Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Defender para servidores no Microsoft Defender para Nuvem fornece um recurso de acesso just-in-time ao computador.
Você pode usar o acesso just-in-time do Microsoft Defender para Nuvem a fim de proteger suas VMs do Azure contra o acesso não autorizado à rede. Muitas vezes, os firewalls contêm regras de permissão que deixam suas VMs vulneráveis a ataques. O JIT permite que você autorize o acesso às suas VMs somente quando ele for necessário, nas portas necessárias e pelo período de tempo necessário.
Neste artigo, você aprenderá a configurar e usar o acesso just-in-time, incluindo como:
- Habilitar o just-in-time em suas VMs do portal do Azure ou programaticamente
- Solicitar acesso a uma VM que tenha o acesso just-in-time habilitado a partir do portal do Azure ou programaticamente
- Auditar a atividade o acesso just-in-time para garantir que suas VMs sejam protegidas adequadamente
Pré-requisitos
OPlano 2 do Microsoft Defender para servidores deve ser habilitado na assinatura.
VMs com suporte: VMs implantadas por meio do Azure Resource Manager, VMs protegidas por Firewalls do Azure na mesma VNET que a VM, instâncias do AWS EC2 (Versão Prévia)
VMs sem suporte: VMs implantadas com modelos de implantação clássicos, VMs protegidas por Firewalls do Azure controlados pelo Gerenciador de Firewall do Azure
Para configurar o acesso just-in-time em suas VMs do AWS, você precisará conectar sua conta do AWS ao Microsoft Defender para Nuvem.
Para política JIT, o nome da política, acompanhado do nome da VM de destino, não deve exceder 56 caracteres, no total.
Você precisa de permissões do Leitor e do SecurityReader ou uma função personalizada podem exibir o status e os parâmetros JIT.
Para uma função personalizada, atribua à função as permissões resumidas na tabela. Para criar uma função com privilégios mínimos para usuários que precisam somente solicitar acesso JIT para uma VM, use o script Set-JitLeastPrivilegedRole.
Ação do usuário Permissões para definir Configurar ou editar uma política de JIT para uma VM Atribua essas ações à função: - No escopo de uma assinatura (ou grupo de recursos ao usar somente a API ou o PowerShell) associada à VM:
Microsoft.Security/locations/jitNetworkAccessPolicies/write
- No escopo de uma assinatura (ou grupo de recursos ao usar apenas a API ou o PowerShell) da VM:
Microsoft.Compute/virtualMachines/write
Solicitar acesso JIT a uma VM Atribua essas ações ao usuário: -
Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
-
Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
-
Microsoft.Compute/virtualMachines/read
-
Microsoft.Network/networkInterfaces/*/read
-
Microsoft.Network/publicIPAddresses/read
Ler políticas de JIT Atribua essas ações ao usuário: Microsoft.Security/locations/jitNetworkAccessPolicies/read
Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
Microsoft.Security/policies/read
Microsoft.Security/pricings/read
Microsoft.Compute/virtualMachines/read
Microsoft.Network/*/read
Observação
Somente as permissões
Microsoft.Security
são relevantes para a AWS. Para criar uma função com privilégios mínimos para usuários que precisam somente solicitar acesso JIT para uma VM, use o script Set-JitLeastPrivilegedRole.- No escopo de uma assinatura (ou grupo de recursos ao usar somente a API ou o PowerShell) associada à VM:
Trabalhar com acesso à VM JIT usando o Microsoft Defender para Nuvem
Você pode usar o Defender para Nuvem ou habilitar o acesso JIT à VM por meio de programação com suas opções personalizadas ou habilitar o JIT com parâmetros padrão embutidos em código por meio das máquinas virtuais do Azure.
O acesso just-in-time à VM mostra suas VMs agrupadas em:
-
Configurado – VMs configuradas para dar suporte ao acesso JIT à VM e mostra:
- o número de solicitações de JIT aprovadas nos últimos sete dias
- Data e hora do último acesso
- Detalhes da conexão configurada
- o último usuário
- Não configurado -VMs sem o JIT habilitado, mas que podem dar suporte a JIT. Recomendamos que você habilite o JIT para essas VMs.
-
Sem suporte – VMs que não dão suporte a JIT porque:
- Ausência de NSG (grupo de segurança de rede) ou Firewall do Azure – o JIT exige que um NSG seja configurado ou uma configuração de Firewall (ou ambos)
- VM clássica – O JIT dá suporte a VMs implantadas por meio do Azure Resource Manager.
- Outros – A solução JIT está desabilitada na política de segurança da assinatura ou do grupo de recursos.
Habilitar o JIT em suas VMs do Microsoft Defender para Nuvem
No Defender para Nuvem, você pode habilitar e configurar o acesso à VM JIT.
Abra as proteções de cargas de trabalho e em proteções avançada, selecione acesso à VM just-in-time.
Na guia das máquinas virtuais Não configuradas, marque as VMs a serem protegidas com o JIT e selecione Habilitar JIT nas VMs.
A página acesso à VM JIT é aberta listando as portas que o Defender para Nuvem recomenda proteger:
- 22: SSH
- 3389: RDP
- 5985: WinRM
- 5986: WinRM
Para personalizar o acesso JIT:
Selecione Adicionar.
Selecione uma das portas na lista para editá-la ou inserir outras portas. Em cada porta, você pode definir:
- Protocolo – O protocolo permitido nesta porta quando uma solicitação é aprovada
- IPs de origem permitidos – Os intervalos de IP permitidos nesta porta quando uma solicitação é aprovada
- Tempo máximo de solicitação – O intervalo de tempo máximo durante o qual uma porta específica pode ficar aberta
Selecione OK.
Para salvar a configuração de porta, selecione Salvar.
Editar a configuração do JIT em uma VM habilitada para JIT usando Defender para Nuvem
Você pode alterar a configuração Just-In-Time de uma VM adicionando e configurando uma nova porta a ser aberta para essa VM ou alterando qualquer outro parâmetro relacionado a uma porta já protegida.
Para editar as regras de JIT existentes para uma VM:
Abra as proteções de cargas de trabalho e em proteções avançada, selecione acesso à VM just-in-time.
Na guia das máquinas virtuais Configuradas, clique com o botão direito do mouse em uma VM e selecione Editar.
Na configuração de acesso à VM JIT, é possível editar a lista de portas ou selecionar Adicionar uma porta personalizada nova.
Ao concluir a edição das portas, selecione Salvar.
Solicitar acesso a uma VM habilitada para JIT do Microsoft Defender para Nuvem
Quando uma VM tem um JIT habilitado, você precisa solicitar acesso para se conectar a ele. Você pode solicitar acesso em qualquer uma das maneiras com suporte, independentemente de como você habilitou o JIT.
Da página Acesso à VM just in time, selecione a guia Configurada.
Escolha as VMs que deseja acessar:
O ícone na coluna Detalhes da Conexão indica se o JIT está habilitado no grupo de segurança de rede ou no firewall. Se ele estiver habilitado em ambos, somente o ícone de firewall será exibido.
A coluna Detalhes da Conexão mostra o usuário e as portas que podem acessar a VM.
Selecione Solicitar acesso. A janela de Solicitação de acesso abre.
Em Solicitar acesso, selecione as portas que você deseja abrir em cada VM, os endereços IP de origem nos quais você deseja que a porta seja aberta e a janela de tempo para abrir as portas.
Selecione Abrir portas.
Observação
Se um usuário que está solicitando acesso estiver atrás de um proxy, você pode inserir o intervalo de endereços IP do proxy.
Outras maneiras de trabalhar com o acesso à VM JIT
Máquinas virtuais do Azure
Habilitar o JIT em suas VMs de máquinas virtuais do Azure
Você pode habilitar o JIT em uma VM nas páginas de máquinas virtuais do Azure da portal do Azure.
Dica
Se uma VM já tem o JIT habilitado, a página de configuração dela mostra que o JIT está habilitado. Você pode usar o link para abrir a página de acesso à VM JIT no Defender para Nuvem para exibir e alterar as configurações.
No portal do Azure, pesquise e selecione Máquinas virtuais.
Selecione as máquinas virtuais que deseja proteger com JIT.
No menu à esquerda, selecione Configuração.
Em Acesso Just-In-Time selecione Habilitar política Just-In-Time.
Por padrão, o acesso just-in-time para a VM usa estas configurações:
- Máquinas do Windows
- Porta RDP: 3389
- Acesso máximo permitido: três horas
- Endereços IP de origem permitidos: todos
- Máquinas do Linux
- Porta SSH: 22
- Acesso máximo permitido: três horas
- Endereços IP de origem permitidos: todos
- Máquinas do Windows
Para editar um desses valores ou adicionar mais portas à sua configuração de JIT, use a página just-in-time do Microsoft Defender para Nuvem:
No menu do Defender para Nuvem, selecione acesso just-in-time à VM.
Na guia Configuradas, clique com o botão direito do mouse na VM à qual deseja adicionar uma porta e selecione Editar.
Em Configuração de acesso JIT à VM, você pode editar as configurações existentes de uma porta já protegida ou pode adicionar uma nova porta personalizada.
Ao terminar de editar as portas, selecione Salvar.
Solicitar acesso a uma VM habilitada para JIT na página conectar da máquina virtual do Azure
Quando uma VM tem um JIT habilitado, você precisa solicitar acesso para se conectar a ele. Você pode solicitar acesso em qualquer uma das maneiras com suporte, independentemente de como você habilitou o JIT.
Para solicitar acesso de máquinas virtuais do Azure:
No portal do Azure, abra a página de máquinas virtuais.
Selecione a VM à qual você deseja se conectar e abra a página conectar.
O Azure verifica se o JIT está habilitado nessa VM.
Se o JIT não estiver habilitado para a VM, você será solicitado a habilitá-lo.
Se o JIT estiver habilitado, selecione Solicitar acesso para passar uma solicitação de acesso com o IP solicitante, o intervalo de tempo e as portas que foram configuradas para essa VM.
Observação
Depois que uma solicitação for aprovada para uma VM protegida pelo Firewall do Azure, o Defender para Nuvem fornecerá ao usuário os detalhes de conexão apropriados (o mapeamento de porta da tabela DNAT) a ser usada para se conectar à VM.
PowerShell
Ativar JIT nas suas VMs usando PowerShell
Para habilitar o acesso just-in-time à VM do PowerShell, use o cmdlet oficial do PowerShell do Microsoft Defender para Nuvem Set-AzJitNetworkAccessPolicy
.
Exemplo – habilitar o acesso just-in-time à VM em uma VM específica com as seguintes regras:
- Fechar as portas 22 e 3389.
- Definir uma janela de tempo máximo de 3 horas para cada, de modo que possam ser abertas por solicitação aprovada.
- Permitir que o usuário que está solicitando acesso controle os endereços IP de origem
- Permitir que o usuário que está solicitando acesso estabelecer uma sessão com êxito mediante uma solicitação de acesso Just-In-Time aprovada.
Os comandos do PowerShell a seguir criam essa configuração de JIT:
Atribuir uma variável que contenha a regras de acesso Just-In-Time à VM para uma VM:
$JitPolicy = (@{ id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME"; ports=(@{ number=22; protocol="*"; allowedSourceAddressPrefix=@("*"); maxRequestAccessDuration="PT3H"}, @{ number=3389; protocol="*"; allowedSourceAddressPrefix=@("*"); maxRequestAccessDuration="PT3H"})})
Inserir a regra de acesso Just-In-Time à VM em uma matriz:
$JitPolicyArr=@($JitPolicy)
Configurar a regra de acesso Just-In-Time à VM na VM selecionada:
Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
Use o parâmetro-Name para especificar uma VM. Por exemplo, para estabelecer a configuração de JIT para duas VMs diferentes, VM1 e VM2, use:
Set-AzJitNetworkAccessPolicy -Name VM1
eSet-AzJitNetworkAccessPolicy -Name VM2
.
Solicitar acesso a uma VM habilitada para JIT usando PowerShell
No exemplo a seguir, é possível ver uma solicitação de acesso Just-In-Time à VM para uma VM específica da porta 22, para um endereço IP específico e por um período de tempo específico:
Execute os seguintes comandos no PowerShell:
Configurar as propriedades de acesso de solicitação da VM:
$JitPolicyVm1 = (@{ id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME"; ports=(@{ number=22; endTimeUtc="2020-07-15T17:00:00.3658798Z"; allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
Insira os parâmetros de solicitação de acesso da VM em uma matriz:
$JitPolicyArr=@($JitPolicyVm1)
Enviar o acesso da solicitação (use a ID do recurso que você recebeu na etapa 1)
Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
Saiba mais na documentação do cmdlet do PowerShell.
API REST
Habilitar o JIT em suas VMs usando a API REST
O recurso de acesso à VM Just-In-Time pode ser usado por meio da API do Microsoft Defender para Nuvem. Use esta API para obter informações sobre VMs configuradas, adicionar novos, solicitar o acesso a uma VM e mais.
Saiba mais em políticas de acesso à rede JIT.
Solicitar acesso a VM habilitada para JIT usando a API REST
O recurso de acesso à VM Just-In-Time pode ser usado por meio da API do Microsoft Defender para Nuvem. Use esta API para obter informações sobre VMs configuradas, adicionar novos, solicitar o acesso a uma VM e mais.
Saiba mais em políticas de acesso à rede JIT.
Auditar a atividade de acesso JIT no Defender para Nuvem
Você pode obter informações sobre as atividades de VM usando a pesquisa de logs. Para exibir os logs:
Em Acesso à VM Just-In-Time, selecione a guia Configurado.
Para a VM que você deseja auditar, abra o menu de reticências no final da linha.
Selecione Log de Atividades no menu.
O Log de atividades fornece uma exibição filtrada das operações anteriores dessa VM junto com a hora, a data e a assinatura.
Para baixar as informações de log, selecione baixar como CSV.