Zagadnienia dotyczące zabezpieczeń rozwiązania Azure Stack HCI

  • Artykuł

Dotyczy: Azure Stack HCI, wersje 22H2 i 21H2; Windows Server 2022, Windows Server 2019

Ten temat zawiera zagadnienia i zalecenia dotyczące zabezpieczeń związane z systemem operacyjnym Azure Stack HCI:

  • Część 1 obejmuje podstawowe narzędzia i technologie zabezpieczeń w celu wzmacniania bezpieczeństwa systemu operacyjnego oraz ochrony danych i tożsamości w celu wydajnego tworzenia bezpiecznej podstawy dla organizacji.
  • Część 2 obejmuje zasoby dostępne za pośrednictwem Microsoft Defender for Cloud. Zobacz Microsoft Defender wprowadzenie do chmury.
  • Część 3 obejmuje bardziej zaawansowane zagadnienia dotyczące zabezpieczeń w celu dalszego wzmocnienia stanu zabezpieczeń organizacji w tych obszarach.

Dlaczego ważne są zagadnienia dotyczące zabezpieczeń?

Bezpieczeństwo wpływa na wszystkich w organizacji od zarządzania wyższego poziomu do procesu roboczego informacji. Nieodpowiednie zabezpieczenia są realnym zagrożeniem dla organizacji, ponieważ naruszenie zabezpieczeń może potencjalnie zakłócić całą normalną działalność i zatrzymać organizację. Tym szybciej można wykryć potencjalny atak, tym szybciej można ograniczyć wszelkie naruszenia zabezpieczeń.

Po zbadaniu słabych punktów środowiska w celu ich wykorzystania atakujący może zazwyczaj w ciągu 24 do 48 godzin od początkowego naruszenia bezpieczeństwa eskalować uprawnienia, aby przejąć kontrolę nad systemami w sieci. Dobre środki bezpieczeństwa wzmacniają zabezpieczenia systemów w środowisku, aby wydłużyć czas, przez który osoba atakująca może przejąć kontrolę od godzin do kilku tygodni, a nawet miesięcy, blokując ruch osoby atakującej. Wdrożenie zaleceń dotyczących zabezpieczeń w tym temacie umożliwia organizacji wykrywanie takich ataków i reagowanie na nie tak szybko, jak to możliwe.

Część 1. Tworzenie bezpiecznej podstawy

W poniższych sekcjach przedstawiono narzędzia i technologie zabezpieczeń, aby utworzyć bezpieczną podstawę dla serwerów z systemem operacyjnym Azure Stack HCI w danym środowisku.

Wzmacnianie środowiska

W tej sekcji omówiono sposób ochrony usług i maszyn wirtualnych działających w systemie operacyjnym:

  • Certyfikowany sprzęt usługi Azure Stack HCI zapewnia spójne ustawienia bezpiecznego rozruchu, interfejsu UEFI i modułu TPM. Połączenie zabezpieczeń opartych na wirtualizacji i certyfikowanym sprzęcie pomaga chronić obciążenia wrażliwe na zabezpieczenia. Możesz również połączyć tę zaufaną infrastrukturę z Microsoft Defender dla chmury w celu aktywowania analizy behawioralnej i raportowania, aby uwzględnić szybko zmieniające się obciążenia i zagrożenia.

    • Bezpieczny rozruch to standard zabezpieczeń opracowany przez branżę komputerów, który pomaga zapewnić, że urządzenie uruchamia się przy użyciu tylko oprogramowania zaufanego przez producenta oryginalnego sprzętu (OEM). Aby dowiedzieć się więcej, zobacz Bezpieczny rozruch.
    • United Extensible Firmware Interface (UEFI) kontroluje proces rozruchu serwera, a następnie przekazuje kontrolę do systemu Windows lub innego systemu operacyjnego. Aby dowiedzieć się więcej, zobacz Wymagania dotyczące oprogramowania układowego UEFI.
    • Technologia Trusted Platform Module (TPM) udostępnia funkcje związane ze sprzętem i zabezpieczeniami. Mikroukład modułu TPM to bezpieczny procesor kryptograficzny, który generuje, przechowuje i ogranicza użycie kluczy kryptograficznych. Aby dowiedzieć się więcej, zobacz Trusted Platform Module Technology Overview (Omówienie technologii modułu zaufanej platformy).

    Aby dowiedzieć się więcej na temat certyfikowanych dostawców sprzętu usługi Azure Stack HCI, zobacz witrynę internetową rozwiązań Azure Stack HCI .

  • Narzędzie Zabezpieczenia jest dostępne natywnie w Windows Admin Center zarówno dla klastrów pojedynczego serwera, jak i usługi Azure Stack HCI, aby ułatwić zarządzanie zabezpieczeniami i kontrolę. Narzędzie centralizuje niektóre kluczowe ustawienia zabezpieczeń dla serwerów i klastrów, w tym możliwość wyświetlania stanu zabezpieczonego podstawowego systemu.

    Aby dowiedzieć się więcej, zobacz Zabezpieczony serwer core.

  • Device Guard i Credential Guard. Funkcja Device Guard chroni przed złośliwym oprogramowaniem bez znanego podpisu, niepodpisanego kodu i złośliwego oprogramowania, które uzyskuje dostęp do jądra w celu przechwytywania poufnych informacji lub uszkodzenia systemu. Funkcja Windows Defender Credential Guard używa zabezpieczeń opartych na wirtualizacji do izolowania kluczy tajnych, aby tylko uprzywilejowane oprogramowanie systemowe mogło uzyskiwać do nich dostęp.

    Aby dowiedzieć się więcej, zobacz Zarządzanie Windows Defender Credential Guard i pobieranie narzędzia do gotowości sprzętowej funkcji Device Guard i Credential Guard.

  • Aktualizacje systemu Windows i oprogramowania układowego są niezbędne w klastrach, serwerach (w tym maszynach wirtualnych gościa) i komputerach, aby zapewnić ochronę zarówno systemu operacyjnego, jak i sprzętu systemu przed osobami atakującymi. Aby zastosować aktualizacje do poszczególnych systemów, można użyć narzędzia Windows Admin Center Aktualizacje. Jeśli dostawca sprzętu obejmuje Windows Admin Center obsługę pobierania aktualizacji sterowników, oprogramowania układowego i rozwiązania, możesz pobrać te aktualizacje w tym samym czasie co aktualizacje systemu Windows. W przeciwnym razie pobierz je bezpośrednio od dostawcy.

    Aby dowiedzieć się więcej, zobacz Aktualizowanie klastra.

    Aby zarządzać aktualizacjami w wielu klastrach i serwerach jednocześnie, rozważ subskrybowanie opcjonalnej usługi Azure Update Management, która jest zintegrowana z Windows Admin Center. Aby uzyskać więcej informacji, zobacz Azure Update Management using Windows Admin Center(Azure Update Management using Windows Admin Center).

Ochrona danych

W tej sekcji omówiono sposób używania Windows Admin Center do ochrony danych i obciążeń w systemie operacyjnym:

  • Funkcja BitLocker dla Miejsca do magazynowania chroni dane magazynowane. Funkcja BitLocker umożliwia szyfrowanie zawartości woluminów danych Miejsca do magazynowania w systemie operacyjnym. Używanie funkcji BitLocker do ochrony danych może pomóc organizacjom w zachowaniu zgodności z normami rządowymi, regionalnymi i branżowymi, takimi jak FIPS 140-2 i HIPAA.

    Aby dowiedzieć się więcej na temat używania funkcji BitLocker w Windows Admin Center, zobacz Włączanie szyfrowania woluminów, deduplikacji i kompresji

  • Szyfrowanie SMB dla sieci systemu Windows chroni dane podczas przesyłania. Blok komunikatów serwera (SMB) to sieciowy protokół udostępniania plików, który umożliwia aplikacjom na komputerze odczytywanie i zapisywanie w plikach oraz żądania usług z programów serwera w sieci komputerowej.

    Aby włączyć szyfrowanie SMB, zobacz Ulepszenia zabezpieczeń protokołu SMB.

  • program antywirusowy Windows Defender chroni system operacyjny na klientach i serwerach przed wirusami, złośliwym oprogramowaniem, programami szpiegującymi i innymi zagrożeniami. Aby dowiedzieć się więcej, zobacz program antywirusowy Microsoft Defender w systemie Windows Server.

Ochrona tożsamości

W tej sekcji omówiono sposób używania Windows Admin Center do ochrony tożsamości uprzywilejowanych:

  • Kontrola dostępu może poprawić bezpieczeństwo środowiska zarządzania. Jeśli używasz serwera Windows Admin Center (a nie na komputerze Windows 10), możesz kontrolować dwa poziomy dostępu do samego Windows Admin Center: użytkowników bramy i administratorów bramy. Opcje dostawcy tożsamości administratora bramy obejmują:

    • Usługi Active Directory lub grupy komputerów lokalnych w celu wymuszania uwierzytelniania za pomocą karty inteligentnej.
    • Microsoft Entra identyfikator wymuszania dostępu warunkowego i uwierzytelniania wieloskładnikowego.

    Aby dowiedzieć się więcej, zobacz Opcje dostępu użytkowników za pomocą Windows Admin Center i Konfigurowanie Access Control użytkownika i uprawnień.

  • Ruch przeglądarki do Windows Admin Center używa protokołu HTTPS. Ruch z Windows Admin Center do serwerów zarządzanych korzysta ze standardowego programu PowerShell i instrumentacji zarządzania Windows (WMI) za pośrednictwem zdalnego zarządzania systemem Windows (WinRM). Windows Admin Center obsługuje rozwiązanie RBAC (Local Administrator Password Solution), ograniczone delegowanie oparte na zasobach, kontrolę dostępu do bramy przy użyciu usługi Active Directory (AD) lub identyfikatora Microsoft Entra oraz kontroli dostępu opartej na rolach (RBAC) do zarządzania bramą Windows Admin Center.

    Windows Admin Center obsługuje przeglądarkę Microsoft Edge (Windows 10 w wersji 1709 lub nowszej), Google Chrome i Microsoft Edge Insider w Windows 10. Można zainstalować Windows Admin Center na komputerze Windows 10 lub serwerze z systemem Windows.

    Jeśli instalujesz Windows Admin Center na serwerze, działa jako brama bez interfejsu użytkownika na serwerze hosta. W tym scenariuszu administratorzy mogą zalogować się na serwerze za pośrednictwem sesji HTTPS zabezpieczonego certyfikatem zabezpieczeń z podpisem własnym na hoście. Jednak lepiej jest użyć odpowiedniego certyfikatu SSL z zaufanego urzędu certyfikacji dla procesu logowania, ponieważ obsługiwane przeglądarki traktują połączenie z podpisem własnym jako niezabezpieczone, nawet jeśli połączenie jest z lokalnym adresem IP za pośrednictwem zaufanej sieci VPN.

    Aby dowiedzieć się więcej na temat opcji instalacji dla organizacji, zobacz Jaki typ instalacji jest odpowiedni dla Ciebie?.

  • CredSSP to dostawca uwierzytelniania, który Windows Admin Center używa w kilku przypadkach do przekazywania poświadczeń do maszyn poza określonym serwerem przeznaczonym do zarządzania. Windows Admin Center obecnie wymaga dostawcy CredSSP:

    • Utwórz nowy klaster.
    • Uzyskaj dostęp do narzędzia Aktualizacje, aby użyć klastra trybu failover lub Cluster-Aware funkcji aktualizacji.
    • Zarządzanie rozagregowanym magazynem SMB na maszynach wirtualnych.

    Aby dowiedzieć się więcej, zobacz Czy Windows Admin Center używać credSSP?

  • Narzędzia zabezpieczeń w Windows Admin Center, których można użyć do zarządzania tożsamościami i ich ochrony, obejmują usługę Active Directory, certyfikaty, zaporę, użytkowników lokalnych i grup itd.

    Aby dowiedzieć się więcej, zobacz Zarządzanie serwerami za pomocą Windows Admin Center.

Część 2. Używanie Microsoft Defender dla chmury (MDC)

Microsoft Defender for Cloud to ujednolicony system zarządzania zabezpieczeniami infrastruktury, który wzmacnia poziom zabezpieczeń centrów danych i zapewnia zaawansowaną ochronę przed zagrożeniami w ramach obciążeń hybrydowych w chmurze i lokalnie. Usługa Defender for Cloud udostępnia narzędzia do oceny stanu zabezpieczeń sieci, ochrony obciążeń, podnoszenia alertów zabezpieczeń i śledzenia określonych zaleceń w celu korygowania ataków i reagowania na przyszłe zagrożenia. Usługa Defender for Cloud wykonuje wszystkie te usługi z dużą szybkością w chmurze bez obciążeń związanych z wdrażaniem dzięki automatycznej aprowizacji i ochronie usług platformy Azure.

Usługa Defender for Cloud chroni maszyny wirtualne zarówno dla serwerów z systemem Windows, jak i serwerów z systemem Linux, instalując agenta usługi Log Analytics na tych zasobach. Platforma Azure koreluje zdarzenia zbierane przez agentów do zaleceń (zadań wzmacniania zabezpieczeń), które są wykonywane w celu zapewnienia bezpieczeństwa obciążeń. Zadania wzmacniania zabezpieczeń oparte na najlepszych rozwiązaniach w zakresie zabezpieczeń obejmują zarządzanie zasadami zabezpieczeń i wymuszanie ich. Następnie możesz śledzić wyniki i zarządzać zgodnością i ładem w czasie za pośrednictwem monitorowania usługi Defender for Cloud, zmniejszając jednocześnie obszar ataków we wszystkich zasobach.

Określanie, kto może uzyskiwać dostęp do zasobów platformy Azure i subskrypcji, to ważna część strategii zarządzania platformą Azure. Kontrola dostępu oparta na rolach platformy Azure to podstawowa metoda zarządzania dostępem na platformie Azure. Aby dowiedzieć się więcej, zobacz Zarządzanie dostępem do środowiska platformy Azure przy użyciu kontroli dostępu opartej na rolach.

Praca z usługą Defender for Cloud za pośrednictwem Windows Admin Center wymaga subskrypcji platformy Azure. Aby rozpocząć pracę, zobacz Ochrona zasobów Windows Admin Center przy użyciu Microsoft Defender for Cloud. Aby rozpocząć pracę, zobacz Planowanie wdrożenia usługi Defender for Server. Aby uzyskać licencje usługi Defender for Servers (plany serwera), zobacz Wybieranie planu usługi Defender for Servers.

Po zarejestrowaniu uzyskaj dostęp do usługi MDC w Windows Admin Center: na stronie Wszystkie połączenia wybierz serwer lub maszynę wirtualną, w obszarze Narzędzia wybierz pozycję Microsoft Defender dla chmury, a następnie wybierz pozycję Zaloguj się do platformy Azure.

Aby uzyskać więcej informacji, zobacz Co to jest Microsoft Defender dla chmury?.

Część 3. Dodawanie zaawansowanych zabezpieczeń

W poniższych sekcjach przedstawiono zaawansowane narzędzia i technologie zabezpieczeń, aby dodatkowo wzmacniać zabezpieczenia serwerów z systemem operacyjnym Azure Stack HCI w środowisku.

Wzmacnianie środowiska

  • Punkty odniesienia zabezpieczeń firmy Microsoft są oparte na zaleceniach dotyczących zabezpieczeń uzyskanych przez firmę Microsoft za pośrednictwem partnerstwa z organizacjami komercyjnymi i rządem USA, takimi jak Departament Obrony. Punkty odniesienia zabezpieczeń obejmują zalecane ustawienia zabezpieczeń zapory systemu Windows, Windows Defender i wiele innych.

    Punkty odniesienia zabezpieczeń są udostępniane jako kopie zapasowe obiektów zasady grupy (GPO), które można zaimportować do Active Directory Domain Services (AD DS), a następnie wdrożyć na serwerach przyłączonych do domeny w celu zabezpieczenia środowiska. Narzędzia skryptów lokalnych umożliwiają również konfigurowanie autonomicznych (nieprzyłączonych do domeny) serwerów z punktami odniesienia zabezpieczeń. Aby rozpocząć korzystanie z punktów odniesienia zabezpieczeń, pobierz zestaw narzędzi Microsoft Security Compliance Toolkit 1.0.

    Aby dowiedzieć się więcej, zobacz Punkty odniesienia zabezpieczeń firmy Microsoft.

Ochrona danych

  • Wzmocnienie zabezpieczeń środowiska funkcji Hyper-V wymaga wzmacniania zabezpieczeń systemu Windows Server działającego na maszynie wirtualnej tak samo, jak w przypadku wzmacniania zabezpieczeń systemu operacyjnego działającego na serwerze fizycznym. Ponieważ środowiska wirtualne zwykle mają wiele maszyn wirtualnych współużytkowania tego samego hosta fizycznego, należy chronić zarówno hosta fizycznego, jak i uruchomione na nim maszyny wirtualne. Osoba atakująca, która naruszy bezpieczeństwo hosta, może wpłynąć na wiele maszyn wirtualnych z większym wpływem na obciążenia i usługi. W tej sekcji omówiono następujące metody, których można użyć do wzmacniania zabezpieczeń systemu Windows Server w środowisku funkcji Hyper-V:

    • Moduł Virtual Trusted Platform Module (vTPM) w systemie Windows Server obsługuje moduł TPM dla maszyn wirtualnych, który umożliwia korzystanie z zaawansowanych technologii zabezpieczeń, takich jak funkcja BitLocker na maszynach wirtualnych. Obsługę modułu TPM można włączyć na dowolnej maszynie wirtualnej funkcji Hyper-V generacji 2 przy użyciu Menedżera funkcji Hyper-V lub Enable-VMTPM polecenia cmdlet Windows PowerShell.

      Uwaga

      Włączenie maszyny wirtualnej vTPM będzie miało wpływ na mobilność maszyny wirtualnej: akcje ręczne będą wymagane, aby umożliwić maszynie wirtualnej uruchamianie na innym hoście od tego, na którym pierwotnie włączono maszynę wirtualną vTPM.

      Aby dowiedzieć się więcej, zobacz Enable-VMTPM (Włączanie maszyny wirtualnej).

    • Sieć zdefiniowana programowo (SDN) w usługach Azure Stack HCI i Windows Server centralnie konfiguruje urządzenia sieciowe wirtualne i zarządza nimi, takie jak programowy moduł równoważenia obciążenia, zapora centrum danych, bramy i przełączniki wirtualne w infrastrukturze. Elementy sieci wirtualnej, takie jak przełącznik wirtualny funkcji Hyper-V, wirtualizacja sieci funkcji Hyper-V i brama RAS, mają być integralną częścią infrastruktury SDN.

      Aby dowiedzieć się więcej, zobacz Software Defined Networking (SDN).

      Uwaga

      Chronione maszyny wirtualne chronione przez usługę Ochrona hosta nie są obsługiwane w usłudze Azure Stack HCI.

Ochrona tożsamości

  • Rozwiązanie do haseł administratora lokalnego (LAPS) to uproszczony mechanizm dla systemów przyłączonych do domeny usługi Active Directory, który okresowo ustawia hasło konta administratora lokalnego każdego komputera na nową losową i unikatową wartość. Hasła są przechowywane w zabezpieczonym atrybucie poufnym w odpowiednim obiekcie komputera w usłudze Active Directory, gdzie tylko specjalnie autoryzowani użytkownicy mogą je pobrać. Usługa LAPS używa kont lokalnych do zdalnego zarządzania komputerem w sposób, który oferuje pewne korzyści wynikające z używania kont domeny. Aby dowiedzieć się więcej, zobacz Zdalne używanie kont lokalnych: LAPS zmienia wszystko.

    Aby rozpocząć korzystanie z usługi LAPS, pobierz rozwiązanie do haseł administratora lokalnego (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) to produkt lokalny, którego można użyć do wykrywania osób atakujących próbujących naruszyć zabezpieczenia tożsamości uprzywilejowanych. Usługa ATA analizuje ruch sieciowy na potrzeby uwierzytelniania, autoryzacji i protokołów zbierania informacji, takich jak Kerberos i DNS. Usługa ATA używa danych do tworzenia profilów behawioralnych użytkowników i innych jednostek w sieci w celu wykrywania anomalii i znanych wzorców ataków.

    Aby dowiedzieć się więcej, zobacz Co to jest usługa Advanced Threat Analytics?

  • Windows Defender Remote Credential Guard chroni poświadczenia za pośrednictwem połączenia pulpitu zdalnego, przekierowując żądania Kerberos z powrotem do urządzenia, które żąda połączenia. Udostępnia również logowanie jednokrotne (SSO) dla sesji pulpitu zdalnego. W trakcie sesji pulpitu zdalnego, jeśli urządzenie docelowe zostanie naruszone, poświadczenia nie zostaną ujawnione, ponieważ zarówno poświadczenia, jak i pochodne poświadczenia nigdy nie są przekazywane przez sieć do urządzenia docelowego.

    Aby dowiedzieć się więcej, zobacz Zarządzanie Windows Defender Credential Guard.

  • Microsoft Defender for Identityies pomaga chronić tożsamości uprzywilejowane przez monitorowanie zachowań i działań użytkowników, zmniejszenie obszaru ataków, ochronę usługi Active Directory Federal Service (AD FS) w środowisku hybrydowym oraz identyfikowanie podejrzanych działań i zaawansowanego ataku w łańcuchu zabijania ataków cybernetycznych.

    Aby dowiedzieć się więcej, zobacz Co to jest Microsoft Defender for Identity?.

Następne kroki

Aby uzyskać więcej informacji na temat zabezpieczeń i zgodności z przepisami, zobacz: