Azure Stack HCI 安全性考量

  • 發行項

適用于:Azure Stack HCI 版本 22H2 和 21H2;Windows Server 2022、Windows Server 2019

本主題提供 Azure Stack HCI 作業系統的相關安全性考量和建議:

  • 第 1 部分涵蓋基本的安全性工具和技術,用於強化作業系統及保護資料和身分識別,以有效率地為您的組織打造安全的基礎。
  • 第 2 部分涵蓋透過雲端Microsoft Defender提供的資源。 請參閱雲端簡介Microsoft Defender
  • 第 3 部分涵蓋更進階的安全性考量,用於進一步強化您組織在這些領域中的安全性狀態。

為什麼安全性考量很重要?

安全性會影響您組織中的所有人,從上層管理到資訊工作者都會受到影響。 安全性不足是組織的實際風險,因為安全性缺口可能會中斷所有正常業務,並讓您的組織停止。 您可以更快地偵測到潛在攻擊,就能更快降低安全性的危害。

在研究環境的弱點並加以利用之後,攻擊者通常會在第一次入侵後的 24 至 48 小時內提升權限,以控制網路上的系統。 良好的安全性措施可強化環境中的系統,藉由封鎖攻擊者的行動,將攻擊者可能掌控系統的時間延長到數小時、數週甚至是數個月。 實作本主題中的安全性建議,可讓您的組織儘快偵測和回應這類攻擊。

第 1 部分:打造安全的基礎

下列各節會提供安全性工具和技術建議,為您環境中執行 Azure Stack HCI 作業系統的伺服器建立安全的基礎。

強化環境

本節討論如何保護在作業系統上執行的服務和虛擬機器 (VM):

  • Azure Stack HCI 認證的硬體 提供一致的安全開機、UEFI 和 TPM 設定。 結合以虛擬化為基礎的安全性和認證硬體,協助保護要求高安全性的工作負載。 您也可以將此信任的基礎結構連線至雲端Microsoft Defender,以啟用行為分析和報告,以考慮快速變更的工作負載和威脅。

    • 安全開機是由電腦產業開發的安全性標準,可協助確保裝置只會使用原始設備製造商 (OEM) 所信任的軟體來開機。 若要深入了解,請參閱安全開機
    • United Extensible Firmware Interface (UEFI) 控制伺服器的開機程式,然後將控制權傳遞給 Windows 或其他作業系統。 若要深入了解,請參閱 UEFI 韌體需求
    • 信賴平台模組 (TPM) 技術可提供硬體式的安全性相關功能。 TPM 晶片是安全的密碼編譯處理器,可產生、儲存和限制密碼編譯金鑰的使用。 若要深入了解,請參閱信賴平台模組技術概觀

    若要深入瞭解 Azure Stack HCI 認證的硬體提供者,請參閱 Azure Stack HCI 解決方案 網站。

  • 安全性工具是 Windows Admin Center 中以原生方式為單一伺服器和 Azure Stack HCI 叢集提供的工具,可讓您更輕鬆地進行安全性管理和控制。 此工具會集中部分伺服器和叢集的重要安全性設定,包括能夠檢視系統的安全核心狀態。

    若要深入了解,請參閱安全核心伺服器

  • Device GuardCredential Guard。 Device Guard 可抵禦沒有已知簽章的惡意程式碼、未簽署的程式碼,以及取得核心存取權來擷取機密資訊或損毀系統的惡意程式碼。 Windows Defender Credential Guard 使用以虛擬化為基礎的安全性來隔離祕密,只有具特殊權限的系統軟體才能進行存取。

    若要深入了解,請參閱管理 Windows Defender Credential Guard 和下載 Device Guard 與 Credential Guard 硬體整備工具

  • Windows韌體更新在叢集、伺服器 (包括客體 VM) 和電腦上相當重要,可協助確保作業系統和系統硬體免於遭到攻擊者的入侵。 您可以使用 Windows Admin Center 更新工具,將更新套用至個別系統。 如果您的硬體提供者包含取得驅動程式、韌體和解決方案更新的Windows Admin Center支援,您可以同時取得這些更新作為 Windows 更新;否則,請直接從您的廠商取得這些更新。

    若要深入了解,請參閱更新叢集

    若要一次管理多個叢集和伺服器上的更新,請考慮訂閱與 Windows Admin Center 整合的選用 Azure 更新管理服務。 如需詳細資訊,請參閱使用 Windows Admin Center 的 Azure 更新管理

保護資料

本節討論如何使用 Windows Admin Center 來保護作業系統上的資料和工作負載:

  • 適用於儲存空間的 BitLocker 可保護待用資料。 您可以使用 BitLocker 來加密作業系統上的儲存空間資料磁碟區內容。 使用 BitLocker 來保護資料可協助組織符合政府、地區和業界特定標準的規範,例如 FIPS 140-2 和 HIPAA。

    若要深入了解如何在 Windows Admin Center 中使用 BitLocker,請參閱啟用磁碟區加密、重復資料刪除和壓縮

  • 適用於 Windows 網路的 SMB 加密可保護傳輸中的資料。 伺服器訊息區 (SMB) 是一種網路檔案共用通訊協定,可讓電腦上的應用程式讀取和寫入檔案,以及從電腦網路上的伺服器程式要求服務。

    若要啟用 SMB 加密,請參閱 SMB 安全性增強功能

  • Windows Defender防毒軟體可保護用戶端和伺服器上的作業系統免于病毒、惡意程式碼、間諜軟體和其他威脅。 若要深入瞭解,請參閱在 Windows Server 上Microsoft Defender防毒軟體

保護身分識別

本節討論如何使用 Windows Admin Center 來保護具特殊權限的身分識別:

  • 存取控制可以改善管理環境的安全性。 如果您使用 Windows Admin Center 伺服器 (與在 Windows 10 電腦上執行相比),您可以控制 Windows Admin Center 本身的兩種存取層級:閘道使用者和閘道管理員。 閘道管理員識別提供者的選項包括:

    • Active Directory 或本機電腦群組,可強制執行智慧卡驗證。
    • Microsoft Entra識別碼來強制執行條件式存取和多重要素驗證。

    若要深入了解,請參閱 Windows Admin Center 的使用者存取選項設定使用者存取控制和權限

  • 指向 Windows Admin Center 的瀏覽器流量會使用 HTTPS。 從 Windows Admin Center 到受控伺服器的流量會透過 Windows 遠端管理 (WinRM) 使用標準的 PowerShell 和 Windows Management Instrumentation (WMI)。 Windows Admin Center支援本機系統管理員密碼解決方案 (LAPS) 、資源型限制委派、使用 Active Directory (AD) 或Microsoft Entra識別碼的閘道存取控制,以及 RBAC) 來管理Windows Admin Center閘道的角色型 (存取控制。

    Windows Admin Center 支援 Microsoft Edge (Windows 10 1709 版或更新版本)、Google Chrome,以及 Windows 10 上的 Microsoft Edge Insider。 您可以在 Windows 10 電腦或 Windows 伺服器上安裝 Windows Admin Center。

    如果您在伺服器上安裝Windows Admin Center,它會以閘道的形式執行,而主機伺服器上沒有 UI。 在此情況下,管理員可以透過 HTTPS 工作階段來登入伺服器 (可受到主機上自我簽署安全性憑證的保護)。 不過,最好是針對登入程式使用來自受信任憑證授權單位單位的適當 SSL 憑證,因為支援的瀏覽器會將自我簽署連線視為不安全,即使連線是透過受信任的 VPN 透過本機 IP 位址。

    若要深入了解您組織的安裝選項,請參閱何種安裝類型最適合您?

  • CredSSP 是驗證提供者,在少數情況下,Windows Admin Center 會使用此提供者來將認證傳遞給所要管理特定伺服器以外的機器。 Windows Admin Center 目前需要 CredSSP 來執行下列動作:

    • 建立新叢集。
    • 存取更新工具,以使用容錯移轉叢集或叢集感知更新功能。
    • 管理 VM 中的分類式 SMB 儲存體。

    若要深入了解,請參閱 Windows Admin Center 是否使用 CredSSP?

  • Windows Admin Center 中的安全性工具,可用來管理及保護身分識別,包括 Active Directory、憑證、防火牆、本機使用者和群組等等。

    若要深入了解,請參閱使用 Windows Admin Center 管理伺服器

第 2 部分:針對雲端 (MDC) 使用Microsoft Defender

雲端Microsoft Defender是統一的基礎結構安全性管理系統,可強化資料中心的安全性狀態,並在雲端和內部部署的混合式工作負載之間提供進階威脅防護。 適用于雲端的 Defender 提供工具來評估網路的安全性狀態、保護工作負載、引發安全性警示,並遵循特定建議來補救攻擊並解決未來的威脅。 適用于雲端的 Defender 會透過 Azure 服務自動布建和保護,在雲端中以高速執行所有這些服務,而不需要部署額外負荷。

適用于雲端的 Defender 藉由在這些資源上安裝 Log Analytics 代理程式,來保護 Windows 伺服器和 Linux 伺服器的 VM。 Azure 會讓代理程式所收集的事件與用於讓工作負載更安全的建議 (強化工作) 相互關聯。 以安全性最佳做法為基礎的強化工作包括管理和強制執行安全性原則。 接著,您可以透過適用于雲端的 Defender 監視來追蹤結果並管理合規性和治理,同時減少所有資源的攻擊面。

管理哪些人員可以存取 Azure 資源和訂用帳戶是 Azure 控管策略中很重要的一環。 Azure RBAC 是在 Azure 中管理存取權的主要方法。 若要深入了解,請參閱透過角色型存取控制來管理對 Azure 環境的存取

透過 Windows Admin Center 使用適用于雲端的 Defender 需要 Azure 訂用帳戶。 若要開始使用,請參閱使用適用于雲端的 Microsoft Defender 保護Windows Admin Center資源。 若要開始使用,請參閱 規劃適用于伺服器部署的 Defender。 如需適用于伺服器的 Defender 授權 (伺服器方案) ,請參閱 選取適用于伺服器的 Defender 方案

註冊之後,請在 [Windows Admin Center存取 MDC:在 [所有連線] 頁面上,選取伺服器或 VM,在 [工具] 底下,選取[Microsoft Defender for Cloud],然後選取 [登入 Azure]。

如需詳細資訊,請參閱什麼是雲端Microsoft Defender?

第 3 部分:新增進階安全性

下列各節會提供進階的安全性工具和技術建議,進一步強化您環境中執行 Azure Stack HCI 作業系統的伺服器。

強化環境

  • Microsoft 安全性基準是以 Microsoft 的安全性建議為基礎,這些建議是透過與商業組織及美國政府 (例如美國國防部) 合作而取得。 安全性基準包含 Windows 防火牆、Windows Defender 和其他許多項目的建議安全性設定。

    安全性基準會以群組原則 Object (GPO) 備份的形式提供,您可以匯入ACTIVE DIRECTORY 網域服務 (AD DS) ,然後部署到已加入網域的伺服器以強化環境。 您也可以使用本機腳本工具來設定具有安全性基準的獨立 (未加入網域) 伺服器。 若要開始使用安全性基準,請下載 Microsoft 安全合規性工具組 1.0

    若要深入了解,請參閱 Microsoft 安全性基準

保護資料

  • 強化 Hyper-V 環境需要強化在 VM 上執行的 Windows Server,就像強化實體伺服器上執行的作業系統一樣。 由於虛擬環境通常有多個共用相同實體主機的 VM,因此務必要保護實體主機和其中執行的 VM。 入侵主機的攻擊者可能會影響多個 VM,並對工作負載和服務產生更大的影響。 本節將討論您可以用來在 Hyper-V 環境中強化 Windows Server 的下列方法:

    • Windows Server 中的虛擬信賴平台模組 (vTPM) 支援適用於 VM 的 TPM,可讓您使用進階的安全性技術,例如 VM 中的 BitLocker。 您可以使用 Hyper-V 管理員或 Enable-VMTPM Windows PowerShell Cmdlet,在任何第 2 代 Hyper-V VM 上啟用 TPM 支援。

      注意

      啟用 vTPM 會影響 VM 行動性:需要手動動作,才能讓 VM 從您原本啟用 vTPM 的不同主機上啟動。

      若要深入了解,請參閱 Enable-VMTPM

    • 軟體定義網路 (SDN) 會在 Azure Stack HCI 和 Windows Server 中集中設定及管理虛擬網路裝置,例如基礎結構中的軟體負載平衡器、資料中心防火牆、閘道和虛擬交換器。 虛擬網路元素 (例如 Hyper-V 虛擬交換器、Hyper-V 網路虛擬化和 RAS 閘道) 會設計為 SDN 基礎結構的組成元素。

      若要深入了解,請參閱軟體定義網路 (SDN)

      注意

      Azure Stack HCI 不支援受主機守護者服務保護的受防護 VM。

保護身分識別

  • 本機管理員密碼解決方案 (LAPS) 是一種輕量機制,適用於加入 Active Directory 網域的系統,這些系統會定期將每部電腦的本機管理員帳戶密碼設定為新的唯一亂數值。 密碼會儲存在 Active Directory 中對應電腦物件上的安全機密屬性中,只有明確授權的使用者可以擷取這些密碼。 LAPS 使用本機帳戶進行遠端電腦管理,其具有一些勝過使用網域帳戶的優勢。 若要深入了解,請參閱本機帳戶的遠端使用:LAPS 改變了一切

    若要開始使用 LAPS,請下載本機管理員密碼解決方案 (LAPS)

  • Microsoft Advanced Threat Analytics (ATA) 是內部部署產品,可讓您用來協助偵測試圖危害特殊權限身分識別的攻擊者。 ATA 會剖析驗證、授權和資訊收集通訊協定 (例如 Kerberos 和 DNS) 的網路流量。 ATA 會使用這些資料來建立使用者的行為設定檔,以及網路上的其他實體,以偵測異常和已知的攻擊模式。

    若要深入瞭解,請參閱 什麼是進階威脅分析?

  • Windows Defender Remote Credential Guard 會藉由將 Kerberos 要求重新導回要求連線的裝置,以透過遠端桌面連線來保護認證。 也會為遠端桌面工作階段提供單一登入 (SSO)。 在遠端桌面工作階段中,如果目標裝置遭到入侵,則不會公開您的認證,因為認證和認證衍生項目都不會透過網路傳遞到目標裝置。

    若要深入了解,請參閱管理 Windows Defender Credential Guard

  • 身分識別的Microsoft Defender可透過監視使用者行為和活動、減少攻擊面、保護混合式環境中的 Active Directory 聯邦服務 (AD FS) ,以及識別可疑活動和跨網路攻擊終止鏈的進階攻擊,協助您保護特殊許可權身分識別。

    若要深入瞭解,請參閱什麼是適用於身分識別的 Microsoft Defender?

下一步

如需安全性與法規合規性的詳細資訊,請參閱: