Ćwiczenie — włączanie dostępu do maszyny wirtualnej JIT

  • 10 min

Aby korzystać z tej funkcji, musisz mieć ulepszone funkcje zabezpieczeń Microsoft Defender dla Chmury. Po aktywowaniu wersji próbnej lub włączeniu zwiększonych zabezpieczeń w ramach subskrypcji możesz włączyć dostęp maszyny wirtualnej just in time (JIT) dla wybranych maszyn wirtualnych platformy Azure w ramach subskrypcji. Jeśli nie chcesz teraz rozpocząć korzystania z wersji próbnej, możesz zapoznać się z poniższymi instrukcjami, aby zobaczyć wymagane kroki.

Tworzenie nowej maszyny wirtualnej

Zacznijmy od utworzenia maszyny wirtualnej przy użyciu usługi Azure Cloud Shell.

Uwaga

Nie można wykonać tego ćwiczenia w piaskownicy platformy Azure. Upewnij się, że wybrano subskrypcję z włączonymi rozszerzonymi funkcjami zabezpieczeń dla Defender dla Chmury.

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz ikonę usługi Cloud Shell w prawym górnym rogu paska narzędzi witryny Azure Portal. Usługa Cloud Shell jest wyświetlana w dolnej części portalu.

    Zacznij od ustawienia niektórych wartości domyślnych, aby nie trzeba było wprowadzać ich wiele razy.

  3. Ustaw domyślną lokalizację. W tym miejscu używamy eastus, ale możesz zmienić to na lokalizację bliżej Ciebie.

    az configure --defaults location=eastus

    Napiwek

    Do kopiowania poleceń do schowka możesz używać przycisku Kopiuj. Aby wkleić, kliknij prawym przyciskiem myszy nowy wiersz w terminalu usługi Cloud Shell i wybierz polecenie Wklej lub użyj skrótu klawiaturowego Shift+Insert (⌘+V w systemie macOS).

  4. Następnie utwórz nową grupę zasobów platformy Azure do przechowywania zasobów maszyny wirtualnej. Użyliśmy tutaj nazwy mslearnDeleteMe , aby przypomnieć sobie, aby usunąć tę grupę po zakończeniu.

    az group create --name mslearnDeleteMe --location eastus

  5. Przejdź dalej i ustaw mslearnDeleteMe jako domyślną grupę zasobów.

    az configure --defaults group="mslearnDeleteMe"

  6. Następnie uruchom następujące polecenie, aby utworzyć nową maszynę wirtualną opartą na systemie Windows. Pamiętaj, aby zastąpić <your-password-here> wartość własnym prawidłowym hasłem.

    az vm create \
    --name SRVDC01 \
    --image win2019datacenter \
    --resource-group mslearnDeleteMe \
    --admin-username azureuser \
    --admin-password <your-password-here>

    Utworzenie maszyny wirtualnej i zasobów pomocniczych potrwa kilka minut. Powinna zostać wyświetlona odpowiedź podobna do poniższego przykładu.

    {
  "fqdns": "",
  "id": "/subscriptions/abcd/resourceGroups/mslearnDeleteMe/providers/Microsoft.Compute/virtualMachines/SRVDC01",
  "location": "eastus",
  "macAddress": "00-00-00-00-00-00",
  "powerState": "VM running",
  "privateIpAddress": "10.1.0.4",
  "publicIpAddress": "52.123.123.123",
  "resourceGroup": "mslearnDeleteMe",
  "zones": ""
}

  7. Aby nawiązać połączenie z maszyną wirtualną przy użyciu pulpitu zdalnego (RDP), użyj publicznego adresu IP w odpowiedzi. System Windows ma wbudowanego klienta RDP. Jeśli używasz innego systemu klienckiego, są dostępne klienci dla systemów macOS i Linux.

Możesz nawiązać połączenie z maszyną wirtualną i administrować nią. Dodajmy JIT na potrzeby zabezpieczeń!

Włączanie dostępu do maszyny wirtualnej JIT w Defender dla Chmury

  1. Na stronie głównej witryny Azure Portal na górnym pasku wyszukiwania wyszukaj i wybierz pozycję Microsoft Defender dla Chmury. Zostanie wyświetlone okienko Przegląd dla Microsoft Defender dla Chmury.

  2. W okienku menu po lewej stronie w obszarze Zabezpieczenia w chmurze wybierz pozycję Zabezpieczenia obciążeń. Zostanie wyświetlone okienko Ochrona obciążenia.

  3. W oknie głównym przewiń w dół do pozycji Ochrona zaawansowana. wybierz pozycję Dostęp just in time do maszyny wirtualnej. Zostanie wyświetlone okienko Dostępu just in time do maszyny wirtualnej.

  4. W obszarze Maszyny wirtualne wybierz kartę Nieskonfigurowane .

  5. Wybierz maszynę wirtualną z grupy zasobów MSLEARNDELETEME.

  6. Wybierz pozycję Włącz JIT na 1 maszynie wirtualnej z wybraną maszyną wirtualną , jak pokazano na poniższym zrzucie ekranu.

    Screenshot that depicts how you can enable JIT VM Access for a selected VM.

    Zostanie wyświetlone okienko konfiguracji dostępu do maszyny wirtualnej JIT. Po włączeniu reguł JIT można sprawdzić sieciowa grupa zabezpieczeń maszyny wirtualnej. Ma on nowy zestaw reguł zastosowanych do blokowania dostępu do zarządzania zdalnego, jak pokazano na poniższej ilustracji.

    Screenshot that depicts rules to block remote management access.

    Zwróć uwagę, że reguły są stosowane do adresu wewnętrznego i uwzględnione zostały wszystkie porty zarządzania — zarówno skojarzone z protokołem Remote Desktop Protocol (3389), jak i protokołem SSH (22).

  7. Na górnym pasku menu wybierz pozycję Zapisz. Zostanie ponownie wyświetlone okienko dostępu just in time do maszyny wirtualnej.

Żądanie dostępu za pomocą pulpitu zdalnego

Jeśli spróbujesz połączyć się z protokołem RDP na maszynie wirtualnej z systemem Windows w tym momencie, dostęp zostanie zablokowany. Gdy administrator potrzebuje dostępu, może wejść do Defender dla Chmury w celu żądania dostępu.

  1. W obszarze Maszyny wirtualne wybierz kartę Skonfigurowane .

  2. Wybierz maszynę wirtualną, a następnie wybierz pozycję Zażądaj dostępu , aby otworzyć porty zarządzania.

    Screenshot that depicts how you can request access to a VM.

    Zostanie wyświetlone okienko Żądanie dostępu dla SRVD01.

  3. Wybierz porty, które chcesz otworzyć; w tym przypadku port pulpitu zdalnego (3389).

    Screenshot that depicts opening a port by selecting On for its toggle.

  4. Wybierz pozycję Otwórz porty , aby sfinalizować żądanie. Możesz również ustawić liczbę godzin, aby port był otwarty w tym okienku. Po wygaśnięciu czasu port zostanie zamknięty, a dostęp zostanie odrzucony.

Teraz klient pulpitu zdalnego może pomyślnie nawiązać połączenie — co najmniej przez okres przydzielony przez Defender dla Chmury.