Aktivera just-in-time-åtkomst på virtuella datorer

Du kan använda Microsoft Defender för molnet just-in-time-åtkomst (JIT) för att skydda dina virtuella Azure-datorer från obehörig nätverksåtkomst. Många gånger innehåller brandväggar tillåtna regler som gör dina virtuella datorer sårbara för angrepp. MED JIT kan du endast tillåta åtkomst till dina virtuella datorer när åtkomsten behövs, på de portar som behövs och under den tidsperiod som behövs.

Läs mer om hur JIT fungerar och vilka behörigheter som krävs för att konfigurera och använda JIT.

I den här artikeln får du lära dig hur du inkluderar JIT i ditt säkerhetsprogram, inklusive hur du:

  • Aktivera JIT på dina virtuella datorer från Azure-portalen eller programmatiskt
  • Begär åtkomst till en virtuell dator som har JIT aktiverat från Azure-portalen eller programmatiskt
  • Granska JIT-aktiviteten för att se till att dina virtuella datorer skyddas på rätt sätt

Tillgänglighet

Aspekt Details
Versionstillstånd: Allmän tillgänglighet (GA)
Virtuella datorer som stöds: Virtuella datorer som distribueras via Azure Resource Manager
Virtuella datorer som distribueras med klassiska distributionsmodeller
Virtuella datorer som skyddas av Azure Firewalls på samma virtuella nätverk som den virtuella datorn
Virtuella datorer som skyddas av Azure Firewalls som styrs av Azure Firewall Manager
AWS EC2-instanser (förhandsversion)
Nödvändiga roller och behörigheter: Läsare, SecurityReader eller en anpassad roll kan visa JIT-status och -parametrar.
Om du vill skapa en roll med minst privilegier för användare som bara behöver begära JIT-åtkomst till en virtuell dator använder du skriptet Set-JitLeastPrivilegedRole.
Moln: Kommersiella moln
National (Azure Government, Microsoft Azure drivs av 21Vianet)
Anslut AWS-konton (förhandsversion)

Förutsättningar

  • JIT kräver att Microsoft Defender for Servers Plan 2 aktiveras i prenumerationen.

  • Roller för läsare och SecurityReader kan både visa JIT-status och parametrar.

  • Om du vill skapa anpassade roller som fungerar med JIT behöver du informationen från följande tabell:

    Så här gör du så här för att göra så här för en användare att: Behörigheter att ange
    Konfigurera eller redigera en JIT-princip för en virtuell dator Tilldela dessa åtgärder till rollen:
    • I omfånget för en prenumeration (eller resursgrupp när du endast använder API eller PowerShell) som är associerad med den virtuella datorn:
      Microsoft.Security/locations/jitNetworkAccessPolicies/write
    • I omfånget för en prenumeration (eller resursgrupp när du endast använder API eller PowerShell) för den virtuella datorn:
      Microsoft.Compute/virtualMachines/write
    Begär JIT-åtkomst till en virtuell dator Tilldela dessa åtgärder till användaren:
    • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
    • Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Network/networkInterfaces/*/read
    • Microsoft.Network/publicIPAddresses/read
    Läs JIT-principer Tilldela dessa åtgärder till användaren:
    • Microsoft.Security/locations/jitNetworkAccessPolicies/read
    • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
    • Microsoft.Security/policies/read
    • Microsoft.Security/pricings/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Network/*/read

    Kommentar

    Endast behörigheterna Microsoft.Security är relevanta för AWS.

  • Om du vill konfigurera JIT på din virtuella Amazon Web Service-dator (AWS) måste du ansluta ditt AWS-konto till Microsoft Defender för molnet.

    Dricks

    Om du vill skapa en roll med minst privilegier för användare som behöver begära JIT-åtkomst till en virtuell dator och inte utföra några andra JIT-åtgärder använder du skriptet Set-JitLeastPrivilegedRole från Defender för molnet GitHub-communitysidor.

    Kommentar

    För att kunna skapa en anpassad JIT-princip får principnamnet, tillsammans med målnamnet för den virtuella datorn, inte överstiga totalt 56 tecken.

Arbeta med JIT VM-åtkomst med hjälp av Microsoft Defender för molnet

Du kan använda Defender för molnet eller så kan du programmatiskt aktivera JIT VM-åtkomst med dina egna anpassade alternativ, eller så kan du aktivera JIT med standard, hårdkodade parametrar från virtuella Azure-datorer.

Just-in-time VM-åtkomst visar dina virtuella datorer grupperade i:

  • Konfigurerad – virtuella datorer som har konfigurerats för att stödja just-in-time-åtkomst till virtuella datorer och visar:
    • antalet godkända JIT-begäranden under de senaste sju dagarna
    • senaste åtkomstdatum och -tid
    • den konfigurerade anslutningsinformationen
    • den senaste användaren
  • Inte konfigurerad – virtuella datorer utan JIT aktiverat, men det kan stödja JIT. Vi rekommenderar att du aktiverar JIT för dessa virtuella datorer.
  • Stöds inte – virtuella datorer som inte stöder JIT eftersom:
    • Nätverkssäkerhetsgrupp saknas (NSG) eller Azure Firewall – JIT kräver att en NSG konfigureras eller en brandväggskonfiguration (eller båda)
    • Klassisk virtuell dator – JIT stöder virtuella datorer som distribueras via Azure Resource Manager. Läs mer om klassiska distributionsmodeller jämfört med Azure Resource Manager.
    • Annat – JIT-lösningen är inaktiverad i säkerhetsprincipen för prenumerationen eller resursgruppen.

Aktivera JIT på dina virtuella datorer från Microsoft Defender för molnet

Screenshot showing configuring JIT VM access in Microsoft Defender for Cloud.

Från Defender för molnet kan du aktivera och konfigurera JIT VM-åtkomst.

  1. Öppna arbetsbelastningsskydden och välj Just-in-time VM-åtkomst i de avancerade skydden.

  2. På fliken Inte konfigurerade virtuella datorer markerar du de virtuella datorer som ska skyddas med JIT och väljer Aktivera JIT på virtuella datorer.

    Jit VM-åtkomstsidan öppnas med de portar som Defender för molnet rekommenderar att du skyddar:

    • 22 – SSH
    • 3389 – RDP
    • 5985 – WinRM
    • 5986 – WinRM

    Så här anpassar du JIT-åtkomsten:

    1. Markera Lägga till.

    2. Välj en av portarna i listan för att redigera den eller ange andra portar. För varje port kan du ange följande:

      • Protokoll – det protokoll som tillåts på den här porten när en begäran godkänns
      • Tillåtna käll-IP-adresser – DE IP-intervall som tillåts på den här porten när en begäran godkänns
      • Maximal begärandetid – Den maximala tidsperiod under vilken en specifik port kan öppnas
    3. Välj OK.

  3. Spara portkonfigurationen genom att välja Spara.

Redigera JIT-konfigurationen på en JIT-aktiverad virtuell dator med Defender för molnet

Du kan ändra en virtuell dators just-in-time-konfiguration genom att lägga till och konfigurera en ny port för att skydda den virtuella datorn, eller genom att ändra andra inställningar som är relaterade till en redan skyddad port.

Så här redigerar du befintliga JIT-regler för en virtuell dator:

  1. Öppna arbetsbelastningsskydden och välj Just-in-time VM-åtkomst i de avancerade skydden.

  2. På fliken Konfigurerade virtuella datorer högerklickar du på en virtuell dator och väljer Redigera.

  3. I JIT VM-åtkomstkonfigurationen kan du antingen redigera listan över portar eller välja Lägg till en ny anpassad port.

  4. När du har redigerat portarna väljer du Spara.

Begär åtkomst till en JIT-aktiverad virtuell dator från Microsoft Defender för molnet

När en virtuell dator har en JIT aktiverad måste du begära åtkomst för att ansluta till den. Du kan begära åtkomst på något av de sätt som stöds, oavsett hur du har aktiverat JIT.

  1. På sidan Just-in-time-åtkomst till virtuell dator väljer du fliken Konfigurerad.

  2. Välj de virtuella datorer som du vill komma åt:

    • Ikonen i kolumnen Anslut ion Details anger om JIT är aktiverat i nätverkssäkerhetsgruppen eller brandväggen. Om den är aktiverad på båda visas bara brandväggsikonen.

    • Kolumnen Anslut ionsinformation visar användaren och portarna som kan komma åt den virtuella datorn.

  3. Välj Begär åtkomst. Fönstret Begär åtkomst öppnas.

  4. Under Begär åtkomst väljer du de portar som du vill öppna för varje virtuell dator, de käll-IP-adresser som du vill att porten ska öppnas på och tidsfönstret för att öppna portarna.

  5. Välj Öppna portar.

    Kommentar

    Om en användare som begär åtkomst finns bakom en proxy kan du ange IP-adressintervallet för proxyn.

Andra sätt att arbeta med JIT VM-åtkomst

Virtuella Azure-datorer

Aktivera JIT på dina virtuella datorer från virtuella Azure-datorer

Du kan aktivera JIT på en virtuell dator från sidorna för virtuella Azure-datorer i Azure-portalen.

Dricks

Om en virtuell dator redan har JIT aktiverat visar konfigurationssidan för den virtuella datorn att JIT är aktiverat. Du kan använda länken för att öppna JIT VM-åtkomstsidan i Defender för molnet för att visa och ändra inställningarna.

  1. Från Azure-portalen söker du efter och väljer Virtuella datorer.

  2. Välj den virtuella dator som du vill skydda med JIT.

  3. I menyn väljer du Konfiguration.

  4. Under Just-in-time-åtkomst väljer du Aktivera just-in-time.

    Som standard använder just-in-time-åtkomst för den virtuella datorn följande inställningar:

    • Windows-datorer
      • RDP-port: 3389
      • Högsta tillåtna åtkomst: Tre timmar
      • Tillåtna käll-IP-adresser: Alla
    • Linux-datorer
      • SSH-port: 22
      • Högsta tillåtna åtkomst: Tre timmar
      • Tillåtna käll-IP-adresser: Alla
  5. Om du vill redigera något av dessa värden eller lägga till fler portar i JIT-konfigurationen använder du Microsoft Defender för molnet just-in-time-sida:

    1. På Defender för molnet meny väljer du Just-in-time VM access (Just-in-time VM access).

    2. På fliken Konfigurerad högerklickar du på den virtuella dator som du vill lägga till en port till och väljer Redigera.

      Editing a JIT VM access configuration in Microsoft Defender for Cloud.

    3. Under JIT VM-åtkomstkonfiguration kan du antingen redigera de befintliga inställningarna för en redan skyddad port eller lägga till en ny anpassad port.

    4. När du har redigerat portarna väljer du Spara.

Begär åtkomst till en JIT-aktiverad virtuell dator från den virtuella Azure-datorns anslutningssida

När en virtuell dator har en JIT aktiverad måste du begära åtkomst för att ansluta till den. Du kan begära åtkomst på något av de sätt som stöds, oavsett hur du har aktiverat JIT.

Screenshot showing jit just-in-time request.

Så här begär du åtkomst från virtuella Azure-datorer:

  1. Öppna sidorna för virtuella datorer i Azure-portalen.

  2. Välj den virtuella dator som du vill ansluta till och öppna sidan Anslut.

    Azure kontrollerar om JIT är aktiverat på den virtuella datorn.

    • Om JIT inte är aktiverat för den virtuella datorn uppmanas du att aktivera det.

    • Om JIT är aktiverat väljer du Begär åtkomst för att skicka en åtkomstbegäran med den begärande IP-adressen, tidsintervallet och portarna som har konfigurerats för den virtuella datorn.

Kommentar

När en begäran har godkänts för en virtuell dator som skyddas av Azure Firewall ger Defender för molnet användaren rätt anslutningsinformation (portmappningen från DNAT-tabellen) som ska användas för att ansluta till den virtuella datorn.

PowerShell

Aktivera JIT på dina virtuella datorer med PowerShell

Om du vill aktivera just-in-time-åtkomst till virtuella datorer från PowerShell använder du den officiella Microsoft Defender för molnet PowerShell-cmdleten Set-AzJitNetworkAccessPolicy.

Exempel – Aktivera just-in-time-åtkomst till virtuella datorer på en specifik virtuell dator med följande regler:

  • Stäng portarna 22 och 3389
  • Ange ett maximalt tidsfönster på 3 timmar för var och en så att de kan öppnas per godkänd begäran
  • Tillåt att den användare som begär åtkomst kontrollerar källans IP-adresser
  • Tillåt att den användare som begär åtkomst upprättar en lyckad session vid en godkänd just-in-time-åtkomstbegäran

Följande PowerShell-kommandon skapar den här JIT-konfigurationen:

  1. Tilldela en variabel som innehåller just-in-time-åtkomstreglerna för virtuella datorer för en virtuell dator:

    $JitPolicy = (@{
        id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
        ports=(@{
             number=22;
             protocol="*";
             allowedSourceAddressPrefix=@("*");
             maxRequestAccessDuration="PT3H"},
             @{
             number=3389;
             protocol="*";
             allowedSourceAddressPrefix=@("*");
             maxRequestAccessDuration="PT3H"})})
    
  2. Infoga åtkomstreglerna för virtuella datorer just-in-time i en matris:

    $JitPolicyArr=@($JitPolicy)
    
  3. Konfigurera reglerna för just-in-time-åtkomst för virtuella datorer på den valda virtuella datorn:

    Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
    

    Använd parametern -Name för att ange en virtuell dator. Om du till exempel vill upprätta JIT-konfigurationen för två olika virtuella datorer, VM1 och VM2, använder du: Set-AzJitNetworkAccessPolicy -Name VM1 och Set-AzJitNetworkAccessPolicy -Name VM2.

Begära åtkomst till en JIT-aktiverad virtuell dator med PowerShell

I följande exempel kan du se en just-in-time-begäran om vm-åtkomst till en specifik virtuell dator för port 22, för en specifik IP-adress och under en viss tidsperiod:

Kör följande kommandon i PowerShell:

  1. Konfigurera åtkomstegenskaperna för vm-begäranden:

    $JitPolicyVm1 = (@{
        id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
        ports=(@{
           number=22;
           endTimeUtc="2020-07-15T17:00:00.3658798Z";
           allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
    
  2. Infoga parametrarna för vm-åtkomstbegäran i en matris:

    $JitPolicyArr=@($JitPolicyVm1)
    
  3. Skicka begärandeåtkomsten (använd resurs-ID:t från steg 1)

    Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
    

Läs mer i PowerShell-cmdlet-dokumentationen.

REST-API

Aktivera JIT på dina virtuella datorer med hjälp av REST-API:et

Just-in-time-funktionen för vm-åtkomst kan användas via Microsoft Defender för molnet-API:et. Använd det här API:et för att hämta information om konfigurerade virtuella datorer, lägga till nya, begära åtkomst till en virtuell dator med mera.

Läs mer i JIT-nätverksåtkomstprinciper.

Begär åtkomst till en JIT-aktiverad virtuell dator med hjälp av REST-API:et

Just-in-time-funktionen för vm-åtkomst kan användas via Microsoft Defender för molnet-API:et. Använd det här API:et för att hämta information om konfigurerade virtuella datorer, lägga till nya, begära åtkomst till en virtuell dator med mera.

Läs mer i JIT-nätverksåtkomstprinciper.

Granska JIT-åtkomstaktivitet i Defender för molnet

Du kan få insikter om VM-aktiviteter med hjälp av loggsökning. Så här visar du loggarna:

  1. Från Just-in-time VM-åtkomst väljer du fliken Konfigurerad .

  2. Öppna ellipsmenyn i slutet av raden för den virtuella dator som du vill granska.

  3. Välj Aktivitetslogg på menyn.

    Select just-in-time JIT activity log.

    Aktivitetsloggen innehåller en filtrerad vy över tidigare åtgärder för den virtuella datorn tillsammans med tid, datum och prenumeration.

  4. Om du vill ladda ned logginformationen väljer du Ladda ned som CSV.

Nästa steg

I den här artikeln har du lärt dig hur du konfigurerar och använder just-in-time-åtkomst till virtuella datorer. Om du vill veta varför du bör använda JIT läser du artikeln som förklarar de hot som JIT skyddar mot: