Skydda dina hanteringsportar med just-in-time-åtkomst

Lås inkommande trafik till din Azure-Virtual Machines med Microsoft Defender för molnets just-in-time-åtkomstfunktion (JIT). Detta minskar exponeringen för attacker samtidigt som du ger enkel åtkomst när du behöver ansluta till en virtuell dator.

En fullständig förklaring om hur JIT fungerar och den underliggande logiken finns i Just-in-time explained (Just-in-time explained).

En fullständig förklaring av behörighetskraven finns i Vilka behörigheter krävs för att konfigurera och använda JIT?.

På den här sidan får du lära dig hur du inkluderar JIT i ditt säkerhetsprogram. Du lär dig följande:

  • Aktivera JIT på dina virtuella datorer – Du kan aktivera JIT med dina egna anpassade alternativ för en eller flera virtuella datorer med defender för molnet, PowerShell eller REST-API:et. Du kan också aktivera JIT med standardmässiga, hårdkodade parametrar från virtuella Azure-datorer. När det är aktiverat låser JIT in inkommande trafik till dina virtuella Azure- och AWS-datorer genom att skapa en regel i nätverkssäkerhetsgruppen.
  • Begär åtkomst till en virtuell dator som har JIT aktiverat – Målet med JIT är att säkerställa att även om din inkommande trafik är låst ger Defender for Cloud fortfarande enkel åtkomst för att ansluta till virtuella datorer när det behövs. Du kan begära åtkomst till en JIT-aktiverad virtuell dator från Defender för molnet, virtuella Azure-datorer, PowerShell eller REST-API:et.
  • Granska aktiviteten – Kontrollera att dina virtuella datorer är skyddade på rätt sätt genom att granska åtkomsten till dina JIT-aktiverade virtuella datorer som en del av dina vanliga säkerhetskontroller.

Tillgänglighet

Aspekt Information
Versionstillstånd: Allmän tillgänglighet (GA)
Virtuella datorer som stöds: Virtuella datorer som distribueras via Azure Resource Manager.
Virtuella datorer som distribueras med klassiska distributionsmodeller. Läs mer om dessa distributionsmodeller.
Virtuella datorer som skyddas av Azure Firewalls1 som styrs av Azure Firewall Manager.
AWS EC2-instanser (förhandsversion)
Nödvändiga roller och behörigheter: Rollerna Läsare och SecurityReader kan både visa JIT-status och parametrar.
Information om hur du skapar anpassade roller som kan fungera med JIT finns i Vilka behörigheter krävs för att konfigurera och använda JIT?.
Om du vill skapa en minst privilegierad roll för användare som behöver begära JIT-åtkomst till en virtuell dator och inte utföra några andra JIT-åtgärder använder du skriptet Set-JitLeastPrivilegedRole från Defender for Cloud GitHub-communitysidorna.
Moln: Kommersiella moln
National (Azure Government, Azure China 21Vianet)
Anslutna AWS-konton (förhandsversion)

1 För alla virtuella datorer som skyddas av Azure Firewall skyddar JIT endast datorn fullständigt om den finns i samma virtuella nätverk som brandväggen. Virtuella datorer som använder VNET-peering skyddas inte helt.

Aktivera JIT VM-åtkomst

Du kan aktivera JIT VM-åtkomst med dina egna anpassade alternativ för en eller flera virtuella datorer med defender för molnet eller programmatiskt.

Du kan också aktivera JIT med standardmässiga, hårdkodade parametrar från virtuella Azure-datorer.

Vart och ett av dessa alternativ förklaras på en separat flik nedan.

Aktivera JIT på dina virtuella datorer från Microsoft Defender för molnet

Konfigurera JIT VM-åtkomst i Microsoft Defender för molnet.

Från Defender för molnet kan du aktivera och konfigurera JIT VM-åtkomst.

  1. Öppna instrumentpanelen för arbetsbelastningsskydd och välj Just-in-time VM-åtkomst från området avancerat skydd.

    Sidan just-in-time-åtkomst till virtuell dator öppnas med dina virtuella datorer grupperade på följande flikar:

    • Konfigurerad – virtuella datorer som redan har konfigurerats för just-in-time-åtkomst till virtuella datorer. För varje virtuell dator visas följande på den konfigurerade fliken:
      • antalet godkända JIT-begäranden under de senaste sju dagarna
      • senaste åtkomstdatum och -tid
      • den konfigurerade anslutningsinformationen
      • den senaste användaren
    • Inte konfigurerad – virtuella datorer utan JIT aktiverat, men det kan stödja JIT. Vi rekommenderar att du aktiverar JIT för dessa virtuella datorer.
    • Stöds inte – virtuella datorer utan JIT aktiverat och som inte stöder funktionen. Den virtuella datorn kan finnas på den här fliken av följande skäl:
      • Nätverkssäkerhetsgrupp saknas (NSG) eller Azure Firewall – JIT kräver att en NSG konfigureras eller en brandväggskonfiguration (eller båda)
      • Klassisk virtuell dator – JIT stöder virtuella datorer som distribueras via Azure Resource Manager, inte "klassisk distribution". Läs mer om klassiska distributionsmodeller jämfört med Azure Resource Manager.
      • Annat – Den virtuella datorn kan finnas på den här fliken om JIT-lösningen är inaktiverad i prenumerationens eller resursgruppens säkerhetsprincip.
  2. På fliken Inte konfigurerad markerar du de virtuella datorer som ska skyddas med JIT och väljer Aktivera JIT på virtuella datorer.

    Sidan JIT VM-åtkomst öppnas med de portar som Defender för molnet rekommenderar att du skyddar:

    • 22 – SSH
    • 3389 – RDP
    • 5985 – WinRM
    • 5986 – WinRM

    Om du vill acceptera standardinställningarna väljer du Spara.

  3. Så här anpassar du JIT-alternativen:

    • Lägg till anpassade portar med knappen Lägg till .
    • Ändra en av standardportarna genom att välja den i listan.

    För varje port (anpassad och standard) erbjuder fönstret Lägg till portkonfiguration följande alternativ:

    • Protokoll – Det protokoll som tillåts på den här porten när en begäran godkänns
    • Tillåtna käll-IP-adresser – DE IP-intervall som tillåts på den här porten när en begäran godkänns
    • Maximal tid för begäran – Den maximala tidsperiod under vilken en specifik port kan öppnas
    1. Ställ in portsäkerheten efter dina behov.

    2. Välj OK.

  4. Välj Spara.

Redigera JIT-konfigurationen på en JIT-aktiverad virtuell dator med defender för molnet

Du kan ändra en virtuell dators just-in-time-konfiguration genom att lägga till och konfigurera en ny port för att skydda den virtuella datorn, eller genom att ändra andra inställningar som är relaterade till en redan skyddad port.

Så här redigerar du befintliga JIT-regler för en virtuell dator:

  1. Öppna instrumentpanelen för arbetsbelastningsskydd och välj Just-in-time VM-åtkomst från området avancerat skydd.

  2. På fliken Konfigurerad högerklickar du på den virtuella dator som du vill lägga till en port till och väljer redigera.

    Redigera en JIT VM-åtkomstkonfiguration i Microsoft Defender för molnet.

  3. Under JIT VM-åtkomstkonfiguration kan du antingen redigera de befintliga inställningarna för en redan skyddad port eller lägga till en ny anpassad port.

  4. När du har redigerat portarna väljer du Spara.

Begära åtkomst till en JIT-aktiverad virtuell dator

Du kan begära åtkomst till en JIT-aktiverad virtuell dator från Azure Portal (i Defender för molnet eller virtuella Azure-datorer) eller programmatiskt.

Vart och ett av dessa alternativ förklaras på en separat flik nedan.

Begär åtkomst till en JIT-aktiverad virtuell dator från Microsoft Defender för molnet

När en virtuell dator har en JIT aktiverad måste du begära åtkomst för att ansluta till den. Du kan begära åtkomst på något av de sätt som stöds, oavsett hur du har aktiverat JIT.

Begär JIT-åtkomst från Defender för molnet.

  1. På sidan Just-in-time-åtkomst till virtuell dator väljer du fliken Konfigurerad .

  2. Markera de virtuella datorer som du vill komma åt.

    • Ikonen i kolumnen Anslutningsinformation anger om JIT är aktiverat i nätverkssäkerhetsgruppen eller brandväggen. Om den är aktiverad på båda visas bara brandväggsikonen.

    • Kolumnen Anslutningsinformation innehåller den information som krävs för att ansluta den virtuella datorn och dess öppna portar.

  3. Välj Begär åtkomst. Fönstret Begär åtkomst öppnas.

  4. Under Begär åtkomst för varje virtuell dator konfigurerar du de portar som du vill öppna och käll-IP-adresserna som porten öppnas på och det tidsfönster som porten ska vara öppen för. Det går bara att begära åtkomst till de konfigurerade portarna. Varje port har en maximal tillåten tid som härleds från JIT-konfigurationen som du har skapat.

  5. Välj Öppna portar.

Anteckning

Om en användare som begär åtkomst finns bakom en proxyserver kanske alternativet Min IP inte fungerar. Du kan behöva definiera organisationens fullständiga IP-adressintervall.

Granska JIT-åtkomstaktivitet i Defender för molnet

Du kan få insikter om VM-aktiviteter med hjälp av loggsökning. Så här visar du loggarna:

  1. Från Just-in-time-åtkomst till virtuell dator väljer du fliken Konfigurerad .

  2. Öppna ellipsmenyn i slutet av raden för den virtuella dator som du vill granska.

  3. Välj Aktivitetslogg på menyn.

    Välj JIT-aktivitetslogg för just-in-time.

    Aktivitetsloggen innehåller en filtrerad vy över tidigare åtgärder för den virtuella datorn tillsammans med tid, datum och prenumeration.

  4. Om du vill ladda ned logginformationen väljer du Ladda ned som CSV.

Nästa steg

I den här artikeln har du lärt dig hur du konfigurerar och använder just-in-time-åtkomst till virtuella datorer. Om du vill veta varför JIT ska användas läser du konceptartikeln som förklarar de hot som den skyddar mot: