifieke server die u wilt beheren. Windows Admin Center vereist momenteel dat CredSSP het volgende moet doen:

    • Een nieuw cluster maken.
    • Open het hulpprogramma Updates om de functies Failoverclustering of Cluster-Aware Updating te gebruiken.
    • Beheer niet-geaggregeerde SMB-opslag in VM's.

    Zie Maakt Windows Admin Center gebruik van CredSSP? voor meer informatie.

  • Beveiligingshulpprogramma's in Windows Admin Center die u kunt gebruiken om identiteiten te beheren en te beveiligen, zijn onder andere Active Directory, certificaten, firewall, lokale gebruikers en groepen.

    Zie Servers beheren met Windows Admin Center voor meer informatie.

Deel 2: MDC (Microsoft Defender for Cloud) gebruiken

Microsoft Defender for Cloud is een geïntegreerd infrastructuurbeveiligingsbeheersysteem dat de beveiligingspostuur van uw datacenters versterkt en geavanceerde bedreigingsbeveiliging biedt voor uw hybride workloads in de cloud en on-premises. Defender for Cloud biedt u hulpprogramma's voor het beoordelen van de beveiligingsstatus van uw netwerk, het beveiligen van workloads, het genereren van beveiligingswaarschuwingen en het volgen van specifieke aanbevelingen voor het oplossen van aanvallen en het aanpakken van toekomstige bedreigingen. Defender for Cloud voert al deze services met hoge snelheid uit in de cloud zonder implementatieoverhead via automatische inrichting en beveiliging met Azure-services.

Defender voor Cloud beveiligt VM's voor zowel Windows-servers als Linux-servers door de Log Analytics-agent op deze resources te installeren. Azure correleert gebeurtenissen die de agents verzamelen in aanbevelingen (beveiligingstaken) die u uitvoert om uw workloads veilig te maken. De beveiligingstaken op basis van best practices voor beveiliging omvatten het beheren en afdwingen van beveiligingsbeleid. Vervolgens kunt u de resultaten bijhouden en naleving en governance in de loop van de tijd beheren via Defender for Cloud-bewaking, terwijl u de kwetsbaarheid voor aanvallen voor al uw resources vermindert.

Beheren wie toegang heeft tot uw Azure-resources en -abonnementen is een belangrijk onderdeel van uw Azure-governancestrategie. Azure RBAC is de primaire methode voor het beheren van toegang in Azure. Zie Toegang tot uw Azure-omgeving beheren met op rollen gebaseerd toegangsbeheer voor meer informatie.

Voor het werken met Defender for Cloud via Windows Admin Center is een Azure-abonnement vereist. Zie Windows Admin Center-resources beveiligen met Microsoft Defender for Cloud om aan de slag te gaan. Zie Uw Defender for Server-implementatie plannen om aan de slag te gaan. Zie Een Defender for Servers-abonnement selecteren voor licentieverlening voor Defender voor Servers (serverabonnementen).

Nadat u zich hebt geregistreerd, opent u MDC in Windows Admin Center: selecteer op de pagina Alle verbindingen een server of VM, selecteer onder Hulpprogramma's de optie Microsoft Defender voor cloud en selecteer vervolgens Aanmelden bij Azure.

Zie Wat is Microsoft Defender for Cloud? voor meer informatie.

Deel 3: Geavanceerde beveiliging toevoegen

In de volgende secties worden geavanceerde beveiligingshulpprogramma's en -technologieën aanbevolen om servers met het Azure Stack HCI-besturingssysteem in uw omgeving verder te beveiligen.

De omgeving beveiligen

  • Microsoft-beveiligingsbasislijnen zijn gebaseerd op beveiligingsaanbevelingen van Microsoft die zijn verkregen in samenwerking met commerciële organisaties en de Amerikaanse overheid, zoals het Ministerie van Defensie. De beveiligingsbasislijnen bevatten aanbevolen beveiligingsinstellingen voor Windows Firewall, Windows Defender en vele andere.

    De beveiligingsbasislijnen worden geleverd als back-ups van groepsbeleid object (GPO) die u kunt importeren in Active Directory Domain Services (AD DS) en vervolgens kunt implementeren op servers die lid zijn van een domein om de omgeving te beveiligen. U kunt ook hulpprogramma's voor lokale scripts gebruiken om zelfstandige (niet-domein-gekoppelde) servers met beveiligingsbasislijnen te configureren. Download de Microsoft Security Compliance Toolkit 1.0 om aan de slag te gaan met de beveiligingsbasislijnen.

    Zie Microsoft-beveiligingsbasislijnen voor meer informatie.

Gegevens beveiligen

  • Om de Hyper-V-omgeving te beveiligen, moet Windows Server op een VIRTUELE machine worden beveiligd, net zoals u het besturingssysteem op een fysieke server zou beveiligen. Omdat virtuele omgevingen doorgaans meerdere VM's hebben die dezelfde fysieke host delen, is het noodzakelijk om zowel de fysieke host als de vm's die erop worden uitgevoerd, te beveiligen. Een aanvaller die inbreuk maakt op een host kan invloed hebben op meerdere VM's met een grotere impact op workloads en services. In deze sectie worden de volgende methoden besproken die u kunt gebruiken om Windows Server te beveiligen in een Hyper-V-omgeving:

    • Virtual Trusted Platform Module (vTPM) in Windows Server ondersteunt TPM voor VM's, waarmee u geavanceerde beveiligingstechnologieën, zoals BitLocker in VM's, kunt gebruiken. U kunt TPM-ondersteuning inschakelen op elke Hyper-V-VM van de tweede generatie met behulp van Hyper-V-beheer of de Enable-VMTPM cmdlet Windows PowerShell.

      Notitie

      Het inschakelen van vTPM is van invloed op de vm-mobiliteit: er zijn handmatige acties vereist om de VM te laten starten op een andere host dan de host die u oorspronkelijk hebt ingeschakeld voor vTPM.

      Zie Enable-VMTPM voor meer informatie.

    • Sdn (Software Defined Networking) in Azure Stack HCI en Windows Server configureert en beheert virtuele netwerkapparaten centraal, zoals de software load balancer, datacentrumfirewall, gateways en virtuele switches in uw infrastructuur. Virtuele netwerkelementen, zoals hyper-V virtuele switch, Hyper-V-netwerkvirtualisatie en RAS-gateway zijn ontworpen als integrale elementen van uw SDN-infrastructuur.

      Zie Software Defined Networking (SDN) voor meer informatie.

      Notitie

      Afgeschermde VM's die worden beveiligd door De Host Guardian-service, worden niet ondersteund in Azure Stack HCI.

Identiteiten beveiligen

  • Local Administrator Password Solution (LAPS) is een lichtgewicht mechanisme voor Active Directory-systemen die lid zijn van een domein waarmee het wachtwoord voor het lokale beheerdersaccount van elke computer periodiek wordt ingesteld op een nieuwe willekeurige en unieke waarde. Wachtwoorden worden opgeslagen in een beveiligd vertrouwelijk kenmerk op het bijbehorende computerobject in Active Directory, waar alleen specifiek geautoriseerde gebruikers ze kunnen ophalen. LAPS maakt gebruik van lokale accounts voor extern computerbeheer op een manier die enkele voordelen biedt ten opzichte van het gebruik van domeinaccounts. Zie Extern gebruik van lokale accounts: LAPS changes everything (Extern gebruik van lokale accounts: LAPS Changes Everything) voor meer informatie.

    Download Local Administrator Password Solution (LAPS) om aan de slag te gaan met LAPS.

  • Microsoft Advanced Threat Analytics (ATA) is een on-premises product dat u kunt gebruiken om aanvallers te detecteren die proberen inbreuk te plegen op bevoegde identiteiten. ATA parseert netwerkverkeer voor verificatie, autorisatie en het verzamelen van gegevens, zoals Kerberos en DNS. ATA gebruikt de gegevens om gedragsprofielen van gebruikers en andere entiteiten op het netwerk te bouwen om afwijkingen en bekende aanvalspatronen te detecteren.

    Zie Wat is Advanced Threat Analytics? voor meer informatie.

  • Windows Defender Remote Credential Guard beveiligt referenties via een verbinding met extern bureaublad door Kerberos-aanvragen terug te sturen naar het apparaat dat de verbinding aanvraagt. Het biedt ook eenmalige aanmelding (SSO) voor Extern bureaublad-sessies. Als tijdens een extern bureaublad-sessie het doelapparaat is aangetast, worden uw referenties niet weergegeven omdat zowel referenties als referentiederivaten nooit via het netwerk worden doorgegeven aan het doelapparaat.

    Zie Manage Windows Defender Credential Guard (Beheren Windows Defender Credential Guard) voor meer informatie.

  • Microsoft Defender for Identities helpt u bij het beveiligen van bevoegde identiteiten door gebruikersgedrag en -activiteiten te bewaken, de kwetsbaarheid voor aanvallen te verminderen, Active Directory Federal Service (AD FS) in een hybride omgeving te beschermen en verdachte activiteiten en geavanceerde aanvallen in de kill-chain voor cyberaanvallen te identificeren.

    Zie Wat is Microsoft Defender for Identity? voor meer informatie.

Volgende stappen

Zie voor meer informatie over beveiliging en naleving van regelgeving: