Beveiligingsoverwegingen voor Azure Stack HCI
Van toepassing op: Azure Stack HCI, versies 22H2 en 21H2; Windows Server 2022, Windows Server 2019
Belangrijk
Azure Stack HCI maakt nu deel uit van Azure Local. De naam van productdocumentatie wordt nog steeds bijgewerkt. Oudere versies van Azure Stack HCI, bijvoorbeeld 22H2, blijven verwijzen naar Azure Stack HCI en geven de naamwijziging niet weer. Meer informatie.
Dit onderwerp bevat beveiligingsoverwegingen en aanbevelingen met betrekking tot het Azure Stack HCI-besturingssysteem:
- Deel 1 omvat eenvoudige beveiligingshulpprogramma's en technologieën om het besturingssysteem te beveiligen en gegevens en identiteiten te beveiligen om efficiënt een veilige basis voor uw organisatie te bouwen.
- Deel 2 omvat resources die beschikbaar zijn via de Microsoft Defender voor Cloud. Zie Microsoft Defender voor Cloud Inleiding.
- Deel 3 behandelt meer geavanceerde beveiligingsoverwegingen om het beveiligingspostuur van uw organisatie op deze gebieden verder te versterken.
Waarom zijn beveiligingsoverwegingen belangrijk?
Beveiliging is van invloed op iedereen in uw organisatie van beheer op het hoogste niveau tot de informatiemedewerker. Onvoldoende beveiliging is een echt risico voor organisaties als een beveiligingsschending kan mogelijk alle normale zaken verstoren en uw organisatie tot stilstand brengen. Hoe sneller u een mogelijke aanval kunt detecteren, hoe sneller u elke inbreuk in de beveiliging kunt beperken.
Na onderzoek van de zwakke punten van een omgeving om ze te misbruiken, kan een aanvaller meestal binnen 24 tot 48 uur na de eerste inbreuk bevoegdheden escaleren om de controle over systemen op het netwerk te nemen. Goede beveiligingsmaatregelen beveiligen de systemen in de omgeving om de tijd te verlengen die een aanvaller nodig heeft om mogelijk controle te nemen van uren tot weken of zelfs maanden door de bewegingen van de aanvaller te blokkeren. Door de beveiligingsaanaanvelingen in dit onderwerp te implementeren, stelt u uw organisatie in staat om dergelijke aanvallen zo snel mogelijk te detecteren en erop te reageren.
Deel 1: Een veilige basis bouwen
In de volgende secties worden beveiligingshulpprogramma's en -technologieën aanbevolen om een veilige basis te bouwen voor de servers waarop het Azure Stack HCI-besturingssysteem in uw omgeving wordt uitgevoerd.
De omgeving beveiligen
In deze sectie wordt beschreven hoe u services en virtuele machines (VM's) beveiligt die worden uitgevoerd op het besturingssysteem:
Azure Stack HCI-gecertificeerde hardware biedt standaard consistente Secure Boot-, UEFI- en TPM-instellingen. Het combineren van beveiliging op basis van virtualisatie en gecertificeerde hardware helpt bij het beveiligen van beveiligingsgevoelige workloads. U kunt deze vertrouwde infrastructuur ook verbinden met Microsoft Defender voor Cloud om gedragsanalyse en rapportage te activeren om rekening te houden met snel veranderende workloads en bedreigingen.
- Beveiligd opstarten is een beveiligingsstandaard die is ontwikkeld door de pc-industrie om ervoor te zorgen dat een apparaat alleen opstart met software die wordt vertrouwd door de Oem (Original Equipment Manufacturer). Zie Beveiligd opstarten voor meer informatie.
- United Extensible Firmware Interface (UEFI) bepaalt het opstartproces van de server en geeft vervolgens het besturingselement door aan Windows of een ander besturingssysteem. Zie UEFI-firmwarevereisten voor meer informatie.
- Tpm-technologie (Trusted Platform Module) biedt hardwaregebaseerde, beveiligingsgerelateerde functies. Een TPM-chip is een beveiligde cryptoprocessor waarmee cryptografische sleutels worden gegenereerd, opgeslagen en beperkt. Zie Overzicht van Trusted Platform Module Technology voor meer informatie.
Zie de website van de Azure Stack HCI-oplossingen voor meer informatie over door Azure Stack HCI gecertificeerde hardwareproviders.
Het hulpprogramma Beveiliging is systeemeigen beschikbaar in het Windows-beheercentrum voor zowel één server als Azure Stack HCI-clusters om beveiligingsbeheer en -beheer eenvoudiger te maken. Het hulpprogramma centraliseert enkele belangrijke beveiligingsinstellingen voor servers en clusters, inclusief de mogelijkheid om de status van systemen met beveiligde kernen weer te geven.
Zie Secured-core-server voor meer informatie.
Device Guard en Credential Guard. Device Guard beschermt tegen malware zonder bekende handtekening, niet-ondertekende code en malware die toegang krijgt tot de kernel om gevoelige informatie vast te leggen of het systeem te beschadigen. Windows Defender Credential Guard maakt gebruik van beveiliging op basis van virtualisatie om geheimen te isoleren, zodat alleen bevoegde systeemsoftware er toegang toe heeft.
Zie Windows Defender Credential Guard beheren en het hulpprogramma Device Guard en Credential Guard-hardwaregereedheid downloaden voor meer informatie.
Windows - en firmware-updates zijn essentieel voor clusters, servers (inclusief gast-VM's) en pc's om ervoor te zorgen dat zowel het besturingssysteem als de systeemhardware worden beschermd tegen aanvallers. U kunt het hulpprogramma Updates voor Windows Admin Center gebruiken om updates toe te passen op afzonderlijke systemen. Als uw hardwareprovider ondersteuning voor Windows Admin Center bevat voor het ophalen van stuurprogramma-, firmware- en oplossingsupdates, kunt u deze updates op hetzelfde moment als Windows-updates ophalen; anders kunt u ze rechtstreeks van uw leverancier ophalen.
Zie Het cluster bijwerken voor meer informatie.
Als u updates op meerdere clusters en servers tegelijk wilt beheren, kunt u zich abonneren op de optionele Azure Update Management-service, die is geïntegreerd met het Windows-beheercentrum. Zie Azure UpdateBeheer met behulp van het Windows-beheercentrum voor meer informatie.
Gegevens beveiligen
In deze sectie wordt beschreven hoe u Windows Admin Center gebruikt om gegevens en workloads op het besturingssysteem te beveiligen:
BitLocker voor Opslagruimten beschermt data-at-rest. U kunt BitLocker gebruiken om de inhoud van Opslagruimten gegevensvolumes op het besturingssysteem te versleutelen. Door BitLocker te gebruiken om gegevens te beveiligen, kunnen organisaties voldoen aan overheids-, regionale en branchespecifieke standaarden zoals FIPS 140-2 en HIPAA.
SMB-versleuteling voor Windows-netwerken beschermt gegevens tijdens overdracht. Server Message Block (SMB) is een netwerkprotocol voor het delen van bestanden waarmee toepassingen op een computer bestanden kunnen lezen en schrijven en services kunnen aanvragen van serverprogramma's op een computernetwerk.
Zie SMB-beveiligingsverbeteringen om SMB-versleuteling in te schakelen.
Windows Defender Antivirus beschermt het besturingssysteem op clients en servers tegen virussen, malware, spyware en andere bedreigingen. Zie Microsoft Defender Antivirus op Windows Server voor meer informatie.
Identiteiten beveiligen
In deze sectie wordt beschreven hoe u het Windows-beheercentrum gebruikt om bevoorrechte identiteiten te beveiligen:
Toegangsbeheer kan de beveiliging van uw beheerlandschap verbeteren. Als u een Windows Admin Center-server gebruikt (versus wordt uitgevoerd op een Windows 10-pc), kunt u twee niveaus van toegang tot het Windows-beheercentrum zelf beheren: gatewaygebruikers en gatewaybeheerders. Opties voor id-provider van gatewaybeheerders zijn:
- Active Directory of lokale computergroepen voor het afdwingen van smartcardverificatie.
- Microsoft Entra ID voor het afdwingen van voorwaardelijke toegang en meervoudige verificatie.
Zie Opties voor gebruikerstoegang met Windows Admin Center en Gebruikerstoegangsbeheer en -machtigingen configureren voor meer informatie.
Browserverkeer naar Het Windows-beheercentrum maakt gebruik van HTTPS. Verkeer van Windows Admin Center naar beheerde servers maakt gebruik van standaard PowerShell en Windows Management Instrumentation (WMI) via Windows Remote Management (WinRM). Het Windows-beheercentrum ondersteunt de local Administrator Password Solution (LAPS), beperkte delegatie op basis van resources, gatewaytoegangsbeheer met behulp van Active Directory (AD) of Microsoft Entra-id en op rollen gebaseerd toegangsbeheer (RBAC) voor het beheren van de Windows-beheercentrumgateway.
Windows Admin Center ondersteunt Microsoft Edge (Windows 10, versie 1709 of hoger), Google Chrome en Microsoft Edge Insider in Windows 10. U kunt Windows Admin Center installeren op een Windows 10-pc of een Windows-server.
Als u Windows Admin Center op een server installeert, wordt het uitgevoerd als een gateway, zonder gebruikersinterface op de hostserver. In dit scenario kunnen beheerders zich via een HTTPS-sessie aanmelden bij de server, beveiligd door een zelfondertekend beveiligingscertificaat op de host. Het is echter beter om een geschikt SSL-certificaat van een vertrouwde certificeringsinstantie te gebruiken voor het aanmeldingsproces, omdat ondersteunde browsers een zelfondertekende verbinding behandelen als onbeveiligd, zelfs als de verbinding met een lokaal IP-adres via een vertrouwde VPN is.
CredSSP is een verificatieprovider die Windows Admin Center in enkele gevallen gebruikt om referenties door te geven aan computers buiten de specifieke server die u wilt beheren. Voor het Windows-beheercentrum is momenteel CredSSP vereist voor het volgende:
- Een nieuw cluster maken.
- Open het hulpprogramma Updates voor het gebruik van de functies Failoverclustering of Clusterbewust bijwerken.
- Niet-geaggregeerde SMB-opslag in VM's beheren.
Zie Voor meer informatie: gebruikt het Windows-beheercentrum CredSSP?
Beveiligingshulpprogramma's in het Windows-beheercentrum die u kunt gebruiken voor het beheren en beveiligen van identiteiten zijn Active Directory, Certificaten, Firewall, Lokale gebruikers en groepen en meer.
Zie Servers beheren met Het Windows-beheercentrum voor meer informatie.
Deel 2: MDC (Microsoft Defender voor Cloud) gebruiken
Microsoft Defender voor Cloud is een geïntegreerd beveiligingsbeheersysteem voor infrastructuur dat de beveiligingsstatus van uw datacenters versterkt en geavanceerde bedreigingsbeveiliging biedt voor uw hybride workloads in de cloud en on-premises. Defender voor Cloud biedt u hulpprogramma's voor het beoordelen van de beveiligingsstatus van uw netwerk, het beveiligen van workloads, het genereren van beveiligingswaarschuwingen en het volgen van specifieke aanbevelingen voor het oplossen van aanvallen en het oplossen van toekomstige bedreigingen. Defender voor Cloud voert al deze services met hoge snelheid uit in de cloud zonder implementatieoverhead via automatische inrichting en beveiliging met Azure-services.
Defender voor Cloud beveiligt VM's voor zowel Windows-servers als Linux-servers door de Log Analytics-agent op deze resources te installeren. Azure correleert gebeurtenissen die de agents verzamelen in aanbevelingen (hardening-taken) die u uitvoert om uw workloads veilig te maken. De beveiligingstaken op basis van aanbevolen beveiligingsprocedures omvatten het beheren en afdwingen van beveiligingsbeleid. Vervolgens kunt u de resultaten bijhouden en de naleving en governance gedurende een bepaalde periode beheren via Defender voor Cloud bewaking, terwijl u de kwetsbaarheid voor aanvallen voor al uw resources vermindert.
Beheren wie toegang heeft tot uw Azure-resources en -abonnementen is een belangrijk onderdeel van uw Azure-governancestrategie. Azure RBAC is de primaire methode voor het beheren van toegang in Azure. Zie Toegang tot uw Azure-omgeving beheren met op rollen gebaseerd toegangsbeheer voor meer informatie.
Voor het werken met Defender voor Cloud via het Windows-beheercentrum is een Azure-abonnement vereist. Zie Windows Admin Center-resources beveiligen met Microsoft Defender voor Cloud om aan de slag te gaan. Zie Uw Defender for Server-implementatie plannen om aan de slag te gaan. Zie Een Defender for Servers-abonnement selecteren voor licenties van Defender for Servers (serverplannen).
Nadat u zich hebt geregistreerd, opent u MDC in het Windows-beheercentrum: selecteer op de pagina Alle verbindingen een server of VM, selecteer onder Extra Microsoft Defender voor Cloud en selecteer vervolgens Aanmelden bij Azure.
Zie Wat is Microsoft Defender voor Cloud voor meer informatie.
Deel 3: Geavanceerde beveiliging toevoegen
In de volgende secties worden geavanceerde beveiligingshulpprogramma's en -technologieën aanbevolen om servers met het Azure Stack HCI-besturingssysteem in uw omgeving verder te beveiligen.
De omgeving beveiligen
Microsoft-beveiligingsbasislijnen zijn gebaseerd op beveiligingsaankopen van Microsoft die zijn verkregen via samenwerking met commerciële organisaties en de Amerikaanse overheid, zoals het Ministerie van Defensie. De beveiligingsbasislijnen omvatten aanbevolen beveiligingsinstellingen voor Windows Firewall, Windows Defender en vele andere.
De beveiligingsbasislijnen worden geleverd als groepsbeleidsobjectback-ups die u kunt importeren in Active Directory-domein Services (AD DS) en vervolgens implementeren op servers die lid zijn van een domein om de omgeving te beveiligen. U kunt ook lokale scripthulpprogramma's gebruiken om zelfstandige (niet aan een domein gekoppelde) servers te configureren met beveiligingsbasislijnen. Download de Microsoft Security Compliance Toolkit 1.0 om aan de slag te gaan met de beveiligingsbasislijnen.
Zie Microsoft-beveiligingsbasislijnen voor meer informatie.
Gegevens beveiligen
Voor het beveiligen van de Hyper-V-omgeving is beveiliging van Windows Server vereist die wordt uitgevoerd op een virtuele machine, net zoals u het besturingssysteem dat op een fysieke server wordt uitgevoerd, zou beperken. Omdat virtuele omgevingen doorgaans meerdere VM's hebben die dezelfde fysieke host delen, is het noodzakelijk om zowel de fysieke host als de virtuele machines die erop worden uitgevoerd te beveiligen. Een aanvaller die inbreuk op een host heeft, kan invloed hebben op meerdere VM's met een grotere impact op workloads en services. In deze sectie worden de volgende methoden besproken die u kunt gebruiken om Windows Server in een Hyper-V-omgeving te beveiligen:
Virtual Trusted Platform Module (vTPM) in Windows Server ondersteunt TPM voor VM's, waarmee u geavanceerde beveiligingstechnologieën, zoals BitLocker in VM's, kunt gebruiken. U kunt TPM-ondersteuning inschakelen op elke Hyper-V-VM van de tweede generatie met Behulp van Hyper-V-beheer of de
Enable-VMTPM
Windows PowerShell-cmdlet.Notitie
Als u vTPM inschakelt, is dit van invloed op vm-mobiliteit: handmatige acties zijn vereist om ervoor te zorgen dat de VIRTUELE machine op een andere host kan worden gestart dan de vm die u oorspronkelijk hebt ingeschakeld.
Zie Enable-VMTPM voor meer informatie.
Software Defined Networking (SDN) in Azure Stack HCI en Windows Server configureert en beheert virtuele netwerkapparaten, zoals de software load balancer, datacentrumfirewall, gateways en virtuele switches in uw infrastructuur. Virtuele netwerkelementen, zoals Hyper-V Virtual Switch, Hyper-V-netwerkvirtualisatie en RAS-gateway, zijn ontworpen als integrale elementen van uw SDN-infrastructuur.
Zie Software Defined Networking (SDN) voor meer informatie.
Notitie
Afgeschermde VM's die worden beveiligd door Host Guardian Service, worden niet ondersteund in Azure Stack HCI.
Identiteiten beveiligen
Local Administrator Password Solution (LAPS) is een lichtgewicht mechanisme voor Active Directory-systemen die periodiek het lokale beheerdersaccountwachtwoord van elke computer instellen op een nieuwe willekeurige en unieke waarde. Wachtwoorden worden opgeslagen in een beveiligd vertrouwelijk kenmerk op het bijbehorende computerobject in Active Directory, waarbij alleen specifiek gemachtigde gebruikers deze kunnen ophalen. LAPS maakt gebruik van lokale accounts voor extern computerbeheer op een manier die enkele voordelen biedt ten opzichte van het gebruik van domeinaccounts. Zie Extern gebruik van lokale accounts voor meer informatie: LAPS Wijzigt alles.
Microsoft Advanced Threat Analytics (ATA) is een on-premises product dat u kunt gebruiken om aanvallers te helpen detecteren die misbruik maken van bevoegde identiteiten. ATA parseert netwerkverkeer voor verificatie, autorisatie en informatieverzamelingsprotocollen, zoals Kerberos en DNS. ATA gebruikt de gegevens om gedragsprofielen van gebruikers en andere entiteiten op het netwerk te bouwen om afwijkingen en bekende aanvalspatronen te detecteren.
Windows Defender Remote Credential Guard beveiligt referenties via een verbinding met extern bureaublad door Kerberos-aanvragen terug te leiden naar het apparaat dat de verbinding aanvraagt. Het biedt ook eenmalige aanmelding (SSO) voor Extern bureaublad-sessies. Als tijdens een extern bureaublad-sessie het doelapparaat is aangetast, worden uw referenties niet weergegeven omdat zowel referentie- als referentiederivaten nooit via het netwerk worden doorgegeven aan het doelapparaat.
Zie Windows Defender Credential Guard beheren voor meer informatie.
Microsoft Defender for Identities helpt u bij het beveiligen van bevoorrechte identiteiten door het gedrag en activiteiten van gebruikers te bewaken, de kwetsbaarheid voor aanvallen te verminderen, Active Directory Federal Service (AD FS) te beschermen in een hybride omgeving, en verdachte activiteiten en geavanceerde aanvallen te identificeren in de kill-chain voor cyberaanvallen.
Zie Wat is Microsoft Defender for Identity? voor meer informatie.
Volgende stappen
Zie voor meer informatie over beveiliging en naleving van regelgeving: