Oefening: JIT VM-toegang inschakelen
U moet over de verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud beschikken om deze functie te kunnen gebruiken. Nadat u een proefversie hebt geactiveerd of verbeterde beveiliging voor uw abonnement hebt ingeschakeld, kunt u Just-In-Time (JIT)-toegang tot virtuele machines (VM's) inschakelen voor geselecteerde virtuele Azure-machines (VM's) in het abonnement. Als u nu geen proefabonnement wilt starten, kunt u de volgende instructies doorlezen om de vereiste stappen te bekijken.
Een nieuwe virtuele machine maken
Laten we beginnen met het maken van een virtuele machine met behulp van Azure Cloud Shell.
Notitie
Deze oefening kan niet worden uitgevoerd in de Azure-sandbox. Zorg ervoor dat u een abonnement selecteert waarvoor verbeterde beveiligingsfuncties zijn ingeschakeld voor Defender voor Cloud.
Meld u aan bij het Azure-portaal.
Selecteer het Cloud Shell-pictogram in de rechterbovenhoek van de werkbalk van Azure Portal. Cloud Shell wordt onderaan de portal weergegeven.
Begin met het instellen van enkele standaardwaarden, zodat u ze niet meerdere keren hoeft in te voeren.
Stel een standaardlocatie in. Hier gebruiken we eastus, maar u kunt dit gerust wijzigen in een locatie dichter bij u.
az configure --defaults location=eastus
Tip
U kunt de knop Kopiëren gebruiken om opdrachten te kopiëren naar het klembord. Als u wilt plakken, klikt u met de rechtermuisknop op een nieuwe regel in de Cloud Shell-terminal en selecteert u Plakken of gebruikt u de sneltoets Shift+Insert (⌘+V in macOS).
Maak vervolgens een nieuwe Azure-resourcegroep voor het opslaan van uw VM-resources. We hebben hier de naam
mslearnDeleteMe
gebruikt om onszelf eraan te herinneren deze groep te verwijderen wanneer we klaar zijn.az group create --name mslearnDeleteMe --location eastus
Ga verder en stel
mslearnDeleteMe
deze in als de standaardresourcegroep.az configure --defaults group="mslearnDeleteMe"
Voer vervolgens de volgende opdracht uit om een nieuwe windows-VM te maken. Zorg ervoor dat u de
<your-password-here>
waarde vervangt door uw eigen geldige wachtwoord.az vm create \ --name SRVDC01 \ --image win2019datacenter \ --resource-group mslearnDeleteMe \ --admin-username azureuser \ --admin-password <your-password-here>
Het maken van de VM en de ondersteunende resources duurt enkele minuten. Als het goed is, krijgt u een antwoord dat lijkt op het volgende voorbeeld.
{ "fqdns": "", "id": "/subscriptions/abcd/resourceGroups/mslearnDeleteMe/providers/Microsoft.Compute/virtualMachines/SRVDC01", "location": "eastus", "macAddress": "00-00-00-00-00-00", "powerState": "VM running", "privateIpAddress": "10.1.0.4", "publicIpAddress": "52.123.123.123", "resourceGroup": "mslearnDeleteMe", "zones": "" }
Gebruik het openbare IP-adres in het antwoord om verbinding te maken met de virtuele machine via Extern bureaublad (RDP). Windows heeft een ingebouwde RDP-client. Als u een ander clientsysteem gebruikt, zijn er clients beschikbaar voor macOS en Linux.
U kunt verbinding maken met de virtuele machine en deze beheren. Laten we JIT toevoegen voor beveiliging.
JIT VM-toegang inschakelen in Defender voor Cloud
Zoek en selecteer op de startpagina van Azure Portal in de bovenste zoekbalk Microsoft Defender voor Cloud. Het deelvenster Overzicht voor Microsoft Defender voor Cloud wordt weergegeven.
Selecteer in het linkermenuvenster onder Cloud Security workloadbeveiliging. Het deelvenster Workloadbeveiliging wordt weergegeven.
Schuif in het hoofdvenster omlaag naar Geavanceerde beveiliging. Selecteer Just-In-Time-VM-toegang. Het Deelvenster Just-In-Time-VM-toegang wordt weergegeven.
Selecteer onder Virtuele machines het tabblad Niet geconfigureerd .
Selecteer de virtuele machine in de resourcegroep MSLEARNDELETEME.
Selecteer JIT inschakelen op 1 VM met de geselecteerde VM, zoals wordt weergegeven in de volgende schermopname.
Het deelvenster JIT VM-toegangsconfiguratie wordt weergegeven voor uw VIRTUELE machine. Nadat u de JIT-regels hebt ingeschakeld, kunt u de netwerkbeveiligingsgroep voor de virtuele machine onderzoeken. Er is een nieuwe set regels toegepast om toegang tot extern beheer te blokkeren, zoals wordt weergegeven in de volgende afbeelding.
U ziet dat de regels worden toegepast op het interne adres en alle beheerpoorten zijn opgenomen: zowel Remote Desktop Protocol (3389) als SSH (22).
Selecteer Opslaan in de bovenste menubalk. Het Deelvenster Just-In-Time-VM-toegang wordt opnieuw weergegeven.
Toegang tot Extern bureaublad aanvragen
Als u op dit moment probeert rdP naar de Windows-VM te gaan, wordt de toegang geblokkeerd. Wanneer uw beheerder toegang nodig heeft, kunnen ze in Defender voor Cloud komen om toegang aan te vragen.
Selecteer onder Virtuele machines het tabblad Geconfigureerd .
Selecteer uw VIRTUELE machine en selecteer vervolgens Toegang aanvragen om de beheerpoorten te openen.
Het deelvenster Toegang aanvragen wordt weergegeven voor SRVD01.
Selecteer de poorten die u wilt openen; in dit geval de extern bureaublad-poort (3389).
Selecteer Poorten openen om de aanvraag te voltooien. U kunt ook het aantal uren instellen dat de poort geopend blijft vanuit dit deelvenster. Nadat de tijd is verstreken, wordt de poort gesloten en wordt de toegang geweigerd.
Uw Extern bureaublad-client kan nu verbinding maken, ten minste voor de periode die u hebt toegewezen via Defender voor Cloud.