Sdílet prostřednictvím

Aspekty zabezpečení Azure Stack HCI

  • Článek

Platí pro: Azure Stack HCI, verze 22H2 a 21H2; Windows Server 2022, Windows Server 2019

Důležité

Azure Stack HCI je teď součástí Azure Local. Starší verze Azure Stack HCI, například 22H2, ale budou dál odkazovat na Azure Stack HCI a nebudou odrážet změnu názvu. Další informace.

Tento článek obsahuje důležité informace o zabezpečení a doporučení související s operačním systémem Azure Stack HCI:

  • Část 1 obsahuje základní nástroje a technologie zabezpečení pro posílení operačního systému a ochranu dat a identit za účelem efektivního vytvoření zabezpečeného základu pro vaši organizaci.
  • Část 2 se zabývá prostředky dostupnými prostřednictvím programu Microsoft Defender for Cloud. Viz Úvod do programu Microsoft Defender pro cloud.
  • Část 3 se zabývá pokročilejšími aspekty zabezpečení, které v těchto oblastech dále posiluje stav zabezpečení vaší organizace.

Proč jsou důležité aspekty zabezpečení?

Zabezpečení ovlivňuje všechny uživatele ve vaší organizaci od správy vyšší úrovně až po informační pracovníka. Nedostatečné zabezpečení je skutečným rizikem pro organizace, protože narušení zabezpečení může potenciálně narušit veškerou normální firmu a zastavit vaši organizaci. Čím dříve můžete detekovat potenciální útok, tím rychleji můžete zmírnit případné ohrožení zabezpečení.

Po prozkoumání slabých bodů prostředí, které je zneužije, může útočník obvykle do 24 až 48 hodin od počátečního ohrožení eskalovat oprávnění k převzetí kontroly systémů v síti. Dobrá bezpečnostní opatření ztěžují systémy v prostředí, aby prodloužily dobu, po kterou útočník může potenciálně převzít kontrolu od hodin po týdny nebo dokonce měsíce tím, že blokuje pohyby útočníka. Implementace doporučení zabezpečení v tomto článku umístí vaši organizaci k co nejrychlejšímu zjištění a reakci na takové útoky.

Část 1: Vytvoření zabezpečeného základu

Následující části doporučují nástroje a technologie zabezpečení pro vytvoření zabezpečeného základu pro servery s operačním systémem Azure Stack HCI ve vašem prostředí.

Zabezpečení prostředí

Tato část popisuje, jak chránit služby a virtuální počítače spuštěné v operačním systému:

  • Hardware certifikovaný pro Azure Stack HCI poskytuje konzistentní nastavení zabezpečeného spouštění, rozhraní UEFI a TPM. Kombinování zabezpečení založeného na virtualizaci a certifikovaného hardwaru pomáhá chránit úlohy citlivé na zabezpečení. Tuto důvěryhodnou infrastrukturu můžete také připojit k Defender for Cloud a aktivovat analýzu chování a vytváření sestav, aby se zohlednily rychle se měnící úlohy a hrozby.

    • Zabezpečené spouštění je standard zabezpečení vyvinutý počítačovým průmyslem, který pomáhá zajistit, aby zařízení používalo pouze software, který je důvěryhodný výrobcem OEM (Original Equipment Manufacturer). Další informace najdete v tématu Zabezpečené spouštění.
    • United Extensible Firmware Interface (UEFI) řídí proces spouštění serveru a pak předává řízení systému Windows nebo jinému operačnímu systému. Další informace najdete v tématu Požadavky na firmware UEFI.
    • Technologie TPM (Trusted Platform Module) poskytuje hardwarové funkce související se zabezpečením. Čip TPM je zabezpečený kryptografický procesor, který generuje, ukládá a omezuje použití kryptografických klíčů. Další informace najdete v tématu Přehled technologie Trusted Platform Module.

    Další informace o poskytovateli hardwaru certifikovaných pro Azure Stack HCI najdete na webu řešení Azure Stack HCI.

  • Nástroj Zabezpečení je nativně dostupný v Centru pro správu Systému Windows pro clustery s jedním serverem i clustery Azure Stack HCI, které usnadňují správu zabezpečení a kontrolu. Nástroj centralizuje některá klíčová nastavení zabezpečení pro servery a clustery, včetně možnosti zobrazit stav zabezpečených základních systémů.

    Další informace najdete v tématu Zabezpečený základní server.

  • Device Guard a Credential Guard. Device Guard chrání před malwarem bez známého podpisu, nepodepsaného kódu a malwaru, který získá přístup k jádru za účelem zachycení citlivých informací nebo poškození systému. Ochrana Credential Guard v programu Windows Defender používá zabezpečení založené na virtualizaci k izolaci tajných kódů, aby k nim měl přístup pouze privilegovaný systémový software.

    Další informace najdete v tématu Správa ochrany Credential Guard v programu Windows Defender a stažení nástroje Device Guard a Credential Guard pro připravenost hardwaru.

  • Aktualizace Windows a firmwaru jsou nezbytné pro clustery, servery (včetně hostujících virtuálních počítačů) a počítače, které pomáhají zajistit ochranu operačního systému i hardwaru systému před útočníky. K instalaci aktualizací na jednotlivé systémy můžete použít nástroj Aktualizace centra Windows Admin Center. Pokud váš poskytovatel hardwaru zahrnuje podporu centra Windows Admin Center pro získání aktualizací ovladačů, firmwaru a řešení, můžete tyto aktualizace získat současně s aktualizacemi Systému Windows; jinak je získejte přímo od vašeho dodavatele.

    Další informace najdete v tématu Aktualizace clusteru.

    Pokud chcete spravovat aktualizace na více clusterech a serverech najednou, zvažte přihlášení k odběru volitelné služby Azure Update Management, která je integrovaná se službou Windows Admin Center. Další informace najdete v tématu Azure Update Management pomocí Centra pro správu Windows.

Ochrana dat

Tato část popisuje, jak pomocí centra Windows Admin Center chránit data a úlohy v operačním systému:

  • BitLocker pro úložiště Storage Spaces chrání data v klidovém stavu. BitLocker můžete použít k šifrování obsahu datových svazků úložiště v operačním systému. Ochrana dat pomocí BitLockeru může organizacím pomoct zůstat v souladu se standardy pro státní správu, regionální a oborové standardy, jako jsou FIPS 140-2 a HIPAA.

    Další informace o používání Nástroje BitLocker v Centru pro správu Windows najdete v tématu Povolení šifrování svazků, odstranění duplicitních dat a komprese.

  • Šifrování PROTOKOLU SMB pro sítě s Windows chrání přenášená data. Server Message Block (SMB) je protokol pro sdílení síťových souborů, který umožňuje aplikacím v počítači číst a zapisovat do souborů a požadovat služby ze serverových programů v počítačové síti.

    Pokud chcete povolit šifrování SMB, přečtěte si článek Vylepšení zabezpečení protokolu SMB.

  • Antivirová ochrana v programu Windows Defender chrání operační systém na klientech a serverech před viry, malwarem, spywarem a dalšími hrozbami. Další informace najdete v tématu Antivirová ochrana v programu Microsoft Defender na Windows Serveru.

Ochrana identit

Tato část popisuje, jak používat Centrum pro správu Windows k ochraně privilegovaných identit:

  • Řízení přístupu může zlepšit zabezpečení vašeho prostředí správy. Pokud používáte server Windows Admin Center (vs. spuštěný na počítači s Windows 10), můžete řídit dvě úrovně přístupu k samotnému Centru pro správu Windows: uživatelé brány a správci brány. Mezi možnosti poskytovatele identity pro správce brány patří:

    • Skupiny Active Directory nebo skupiny místních počítačů pro vynucení autentizace pomocí čipové karty.
    • Microsoft Entra ID pro vynucení podmíněného přístupu a vícefaktorového ověřování

    Další informace najdete v tématu Možnosti přístupu uživatelů pomocí Centra pro správu Windows a Konfigurace řízení přístupu a oprávnění uživatele.

  • Provoz v prohlížeči do Centra pro správu Windows používá protokol HTTPS. Komunikace z Windows Admin Center na spravované servery používá standardní PowerShell a Windows Management Instrumentation (WMI) přes Windows Remote Management (WinRM). Windows Admin Center podporuje řešení pro hesla místního správce (LAPS), omezené delegování na základě prostředků, řízení přístupu k bráně pomocí služby Active Directory (AD) nebo Microsoft Entra ID a řízení přístupu na základě role (RBAC) pro správu brány Windows Admin Center.

    Centrum pro správu Windows podporuje Microsoft Edge (Windows 10 verze 1709 nebo novější), Google Chrome a Microsoft Edge Insider ve Windows 10. Centrum pro správu Windows můžete nainstalovat buď na počítač s Windows 10, nebo na Windows Server.

    Pokud nainstalujete Windows Admin Center na server, spustí se jako brána bez uživatelského rozhraní na hostitelském serveru. V tomto scénáři se správci můžou přihlásit k serveru prostřednictvím relace HTTPS, která je zabezpečená certifikátem zabezpečení podepsaným svým držitelem na hostiteli. Je ale lepší použít odpovídající certifikát SSL od důvěryhodné certifikační autority pro proces přihlašování, protože podporované prohlížeče považují připojení podepsané svým držitelem za nezabezpečené, i když je připojení k místní IP adrese přes důvěryhodnou síť VPN.

    Další informace o možnostech instalace pro vaši organizaci najdete v tématu Jaký typ instalace je pro vás nejvhodnější?

  • credSSP je zprostředkovatel ověřování, který Windows Admin Center používá v několika případech k předávání přihlašovacích údajů počítačům mimo konkrétní server, na který cílíte na správu. Windows Admin Center v současné době vyžaduje credSSP pro:

    • Vytvořte nový cluster.
    • Přejděte k nástroji Updates, abyste použili buď funkci převzetí služeb při selhání, nebo funkci aktualizace s podporou clustru.
    • Správa členěného úložiště SMB ve virtuálních počítačích

    Další informace najdete v tématu Používá Windows Admin Center CredSSP?

  • Mezi nástroje zabezpečení ve Windows Admin Center, které můžete použít ke správě a ochraně identit, patří Active Directory, Certifikáty, brána firewall, místní uživatelé a skupiny a další.

    Další informace najdete v tématu Správa serverů pomocí centra Windows Admin Center.

Část 2: Použití Programu Microsoft Defender for Cloud (MDC)

Microsoft Defender for Cloud je jednotný systém pro správu zabezpečení infrastruktury, který posiluje stav zabezpečení vašich datových center a poskytuje pokročilou ochranu před hrozbami napříč hybridními úlohami v cloudu i místně. Defender for Cloud poskytuje nástroje pro posouzení stavu zabezpečení sítě, ochranu úloh, vyvolání výstrah zabezpečení a sledování konkrétních doporučení k nápravě útoků a řešení budoucích hrozeb. Defender for Cloud provádí všechny tyto služby vysokorychlostním způsobem v cloudu bez režijních nákladů na nasazení prostřednictvím automatického zřizování a ochrany se službami Azure.

Defender for Cloud chrání virtuální počítače pro servery s Windows i servery s Linuxem instalací agenta Log Analytics na tyto prostředky. Azure koreluje události, které agenti shromažďují do doporučení (úloh posílení zabezpečení), které provádíte za účelem zabezpečení úloh. Úlohy posílení zabezpečení na základě osvědčených postupů zabezpečení zahrnují správu a vynucování zásad zabezpečení. Výsledky pak můžete sledovat a spravovat dodržování předpisů a zásady správného řízení v průběhu času prostřednictvím programu Defender pro monitorování cloudu a zároveň omezit prostor pro útoky napříč všemi vašimi prostředky.

Správa přístupu uživatelů k prostředkům a předplatným Azure představuje důležitou součást strategie zásad správného řízení Azure. Azure RBAC je primární metoda správy přístupu v Azure. Další informace najdete v tématu Správa přístupu k prostředí Azure pomocí řízení přístupu na základě role.

Práce s programem Defender pro cloud prostřednictvím Centra pro správu Windows vyžaduje předplatné Azure. Pokud chcete začít, přečtěte si téma Ochrana prostředků Centra pro správu Windows pomocí programu Microsoft Defender for Cloud. Pokud chcete začít, přečtěte si téma Plánování nasazení Defenderu pro server. Informace o licencování defenderu pro servery (plány serverů) najdete v tématu Výběr plánu Defenderu pro servery.

Po registraci přejděte k MDC v Centru pro správu Windows: Na stránce Všechna připojení vyberte server nebo virtuální počítač v části Nástroje, vyberte Microsoft Defender for Cloud a pak vyberte Přihlásit se k Azure.

Další informace najdete v tématu Co je Microsoft Defender for Cloud?

Část 3: Přidání rozšířeného zabezpečení

Následující části doporučují pokročilé nástroje a technologie zabezpečení pro další posílení zabezpečení serverů s operačním systémem Azure Stack HCI ve vašem prostředí.

Zabezpečení prostředí

  • Standardní hodnoty zabezpečení microsoftu jsou založené na doporučeních k zabezpečení od Microsoftu získaných prostřednictvím partnerství s komerčními organizacemi a státní správou USA, jako je ministerstvo obrany. Standardní hodnoty zabezpečení zahrnují doporučená nastavení zabezpečení pro bránu Windows Firewall, Windows Defender a mnoho dalších.

    Standardní hodnoty zabezpečení jsou poskytovány jako zálohy objektů zásad skupiny (GPO), které můžete importovat do Služby doménové struktury Active Directory (AD DS) a pak nasadit na servery připojené k doméně pro posílení prostředí. Nástroje pro místní skripty můžete také použít ke konfiguraci samostatných serverů (nepřiřaděných k doméně) se standardními hodnotami zabezpečení. Pokud chcete začít používat standardní hodnoty zabezpečení, stáhněte si sadu Microsoft Security Compliance Toolkit 1.0.

    Další informace najdete v tématu Standardní hodnoty zabezpečení Microsoftu.

Ochrana dat

  • Posílení zabezpečení prostředí Hyper-V vyžaduje posílení zabezpečení Windows Serveru spuštěného na virtuálním počítači stejně jako posílení operačního systému spuštěného na fyzickém serveru. Vzhledem k tomu, že virtuální prostředí obvykle mají více virtuálních počítačů sdílejících stejný fyzický hostitel, je nezbytné chránit fyzického hostitele i virtuální počítače spuštěné na něm. Útočník, který ohrozí hostitele, může tímto způsobem ovlivnit více virtuálních počítačů s následně větším dopadem na úlohy a služby. Tato část popisuje následující metody, které můžete použít k posílení zabezpečení Windows Serveru v prostředí Hyper-V:

    • Virtual Trusted Platform Module (vTPM) ve Windows Serveru podporuje čip TPM pro virtuální počítače, což umožňuje používat pokročilé technologie zabezpečení, jako je BitLocker ve virtuálních počítačích. Podporu TPM můžete povolit na jakémkoli virtuálním počítači Hyper-V generace 2 pomocí Správce technologie Hyper-V nebo rutiny Windows PowerShellu Enable-VMTPM .

      Poznámka:

      Povolení vTPM bude mít vliv na mobilitu virtuálního počítače: Jsou vyžadovány manuální úkony, aby se virtuální počítač mohl spouštět na jiném hostiteli než na tom, kde jste původně povolili vTPM.

      Další informace najdete v tématu Enable-VMTPM.

    • Softwarově definované sítě (SDN) ve službě Azure Stack HCI a Windows Server centrálně konfigurují a spravují zařízení virtuální sítě, jako je nástroj pro vyrovnávání zatížení softwaru, brána firewall datového centra, brány a virtuální přepínače ve vaší infrastruktuře. Prvky virtuální sítě, jako je virtuální přepínač Hyper-V, virtualizace sítě Hyper-V a brána RAS, jsou navržené tak, aby byly nedílnou součástí infrastruktury SDN.

      Další informace najdete v tématu Softwarově definované sítě (SDN).

      Poznámka:

      Stíněné virtuální počítače chráněné službou Strážce hostitele se v Azure Stack HCI nepodporují.

Ochrana identit

  • Řešení PRO hesla místního správce (LAPS) je jednoduchý mechanismus pro systémy připojené k doméně služby Active Directory, který pravidelně nastavuje heslo místního účtu správce každého počítače na novou náhodnou a jedinečnou hodnotu. Hesla jsou uložena v zabezpečeném důvěrném atributu na odpovídajícím objektu počítače ve službě Active Directory, kde je můžou načíst pouze konkrétně autorizovaní uživatelé. LAPS používá místní účty pro vzdálenou správu počítačů způsobem, který nabízí určité výhody oproti používání účtů domény. Další informace najdete v tématu Vzdálené použití místních účtů: LAPS změní všechno.

    Pokud chcete začít používat LAPS, stáhněte si Řešení pro hesla místního správce (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) je místní produkt, který můžete použít k detekci útočníků, kteří se pokoušejí ohrozit privilegované identity. ATA analyzuje síťový provoz pro ověřování, autorizaci a shromažďování informací protokoly, jako je Kerberos a DNS. ATA pomocí dat vytváří profily chování uživatelů a dalších entit v síti k detekci anomálií a známých vzorů útoku.

    Další informace najdete v tématu Co je Advanced Threat Analytics?

  • Windows Defender Remote Credential Guard chrání přihlašovací údaje přes připojení ke vzdálené ploše tím, že přesměrovává požadavky protokolu Kerberos zpět na zařízení, které žádá o připojení. Poskytuje také jednotné přihlašování (SSO) pro relace vzdálené plochy. Pokud dojde během relace vzdálené plochy k ohrožení zabezpečení cílového zařízení, vaše přihlašovací údaje nejsou odhalené, protože přihlašovací údaje i odvozeniny přihlašovacích údajů se nikdy nepřenesou přes síť do cílového zařízení.

    Další informace najdete v tématu Správa ochrany credential Guard v programu Windows Defender.

  • Microsoft Defender for Identityies pomáhá chránit privilegované identity monitorováním chování uživatele a aktivit, snížením prostoru pro útoky, ochranou služby Active Directory Federal Service (AD FS) v hybridním prostředí a identifikací podezřelých aktivit a pokročilých útoků v rámci řetězce kill-chain kybernetických útoků.

    Další informace najdete v tématu Co je Microsoft Defender for Identity?

Další kroky

Další informace o dodržování předpisů a zabezpečení najdete v tématech: