Oefening: JIT VM-toegang inschakelen

  • 10 minuten

U moet over de verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud beschikken om deze functie te kunnen gebruiken. Nadat u een proefversie hebt geactiveerd of verbeterde beveiliging voor uw abonnement hebt ingeschakeld, kunt u Just-In-Time (JIT)-toegang tot virtuele machines (VM's) inschakelen voor geselecteerde virtuele Azure-machines (VM's) in het abonnement. Als u nu geen proefabonnement wilt starten, kunt u de volgende instructies doorlezen om de vereiste stappen te bekijken.

Een nieuwe virtuele machine maken

Laten we beginnen met het maken van een virtuele machine met behulp van Azure Cloud Shell.

Notitie

Deze oefening kan niet worden uitgevoerd in de Azure-sandbox. Zorg ervoor dat u een abonnement selecteert waarvoor verbeterde beveiligingsfuncties zijn ingeschakeld voor Defender voor Cloud.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer het Cloud Shell-pictogram in de rechterbovenhoek van de werkbalk van Azure Portal. Cloud Shell wordt onderaan de portal weergegeven.

    Begin met het instellen van enkele standaardwaarden, zodat u ze niet meerdere keren hoeft in te voeren.

  3. Stel een standaardlocatie in. Hier gebruiken we eastus, maar u kunt dit gerust wijzigen in een locatie dichter bij u.

    az configure --defaults location=eastus

    Tip

    U kunt de knop Kopiëren gebruiken om opdrachten te kopiëren naar het klembord. Als u wilt plakken, klikt u met de rechtermuisknop op een nieuwe regel in de Cloud Shell-terminal en selecteert u Plakken of gebruikt u de sneltoets Shift+Insert (⌘+V in macOS).

  4. Maak vervolgens een nieuwe Azure-resourcegroep voor het opslaan van uw VM-resources. We hebben hier de naam mslearnDeleteMe gebruikt om onszelf eraan te herinneren deze groep te verwijderen wanneer we klaar zijn.

    az group create --name mslearnDeleteMe --location eastus

  5. Ga verder en stel mslearnDeleteMe deze in als de standaardresourcegroep.

    az configure --defaults group="mslearnDeleteMe"

  6. Voer vervolgens de volgende opdracht uit om een nieuwe windows-VM te maken. Zorg ervoor dat u de <your-password-here> waarde vervangt door uw eigen geldige wachtwoord.

    az vm create \
    --name SRVDC01 \
    --image win2019datacenter \
    --resource-group mslearnDeleteMe \
    --admin-username azureuser \
    --admin-password <your-password-here>

    Het maken van de VM en de ondersteunende resources duurt enkele minuten. Als het goed is, krijgt u een antwoord dat lijkt op het volgende voorbeeld.

    {
  "fqdns": "",
  "id": "/subscriptions/abcd/resourceGroups/mslearnDeleteMe/providers/Microsoft.Compute/virtualMachines/SRVDC01",
  "location": "eastus",
  "macAddress": "00-00-00-00-00-00",
  "powerState": "VM running",
  "privateIpAddress": "10.1.0.4",
  "publicIpAddress": "52.123.123.123",
  "resourceGroup": "mslearnDeleteMe",
  "zones": ""
}

  7. Gebruik het openbare IP-adres in het antwoord om verbinding te maken met de virtuele machine via Extern bureaublad (RDP). Windows heeft een ingebouwde RDP-client. Als u een ander clientsysteem gebruikt, zijn er clients beschikbaar voor macOS en Linux.

U kunt verbinding maken met de virtuele machine en deze beheren. Laten we JIT toevoegen voor beveiliging.

JIT VM-toegang inschakelen in Defender voor Cloud

  1. Zoek en selecteer op de startpagina van Azure Portal in de bovenste zoekbalk Microsoft Defender voor Cloud. Het deelvenster Overzicht voor Microsoft Defender voor Cloud wordt weergegeven.

  2. Selecteer in het linkermenuvenster onder Cloud Security workloadbeveiliging. Het deelvenster Workloadbeveiliging wordt weergegeven.

  3. Schuif in het hoofdvenster omlaag naar Geavanceerde beveiliging. Selecteer Just-In-Time-VM-toegang. Het Deelvenster Just-In-Time-VM-toegang wordt weergegeven.

  4. Selecteer onder Virtuele machines het tabblad Niet geconfigureerd .

  5. Selecteer de virtuele machine in de resourcegroep MSLEARNDELETEME.

  6. Selecteer JIT inschakelen op 1 VM met de geselecteerde VM, zoals wordt weergegeven in de volgende schermopname.

    Screenshot that depicts how you can enable JIT VM Access for a selected VM.

    Het deelvenster JIT VM-toegangsconfiguratie wordt weergegeven voor uw VIRTUELE machine. Nadat u de JIT-regels hebt ingeschakeld, kunt u de netwerkbeveiligingsgroep voor de virtuele machine onderzoeken. Er is een nieuwe set regels toegepast om toegang tot extern beheer te blokkeren, zoals wordt weergegeven in de volgende afbeelding.

    Screenshot that depicts rules to block remote management access.

    U ziet dat de regels worden toegepast op het interne adres en alle beheerpoorten zijn opgenomen: zowel Remote Desktop Protocol (3389) als SSH (22).

  7. Selecteer Opslaan in de bovenste menubalk. Het Deelvenster Just-In-Time-VM-toegang wordt opnieuw weergegeven.

Toegang tot Extern bureaublad aanvragen

Als u op dit moment probeert rdP naar de Windows-VM te gaan, wordt de toegang geblokkeerd. Wanneer uw beheerder toegang nodig heeft, kunnen ze in Defender voor Cloud komen om toegang aan te vragen.

  1. Selecteer onder Virtuele machines het tabblad Geconfigureerd .

  2. Selecteer uw VIRTUELE machine en selecteer vervolgens Toegang aanvragen om de beheerpoorten te openen.

    Screenshot that depicts how you can request access to a VM.

    Het deelvenster Toegang aanvragen wordt weergegeven voor SRVD01.

  3. Selecteer de poorten die u wilt openen; in dit geval de extern bureaublad-poort (3389).

    Screenshot that depicts opening a port by selecting On for its toggle.

  4. Selecteer Poorten openen om de aanvraag te voltooien. U kunt ook het aantal uren instellen dat de poort geopend blijft vanuit dit deelvenster. Nadat de tijd is verstreken, wordt de poort gesloten en wordt de toegang geweigerd.

Uw Extern bureaublad-client kan nu verbinding maken, ten minste voor de periode die u hebt toegewezen via Defender voor Cloud.