Рекомендации по безопасности Azure Stack HCI

Область применения: Azure Stack HCI версий 22H2 и 21H2; Windows Server 2022, Windows Server 2019

В этом разделе приводятся рекомендации по безопасности, связанные с операционной системой Azure Stack HCI:

  • В части 1 рассматриваются основные средства и технологии безопасности для усиления защиты операционной системы, а также защиты данных и удостоверений для эффективного создания безопасной основы для вашей организации.
  • Часть 2 охватывает ресурсы, доступные в Microsoft Defender для облака. См. статью общие сведения об Microsoft Defender для облака.
  • В части 3 рассматриваются более сложные вопросы безопасности, которые повысят безопасность вашей организации в этих областях.

Почему важны вопросы безопасности?

Безопасность влияет на всех пользователей в вашей организации, от высшего уровня управления до информационных работников. Неадекватная безопасность — это реальный риск для организаций, так как нарушение безопасности может нарушить нормальную работу и остановить организацию. Чем раньше вы сможете обнаружить потенциальную атаку, тем быстрее вы сможете устранить любые нарушения безопасности.

Изучив слабые точки среды для их использования, злоумышленник обычно может в течение 24–48 часов после первоначального компрометации повысить привилегии, чтобы получить контроль над системами в сети. Хорошие меры безопасности упрощают работу систем в среде, чтобы увеличить время, необходимое злоумышленнику для потенциального получения контроля с нескольких часов до нескольких недель или даже месяцев, блокируя движения злоумышленника. Реализация рекомендаций по безопасности в этом разделе позволяет вашей организации обнаруживать такие атаки и реагировать на них как можно быстрее.

Часть 1. Создание безопасной основы

В следующих разделах приводятся рекомендации по средствам и технологиям безопасности для создания безопасной основы для серверов, на которых работает операционная система Azure Stack HCI в вашей среде.

Усиление защиты среды

В этом разделе описывается защита служб и виртуальных машин, работающих в операционной системе:

  • Оборудование, сертифицированное azure Stack HCI , предоставляет согласованные параметры безопасной загрузки, UEFI и TPM. Сочетание безопасности на основе виртуализации и сертифицированного оборудования помогает защитить рабочие нагрузки, чувствительные к безопасности. Вы также можете подключить эту доверенную инфраструктуру к Microsoft Defender для облака, чтобы активировать аналитику поведения и отчеты с учетом быстро меняющихся рабочих нагрузок и угроз.

    • Безопасная загрузка — это стандарт безопасности, разработанный индустрией компьютеров, чтобы гарантировать, что устройство загружается только с помощью программного обеспечения, которому доверяет изготовитель оборудования (OEM). Дополнительные сведения см. в статье Безопасная загрузка.
    • Объединенный интерфейс расширяемого встроенного ПО (UEFI) управляет процессом загрузки сервера, а затем передает управление Windows или другой операционной системе. Дополнительные сведения см. в разделе Требования к встроенному ПО UEFI.
    • Технология доверенного платформенного модуля (TPM) предоставляет аппаратные функции, связанные с безопасностью. Микросхема доверенного платформенного модуля — это безопасный криптографический процессор, который создает, хранит и ограничивает использование криптографических ключей. Дополнительные сведения см. в статье Общие сведения о технологии доверенного платформенного модуля.

    Дополнительные сведения о поставщиках оборудования, сертифицированных для Azure Stack HCI, см. на веб-сайте решений Azure Stack HCI .

  • Средство "Безопасность" изначально доступно в Windows Admin Center для отдельных серверов и кластеров Azure Stack HCI, что упрощает управление безопасностью и управление ими. Это средство централизует некоторые ключевые параметры безопасности для серверов и кластеров, включая возможность просмотра состояния систем с защищенным ядром.

    Дополнительные сведения см. в статье Secured-Core Server.

  • Device Guard и Credential Guard. Device Guard защищает от вредоносных программ без известных сигнатур, неподписанных кодов и вредоносных программ, которые получают доступ к ядру для сбора конфиденциальной информации или повреждения системы. Для защиты секретов Credential Guard в Защитнике Windows использует безопасность на основе виртуализации, чтобы только привилегированное системное ПО могло получать доступ к этим данным.

    Дополнительные сведения см. в статье Управление Защитник Windows Credential Guard и скачивание средства проверки готовности оборудования Device Guard и Credential Guard.

  • Обновления Windows и встроенного ПО необходимы в кластерах, серверах (включая гостевые виртуальные машины) и компьютерах, чтобы обеспечить защиту операционной системы и системного оборудования от злоумышленников. Для применения обновлений к отдельным системам можно использовать средство Windows Admin Center Обновления. Если поставщик оборудования включает Windows Admin Center поддержку для получения обновлений драйверов, встроенного ПО и решений, вы можете получить эти обновления одновременно с обновлениями Windows; в противном случае получите их непосредственно у поставщика.

    Дополнительные сведения см. в статье Обновление кластера.

    Чтобы одновременно управлять обновлениями на нескольких кластерах и серверах, рассмотрите возможность подписки на дополнительную службу управления обновлениями Azure, которая интегрирована с Windows Admin Center. Дополнительные сведения см. в статье Управление обновлениями Azure с помощью Windows Admin Center.

Защита данных

В этом разделе описывается использование Windows Admin Center для защиты данных и рабочих нагрузок в операционной системе:

  • BitLocker для дисковые пространства защищает неактивные данные. BitLocker можно использовать для шифрования содержимого томов дисковые пространства данных в операционной системе. Использование BitLocker для защиты данных может помочь организациям обеспечить соответствие государственным, региональным и отраслевым стандартам, таким как FIPS 140-2 и HIPAA.

    Дополнительные сведения об использовании BitLocker в Windows Admin Center см. в статье Включение шифрования томов, дедупликации и сжатия.

  • Шифрование SMB для сети Windows защищает передаваемые данные. Серверный блок сообщений (SMB) — это протокол общего доступа к сетевым файлам, который позволяет приложениям на компьютере считывать и записывать файлы, а также запрашивать службы у серверных программ в сети компьютера.

    Сведения о включении шифрования SMB см. в статье Улучшения безопасности SMB.

  • Защитник Windows антивирусная программа защищает операционную систему на клиентах и серверах от вирусов, вредоносных программ, шпионских программ и других угроз. Дополнительные сведения см. в статье Microsoft Defender антивирусной программы в Windows Server.

Защита удостоверений

В этом разделе рассматривается использование Windows Admin Center для защиты привилегированных удостоверений:

  • Управление доступом может повысить безопасность ландшафта управления. Если вы используете сервер Windows Admin Center (а не на Windows 10 компьютере), вы можете управлять двумя уровнями доступа к Windows Admin Center: пользователями шлюза и администраторами шлюза. Параметры поставщика удостоверений администратора шлюза:

    • Active Directory или группы локальных компьютеров для принудительной проверки подлинности со смарт-картой.
    • Microsoft Entra идентификатор для принудительного условного доступа и многофакторной проверки подлинности.

    Дополнительные сведения см. в разделах Параметры доступа пользователей с помощью Windows Admin Center и Настройка контроль доступа пользователей и разрешений.

  • Трафик браузера к Windows Admin Center использует протокол HTTPS. Трафик из Windows Admin Center на управляемые серверы использует стандартный PowerShell и инструментарий управления Windows (WMI) через удаленное управление Windows (WinRM). Windows Admin Center поддерживает решение для паролей локального администратора (LAPS), ограниченное делегирование на основе ресурсов, управление доступом к шлюзу с помощью Active Directory (AD) или идентификатора Microsoft Entra, а также управление доступом на основе ролей (RBAC) для управления шлюзом Windows Admin Center.

    Windows Admin Center поддерживает Microsoft Edge (Windows 10 версии 1709 или более поздней), Google Chrome и Microsoft Edge Insider на Windows 10. Вы можете установить Windows Admin Center либо на Windows 10 компьютере, либо на сервере Windows.

    При установке Windows Admin Center на сервере он выполняется как шлюз без пользовательского интерфейса на сервере узла. В этом сценарии администраторы могут войти на сервер через сеанс HTTPS, защищенный с помощью самозаверяющего сертификата безопасности на узле. Однако для входа лучше использовать соответствующий SSL-сертификат из доверенного центра сертификации, так как поддерживаемые браузеры считают самозаверяющий подключение небезопасным, даже если подключение осуществляется к локальному IP-адресу через доверенный VPN.

    Дополнительные сведения о вариантах установки для вашей организации см. в статье Какой тип установки подходит вам?

  • CredSSP — это поставщик проверки подлинности, который Windows Admin Center использует в некоторых случаях для передачи учетных данных компьютерам за пределами конкретного сервера, которым вы хотите управлять. Windows Admin Center в настоящее время credSSP требуется:

    • Создайте кластер.
    • Получите доступ к средству Обновления, чтобы использовать функции кластеризация отработки отказа или обновления Cluster-Aware.
    • Управление дезагрегированным хранилищем SMB на виртуальных машинах.

    Дополнительные сведения см. в статье Используется ли Windows Admin Center CredSSP?

  • Средства безопасности в Windows Admin Center, которые можно использовать для управления удостоверениями и защиты удостоверений, включают Active Directory, сертификаты, брандмауэр, локальные пользователи и группы и многое другое.

    Дополнительные сведения см. в статье Управление серверами с помощью Windows Admin Center.

Часть 2. Использование Microsoft Defender для облака (MDC)

Microsoft Defender для облака — это единая система управления безопасностью инфраструктуры, которая повышает уровень безопасности центров обработки данных и обеспечивает расширенную защиту от угроз в гибридных рабочих нагрузках в облаке и локальной среде. Defender для облака предоставляет средства для оценки состояния безопасности сети, защиты рабочих нагрузок, создания оповещений системы безопасности и выполнения конкретных рекомендаций по устранению атак и устранению угроз в будущем. Defender для облака выполняет все эти службы с высокой скоростью в облаке без затрат на развертывание за счет автоматической подготовки и защиты с помощью служб Azure.

Defender для облака защищает виртуальные машины как для серверов Windows, так и для серверов Linux, устанавливая агент Log Analytics на этих ресурсах. Azure сопоставляет события, собираемые агентами, в рекомендации (задачи усиления защиты), выполняемые для обеспечения безопасности рабочих нагрузок. К задачам усиления защиты, основанным на рекомендациях по обеспечению безопасности, относятся управление политиками безопасности и их применение. Затем вы можете отслеживать результаты и управлять соответствием и управлением с течением времени с помощью мониторинга Defender для облака, сокращая при этом направления атак на все ресурсы.

Управление доступом к ресурсам и подпискам Azure является важной частью стратегии управления Azure. Azure RBAC — это основной метод управления доступом в Azure. Дополнительные сведения см. в статье Управление доступом к среде Azure с помощью управления доступом на основе ролей.

Для работы с Defender для облака через Windows Admin Center требуется подписка Azure. Сведения о начале работы см. в статье Защита ресурсов Windows Admin Center с помощью Microsoft Defender для облака. Чтобы приступить к работе, см. статью Планирование развертывания Defender для сервера. Сведения о лицензировании Defender для серверов (планы серверов) см. в разделе Выбор плана Defender для серверов.

После регистрации получите доступ к MDC в Windows Admin Center. На странице Все подключения выберите сервер или виртуальную машину, в разделе Сервис выберите Microsoft Defender для облака, а затем выберите Войти в Azure.

Дополнительные сведения см. в статье Что такое Microsoft Defender для облака?.

Часть 3. Добавление расширенной безопасности

В следующих разделах рекомендуются расширенные средства и технологии безопасности для дальнейшей защиты серверов, работающих под управлением операционной системы Azure Stack HCI в вашей среде.

Усиление защиты среды

  • Базовые показатели безопасности Майкрософт основаны на рекомендациях майкрософт по обеспечению безопасности, полученных в рамках партнерства с коммерческими организациями и правительством США, такими как Министерство обороны. Базовые показатели безопасности включают рекомендуемые параметры безопасности для брандмауэра Windows, Защитник Windows и многих других.

    Базовые показатели безопасности предоставляются в виде резервных копий объектов групповая политика , которые можно импортировать в доменные службы Active Directory (AD DS), а затем развернуть на присоединенных к домену серверах для защиты среды. Вы также можете использовать средства локальных сценариев, чтобы настроить автономные (не присоединенные к домену) серверы с базовыми показателями безопасности. Чтобы приступить к использованию базовых показателей безопасности, скачайте Microsoft Security Compliance Toolkit 1.0.

    Дополнительные сведения см. в статье Базовые показатели безопасности Майкрософт.

Защита данных

  • Для усиления защиты среды Hyper-V требуется усиление защиты Windows Server, работающей на виртуальной машине, так же, как и для защиты операционной системы, работающей на физическом сервере. Так как виртуальные среды обычно имеют несколько виртуальных машин, совместно работающих на одном физическом узле, крайне важно защитить как физический узел, так и работающие на нем виртуальные машины. Злоумышленник, который скомпрометирует узел, может повлиять на несколько виртуальных машин с большим влиянием на рабочие нагрузки и службы. В этом разделе рассматриваются следующие методы, которые можно использовать для усиления защиты Windows Server в среде Hyper-V:

    • Виртуальный доверенный платформенный модуль (vTPM) в Windows Server поддерживает TPM для виртуальных машин, что позволяет использовать на виртуальных машинах передовые технологии безопасности, такие как BitLocker. Вы можете включить поддержку доверенного платформенного модуля на любой виртуальной машине Hyper-V 2-го поколения с помощью диспетчера Hyper-V или командлета Enable-VMTPM Windows PowerShell.

      Примечание

      Включение vTPM повлияет на мобильность виртуальной машины. Для запуска виртуальной машины на другом узле, отличном от того, который вы изначально включили vTPM, потребуются действия вручную.

      Дополнительные сведения см. в разделе Enable-VMTPM.

    • Программно-определяемая сеть (SDN) в Azure Stack HCI и Windows Server централизованно настраивает и управляет виртуальными сетевыми устройствами, такими как программная подсистема балансировки нагрузки, брандмауэр центра обработки данных, шлюзы и виртуальные коммутаторы в вашей инфраструктуре. Элементы виртуальной сети, такие как виртуальный коммутатор Hyper-V, виртуализация сети Hyper-V и шлюз RAS, являются неотъемлемой частью инфраструктуры SDN.

      Дополнительные сведения см. в разделе Программно-определяемая сеть (SDN).

      Примечание

      Экранированные виртуальные машины, защищенные службой защиты узла, не поддерживаются в Azure Stack HCI.

Защита удостоверений

  • Решение для паролей локального администратора (LAPS) — это упрощенный механизм для систем, присоединенных к домену Active Directory, который периодически задает для каждого компьютера пароль учетной записи локального администратора новое случайное и уникальное значение. Пароли хранятся в защищенном конфиденциальном атрибуте на соответствующем объекте компьютера в Active Directory, где их могут получить только специально авторизованные пользователи. LAPS использует локальные учетные записи для удаленного управления компьютерами, что дает некоторые преимущества по сравнению с использованием учетных записей домена. Дополнительные сведения см. в статье Удаленное использование локальных учетных записей: LAPS изменяет все.

    Чтобы приступить к работе с LAPS, скачайте локальное решение для паролей администратора (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) — это локальный продукт, который можно использовать для обнаружения злоумышленников, пытающихся скомпрометировать привилегированные удостоверения. ATA анализирует сетевой трафик для протоколов проверки подлинности, авторизации и сбора информации, таких как Kerberos и DNS. ATA использует данные для создания профилей поведения пользователей и других сущностей в сети для обнаружения аномалий и известных шаблонов атак.

    Дополнительные сведения см. в статье Что такое Расширенная аналитика угроз?

  • Защитник Windows Remote Credential Guard защищает учетные данные через подключение к удаленному рабочему столу, перенаправляя запросы Kerberos обратно на устройство, запрашивающее подключение. Он также предоставляет единый вход (SSO) для сеансов удаленного рабочего стола. Во время сеанса удаленного рабочего стола, если целевое устройство скомпрометировано, ваши учетные данные не предоставляются, так как учетные данные и производные учетные данные никогда не передаются по сети на целевое устройство.

    Дополнительные сведения см. в статье Управление Защитник Windows Credential Guard.

  • Microsoft Defender для удостоверений помогает защитить привилегированные удостоверения, отслеживая поведение и действия пользователей, уменьшая уязвимую зону, защищая Федеральную службу Active Directory (AD FS) в гибридной среде и выявляя подозрительные действия и расширенные атаки в цепочке уничтожения кибератак.

    Дополнительные сведения см. в статье Что такое Microsoft Defender для удостоверений?.

Дальнейшие действия

Дополнительные сведения о безопасности и соответствии нормативным требованиям см. в разделе: