Udostępnij za pośrednictwem

Zagadnienia dotyczące zabezpieczeń rozwiązania Azure Stack HCI

  • Artykuł

Dotyczy: Azure Stack HCI, wersje 22H2 i 21H2; Windows Server 2022, Windows Server 2019

Ważne

Usługa Azure Stack HCI jest teraz częścią usługi Azure Local. Jednak starsze wersje rozwiązania Azure Stack HCI, na przykład 22H2 będą nadal odwoływać się do rozwiązania Azure Stack HCI i nie będą odzwierciedlać zmiany nazwy. Dowiedz się więcej.

Ten artykuł zawiera zagadnienia dotyczące zabezpieczeń i zalecenia dotyczące systemu operacyjnego Azure Stack HCI:

  • Część 1 obejmuje podstawowe narzędzia i technologie zabezpieczeń w celu wzmacniania zabezpieczeń systemu operacyjnego oraz ochrony danych i tożsamości w celu wydajnego tworzenia bezpiecznej podstawy dla organizacji.
  • Część 2 obejmuje zasoby dostępne za pośrednictwem Microsoft Defender dla Chmury. Zapoznaj się z Wprowadzeniem do Microsoft Defender dla Chmury.
  • Część 3 obejmuje bardziej zaawansowane zagadnienia dotyczące zabezpieczeń w celu dalszego wzmocnienia poziomu zabezpieczeń organizacji w tych obszarach.

Dlaczego ważne są zagadnienia dotyczące zabezpieczeń?

Zabezpieczenia wpływają na wszystkich w organizacji, od kierownictwa wyższego szczebla do pracowników informacyjnych. Nieodpowiednie zabezpieczenia są realnym zagrożeniem dla organizacji, ponieważ naruszenie zabezpieczeń może potencjalnie zakłócić całą normalną działalność biznesową i zatrzymać organizację. Tym szybciej można wykryć potencjalny atak, tym szybciej można ograniczyć wszelkie naruszenia zabezpieczeń.

Po zbadaniu słabych punktów środowiska w celu ich wykorzystania atakujący może zazwyczaj w ciągu 24 do 48 godzin od początkowego naruszenia bezpieczeństwa eskalować uprawnienia do przejęcia kontroli nad systemami w sieci. Dobre środki bezpieczeństwa wzmacniają zabezpieczenia systemów w środowisku, aby wydłużyć czas, przez jaki osoba atakująca może przejąć kontrolę od godzin do kilku tygodni, a nawet miesięcy, blokując ruch osoby atakującej. Zaimplementowanie zaleceń dotyczących zabezpieczeń w tym artykule umożliwia organizacji wykrywanie takich ataków i reagowanie na nie tak szybko, jak to możliwe.

Część 1. Tworzenie bezpiecznej podstawy

Poniższe sekcje zawierają zalecenia dotyczące narzędzi i technologii zabezpieczeń w celu utworzenia bezpiecznej podstawy dla serwerów z systemem operacyjnym Azure Stack HCI w danym środowisku.

Wzmacnianie zabezpieczeń środowiska

W tej sekcji omówiono sposób ochrony usług i maszyn wirtualnych działających w systemie operacyjnym:

  • Sprzęt certyfikowany przez usługę Azure Stack HCI zapewnia spójne ustawienia bezpiecznego rozruchu , interfejsu UEFI i modułu TPM. Połączenie zabezpieczeń opartych na wirtualizacji i certyfikowanego sprzętu pomaga chronić obciążenia wrażliwe na zabezpieczenia. Możesz również połączyć tę zaufaną infrastrukturę z Microsoft Defender dla Chmury, aby aktywować analizę behawioralną i raportowanie, aby uwzględnić szybkie zmiany obciążeń i zagrożeń.

    • Bezpieczny rozruch to standard zabezpieczeń opracowany przez branżę komputerów, który pomaga zapewnić rozruch urządzenia przy użyciu tylko oprogramowania zaufanego przez producenta oryginalnego sprzętu (OEM). Aby dowiedzieć się więcej, zobacz Bezpieczny rozruch.
    • United Extensible Firmware Interface (UEFI) steruje procesem rozruchu serwera, a następnie przekazuje kontrolę do systemu Windows lub innego systemu operacyjnego. Aby dowiedzieć się więcej, zobacz Wymagania dotyczące oprogramowania układowego UEFI.
    • Technologia Trusted Platform Module (TPM) udostępnia funkcje związane ze sprzętem i zabezpieczeniami. Mikroukład modułu TPM to bezpieczny procesor kryptograficzny, który generuje, przechowuje i ogranicza korzystanie z kluczy kryptograficznych. Aby dowiedzieć się więcej, zobacz Przegląd technologii modułu zaufanej platformy.

    Aby dowiedzieć się więcej na temat certyfikowanych dostawców sprzętu usługi Azure Stack HCI, zobacz witrynę internetową rozwiązań Azure Stack HCI.

  • Narzędzie Zabezpieczenia jest dostępne natywnie w centrum administracyjnym systemu Windows dla klastrów pojedynczego serwera i usługi Azure Stack HCI, aby ułatwić zarządzanie zabezpieczeniami i kontrolę. Narzędzie centralizuje niektóre kluczowe ustawienia zabezpieczeń serwerów i klastrów, w tym możliwość wyświetlania stanu zabezpieczonego podstawowego systemu.

    Aby dowiedzieć się więcej, zobacz Serwer z zabezpieczonym rdzeniem.

  • Device Guard i Credential Guard. Funkcja Device Guard chroni przed złośliwym oprogramowaniem bez znanego podpisu, niepodpisanego kodu i złośliwego oprogramowania, które uzyskuje dostęp do jądra w celu przechwytywania poufnych informacji lub uszkodzenia systemu. Funkcja Windows Defender Credential Guard używa zabezpieczeń opartych na wirtualizacji do izolowania wpisów tajnych, dzięki czemu tylko uprzywilejowane oprogramowanie systemowe może uzyskiwać do nich dostęp.

    Aby dowiedzieć się więcej, zapoznaj się z zarządzaniem funkcją Windows Defender Credential Guard oraz pobierz narzędzie do oceny gotowości sprzętowej Device Guard i Credential Guard.

  • Aktualizacje systemu Windows i oprogramowania układowego są niezbędne w klastrach, serwerach (w tym maszynach wirtualnych gościa) i komputerach, aby zapewnić ochronę zarówno systemu operacyjnego, jak i sprzętu systemu operacyjnego przed osobami atakującymi. Za pomocą narzędzia Aktualizacje centrum administracyjnego systemu Windows można zastosować aktualizacje do poszczególnych systemów. Jeśli dostawca sprzętu obejmuje obsługę programu Windows Admin Center w zakresie pobierania aktualizacji sterowników, oprogramowania układowego i rozwiązania, możesz pobrać te aktualizacje w tym samym czasie co aktualizacje systemu Windows; w przeciwnym razie pobierz je bezpośrednio od dostawcy.

    Aby dowiedzieć się więcej, zobacz Aktualizowanie klastra.

    Aby zarządzać aktualizacjami na wielu klastrach i serwerach jednocześnie, rozważ subskrybowanie opcjonalnej usługi Azure Update Management zintegrowanej z centrum administracyjnym systemu Windows. Aby uzyskać więcej informacji, zobacz Azure Update Management using Windows Admin Center (Usługa Azure Update Management przy użyciu centrum administracyjnego systemu Windows).

Ochrona danych

W tej sekcji omówiono sposób używania programu Windows Admin Center do ochrony danych i obciążeń w systemie operacyjnym:

  • BitLocker dla Przestrzeni dyskowych chroni dane w stanie spoczynku. Funkcja BitLocker umożliwia szyfrowanie zawartości Miejsca do magazynowania woluminów danych w systemie operacyjnym. Używanie funkcji BitLocker do ochrony danych może pomóc organizacjom zachować zgodność z normami rządowymi, regionalnymi i branżowymi, takimi jak FIPS 140-2 i HIPAA.

    Aby dowiedzieć się więcej na temat korzystania z funkcji BitLocker w centrum administracyjnym systemu Windows, zobacz Włączanie szyfrowania woluminów, deduplikacji i kompresji

  • Szyfrowanie SMB dla sieci systemu Windows chroni dane podczas przesyłania. Blok komunikatów serwera (SMB) to sieciowy protokół udostępniania plików, który umożliwia aplikacjom na komputerze odczytywanie i zapisywanie w plikach oraz żądania usług z programów serwera w sieci komputerowej.

    Aby włączyć szyfrowanie SMB, zobacz Ulepszenia zabezpieczeń protokołu SMB.

  • Program antywirusowy Windows Defender chroni system operacyjny na klientach i serwerach przed wirusami, złośliwym oprogramowaniem, programami szpiegującymi i innymi zagrożeniami. Aby dowiedzieć się więcej, zobacz Program antywirusowy Microsoft Defender w systemie Windows Server.

Ochrona tożsamości

W tej sekcji omówiono sposób używania programu Windows Admin Center do ochrony tożsamości uprzywilejowanych:

  • Kontrola dostępu może zwiększyć bezpieczeństwo środowiska zarządzania. Jeśli używasz serwera Windows Admin Center (w porównaniu do uruchamiania na komputerze z systemem Windows 10), możesz kontrolować dwa poziomy dostępu do Windows Admin Center: użytkowników bramy i administratorów bramy. Opcje dostawcy tożsamości administratora bramy obejmują:

    • Usługi Active Directory lub lokalne grupy komputerowe do wymuszania uwierzytelniania za pomocą karty inteligentnej.
    • Microsoft Entra ID w celu wymuszania dostępu warunkowego i uwierzytelniania wieloskładnikowego.

    Aby dowiedzieć się więcej, zobacz Opcje dostępu użytkowników w Centrum administracyjnym systemu Windows i Konfigurowanie kontroli dostępu użytkowników i uprawnień.

  • Ruch przeglądarki do Centrum administracyjnego systemu Windows używa protokołu HTTPS. Komunikacja z Centrum administracyjnego Windows do zarządzanych serwerów odbywa się przy użyciu standardowego programu PowerShell i instrumentacji zarządzania Windows (WMI) za pośrednictwem zdalnego zarządzania systemu Windows (WinRM). Usługa Windows Admin Center obsługuje rozwiązanie hasła lokalnego administratora (LAPS), ograniczone delegowanie oparte na zasobach, kontrolę dostępu do bramy przy użyciu usługi Active Directory (AD) lub Microsoft Entra ID, a także kontrolę dostępu opartą na rolach (RBAC) do zarządzania bramą Windows Admin Center.

    Program Windows Admin Center obsługuje przeglądarkę Microsoft Edge (Windows 10, 1709 lub nowszą), Google Chrome i Microsoft Edge Insider w systemie Windows 10. Centrum administracyjne systemu Windows można zainstalować na komputerze z systemem Windows 10 lub Windows Server.

    Jeśli zainstalujesz program Windows Admin Center na serwerze, działa jako brama bez interfejsu użytkownika na serwerze hosta. W tym scenariuszu administratorzy mogą zalogować się na serwerze za pośrednictwem sesji HTTPS zabezpieczonej certyfikatem zabezpieczeń z podpisem własnym na hoście. Lepiej jednak użyć odpowiedniego certyfikatu SSL z zaufanego urzędu certyfikacji w procesie logowania, ponieważ obsługiwane przeglądarki traktują połączenie z podpisem własnym jako niezabezpieczone, nawet jeśli połączenie jest z lokalnym adresem IP za pośrednictwem zaufanej sieci VPN.

    Aby dowiedzieć się więcej na temat opcji instalacji w organizacji, zobacz Jakiego typu instalacja jest odpowiednia dla Ciebie?.

  • CredSSP jest dostawcą uwierzytelniania używanym przez Windows Admin Center w kilku przypadkach do przekazywania poświadczeń do maszyn, które są inne niż docelowy serwer przeznaczony do zarządzania. Windows Admin Center obecnie wymaga użycia protokołu CredSSP do:

    • Utwórz nowy klaster.
    • Uzyskaj dostęp do narzędzia Aktualizacje, aby użyć funkcji aktualizacji klastra trybu failover lub aktualizacji obsługujących klaster.
    • Zarządzanie rozagregowanym magazynem SMB na maszynach wirtualnych.

    Aby dowiedzieć się więcej, zobacz Czy usługa Windows Admin Center używa protokołu CredSSP?

  • Narzędzia zabezpieczeń w centrum administracyjnym systemu Windows, których można używać do zarządzania tożsamościami i ich ochrony, obejmują usługę Active Directory, certyfikaty, zaporę, użytkowników lokalnych i grupy itd.

    Aby dowiedzieć się więcej, zobacz Zarządzanie serwerami w centrum administracyjnym systemu Windows.

Część 2. Używanie Microsoft Defender dla Chmury (MDC)

Microsoft Defender dla Chmury to ujednolicony system zarządzania zabezpieczeniami infrastruktury, który zwiększa poziom zabezpieczeń centrów danych i zapewnia zaawansowaną ochronę przed zagrożeniami w ramach obciążeń hybrydowych w chmurze i lokalnie. Defender dla Chmury udostępnia narzędzia do oceny stanu zabezpieczeń sieci, ochrony obciążeń, podniesienia alertów zabezpieczeń i przestrzegania określonych zaleceń w celu skorygowania ataków i rozwiązania przyszłych zagrożeń. Usługa Defender for Cloud wykonuje wszystkie te usługi z dużą szybkością w chmurze bez obciążeń związanych z wdrażaniem dzięki automatycznej aprowizacji i ochronie usług platformy Azure.

Defender dla Chmury chroni maszyny wirtualne zarówno dla serwerów z systemem Windows, jak i serwerów z systemem Linux, instalując agenta usługi Log Analytics na tych zasobach. Platforma Azure koreluje zdarzenia zbierane przez agentów do zaleceń (zadań wzmacniania zabezpieczeń), które są wykonywane w celu zapewnienia bezpieczeństwa obciążeń. Zadania wzmacniania zabezpieczeń oparte na najlepszych rozwiązaniach w zakresie zabezpieczeń obejmują zarządzanie zasadami zabezpieczeń i wymuszanie ich. Następnie możesz śledzić wyniki i zarządzać zgodnością oraz ładem w czasie za pomocą monitorowania usługi Defender dla Chmury, jednocześnie zmniejszając powierzchnię ataków we wszystkich zasobach.

Określanie, kto może uzyskiwać dostęp do zasobów platformy Azure i subskrypcji, to ważna część strategii zarządzania platformą Azure. Podstawową metodą zarządzania dostępem w Azure jest kontrola dostępu oparta na rolach (RBAC). Aby dowiedzieć się więcej, zobacz Zarządzanie dostępem do środowiska platformy Azure przy użyciu kontroli dostępu opartej na rolach.

Praca z Defender dla Chmury za pośrednictwem usługi Windows Admin Center wymaga subskrypcji platformy Azure. Aby rozpocząć, zobacz Ochrona zasobów centrum administracyjnego systemu Windows przy użyciu Microsoft Defender dla Chmury. Aby rozpocząć, zobacz Planowanie wdrożenia usługi Defender for Server. Aby uzyskać informacje na temat licencjonowania usługi Defender for Servers (plany serwera), zobacz Wybieranie planu usługi Defender for Servers.

Po zarejestrowaniu uzyskaj dostęp do usługi MDC w Centrum administracyjnym systemu Windows: na stronie Wszystkie połączenia wybierz serwer lub maszynę wirtualną, w obszarze Narzędzia wybierz pozycję Microsoft Defender dla Chmury, a następnie wybierz pozycję Zaloguj się do platformy Azure.

Aby uzyskać więcej informacji, zobacz Co to jest Microsoft Defender dla Chmury?.

Część 3. Dodawanie zaawansowanych zabezpieczeń

W poniższych sekcjach zalecamy zaawansowane narzędzia i technologie zabezpieczeń w celu dalszego wzmacniania zabezpieczeń serwerów z systemem operacyjnym Azure Stack HCI w danym środowisku.

Wzmacnianie zabezpieczeń środowiska

  • Punkty odniesienia zabezpieczeń firmy Microsoft są oparte na zaleceniach dotyczących zabezpieczeń firmy Microsoft uzyskanych we współpracy z organizacjami komercyjnymi i rządami USA, takimi jak Departament Obrony. Punkty odniesienia zabezpieczeń obejmują zalecane ustawienia zabezpieczeń zapory systemu Windows, usługi Windows Defender i wielu innych.

    Punkty odniesienia zabezpieczeń są udostępniane jako kopie zapasowe obiektu zasad grupy (GPO), które można zaimportować do usług domenowych Active Directory (AD DS), a następnie wdrożyć na serwerach dołączonych do domeny, aby zabezpieczyć środowisko. Za pomocą narzędzi skryptu lokalnego można również skonfigurować serwery autonomiczne (nieprzyłączonych do domeny) z punktami odniesienia zabezpieczeń. Aby rozpocząć korzystanie z punktów odniesienia zabezpieczeń, pobierz zestaw narzędzi Microsoft Security Compliance Toolkit 1.0.

    Aby dowiedzieć się więcej, zobacz Punkty odniesienia zabezpieczeń firmy Microsoft.

Ochrona danych

  • Wzmocnienie zabezpieczeń środowiska funkcji Hyper-V wymaga wzmacniania zabezpieczeń systemu Windows Server uruchomionego na maszynie wirtualnej tak samo, jak w przypadku wzmacniania zabezpieczeń systemu operacyjnego uruchomionego na serwerze fizycznym. Ponieważ środowiska wirtualne zwykle mają wiele maszyn wirtualnych współużytkującymi ten sam host fizyczny, konieczne jest zabezpieczenie zarówno hosta fizycznego, jak i maszyn wirtualnych uruchomionych na nim. Osoba atakująca, która naruszy bezpieczeństwo hosta, może wpłynąć na wiele maszyn wirtualnych, co ma większy wpływ na zadania i usługi. W tej sekcji omówiono następujące metody, których można użyć do wzmacniania zabezpieczeń systemu Windows Server w środowisku funkcji Hyper-V:

    • Wirtualny moduł Trusted Platform Module (vTPM) w systemie Windows Server obsługuje moduł TPM dla maszyn wirtualnych, który umożliwia korzystanie z zaawansowanych technologii zabezpieczeń, takich jak funkcja BitLocker na maszynach wirtualnych. Obsługę TPM można włączyć na dowolnej maszynie wirtualnej Hyper-V generacji 2 przy użyciu Menedżera Hyper-V lub Enable-VMTPM polecenia cmdlet programu Windows PowerShell.

      Uwaga

      Włączenie vTPM będzie miało wpływ na migrację maszyny wirtualnej: wymagane są działania ręczne, aby umożliwić uruchomienie maszyny wirtualnej na innym hoście niż ten, na którym pierwotnie włączono vTPM.

      Aby dowiedzieć się więcej, zobacz Enable-VMTPM (Włączanie protokołu VMTPM).

    • Programowa sieć zdefiniowana przez oprogramowanie (SDN) w usłudze Azure Stack HCI i systemie Windows Server centralnie konfiguruje urządzenia sieciowe i zarządza nimi, takimi jak programowy moduł równoważenia obciążenia, zapora centrum danych, bramy i przełączniki wirtualne w infrastrukturze. Elementy sieci wirtualnej, takie jak Hyper-V Virtual Switch, Hyper-V Network Virtualization oraz brama RAS, są zaprojektowane jako integralne elementy infrastruktury SDN.

      Aby dowiedzieć się więcej, zobacz Software Defined Networking (SDN).

      Uwaga

      Chronione maszyny wirtualne chronione przez usługę Ochrona hosta nie są obsługiwane w usłudze Azure Stack HCI.

Ochrona tożsamości

  • Rozwiązanie do haseł administratora lokalnego (LAPS) to lekki mechanizm dla systemów przyłączonych do domeny usługi Active Directory, który okresowo ustawia hasło konta administratora lokalnego każdego komputera na nową losową i unikatową wartość. Hasła są przechowywane w zabezpieczonym poufnym atrybucie na odpowiednim obiekcie komputera w usłudze Active Directory, gdzie tylko specjalnie autoryzowani użytkownicy mogą je pobrać. Usługa LAPS używa kont lokalnych do zdalnego zarządzania komputerem w sposób, który oferuje pewne korzyści w porównaniu z używaniem kont domeny. Aby dowiedzieć się więcej, zobacz Zdalne używanie kont lokalnych: LAPS zmienia wszystko.

    Aby rozpocząć korzystanie z rozwiązania LAPS, pobierz rozwiązanie do stosowania hasła administratora lokalnego (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) to lokalny produkt, którego można użyć do wykrywania osób atakujących próbujących naruszyć zabezpieczenia tożsamości uprzywilejowanych. Usługa ATA analizuje ruch sieciowy na potrzeby uwierzytelniania, autoryzacji i zbierania informacji protokołów, takich jak Kerberos i DNS. Usługa ATA używa danych do tworzenia profilów behawioralnych użytkowników i innych jednostek w sieci w celu wykrywania anomalii i znanych wzorców ataków.

    Aby dowiedzieć się więcej, zobacz Co to jest usługa Advanced Threat Analytics?

  • Funkcja Windows Defender Remote Credential Guard chroni poświadczenia za pośrednictwem połączenia pulpitu zdalnego, przekierowując żądania Kerberos z powrotem do urządzenia, które żąda połączenia. Zapewnia również logowanie jednokrotne (SSO) dla sesji pulpitu zdalnego. Podczas sesji pulpitu zdalnego, jeśli urządzenie docelowe zostanie naruszone, poświadczenia nie zostaną ujawnione, ponieważ zarówno poświadczenia, jak i pochodne poświadczeń nigdy nie są przekazywane przez sieć do urządzenia docelowego.

    Aby dowiedzieć się więcej, zobacz Zarządzanie usługą Windows Defender Credential Guard.

  • Usługa Microsoft Defender for Identities pomaga chronić tożsamości uprzywilejowane , monitorując zachowania i działania użytkowników, zmniejszając obszar ataków, chroniąc usługę Active Directory Federal Service (AD FS) w środowisku hybrydowym oraz identyfikując podejrzane działania i zaawansowany atak w łańcuchu ataków cybernetycznych.

    Aby dowiedzieć się więcej, zobacz Co to jest usługa Microsoft Defender for Identity?.

Następne kroki

Aby uzyskać więcej informacji na temat zabezpieczeń i zgodności z przepisami, zobacz: