Вопросы безопасности Azure Stack HCI

Область применения: Azure Stack HCI, версии 22H2 и 21H2; Windows Server 2022, Windows Server 2019

В этой статье приведены рекомендации по безопасности и рекомендации, связанные с операционной системой Azure Stack HCI:

• Часть 1 охватывает основные средства и технологии безопасности для защиты операционной системы и защиты данных и удостоверений для эффективного создания безопасной основы для вашей организации.
• Часть 2 охватывает ресурсы, доступные через Microsoft Defender для облака. Ознакомьтесь с введением в Microsoft Defender для облака.
• Часть 3 охватывает более сложные вопросы безопасности для дальнейшего укрепления безопасности вашей организации в этих областях.

Почему важно учитывать вопросы безопасности?

Безопасность влияет на всех сотрудников вашей организации, от руководства высшего звена до сотрудников, работающих с информацией. Неадекватная безопасность является реальным риском для организаций, так как нарушение безопасности может потенциально нарушить весь обычный бизнес и привести вашей организации к остановке. Чем раньше можно обнаружить потенциальную атаку, тем быстрее вы можете устранить любые компромиссы в безопасности.

После изучения слабых точек среды, чтобы использовать их, злоумышленник обычно может в течение 24 до 48 часов после первоначального компрометации повысить привилегии для контроля над системами в сети. Хорошие меры безопасности укрепляют системы в среде, увеличивая время, необходимое, чтобы злоумышленник потенциально смог взять под контроль, с часов до недель или даже месяцев путем блокировки передвижений злоумышленника. Реализация рекомендаций по безопасности в этой статье позволяет организации обнаруживать и реагировать на такие атаки как можно быстрее.

Часть 1. Создание безопасного фундамента

В следующих разделах рекомендуется использовать средства и технологии безопасности для создания безопасной основы для серверов под управлением операционной системы Azure Stack HCI в вашей среде.

Ужесточение среды

В этом разделе описывается, как защитить службы и виртуальные машины, работающие в операционной системе:

• Сертифицированное оборудование Azure Stack HCI обеспечивает согласованные параметры безопасной загрузки, UEFI и доверенного платформенного модуля. Объединение безопасности на основе виртуализации и сертифицированного оборудования помогает защитить рабочие нагрузки, чувствительные к безопасности. Вы также можете подключить эту надежную инфраструктуру к Microsoft Defender для облака, чтобы активировать аналитику поведения и отчеты для учета быстро изменяющихся рабочих нагрузок и угроз.

  • Безопасная загрузка — это стандарт безопасности, разработанный в отрасли пк, чтобы обеспечить загрузку устройства с использованием только программного обеспечения, доверенного изготовителем оборудования (OEM). Дополнительные сведения см. в статье "Безопасная загрузка".
  • Объединенный расширяемый интерфейс встроенного ПО (UEFI) управляет процессом загрузки сервера, а затем передает управление в Windows или другую операционную систему. Дополнительные сведения см. в статье о требованиях встроенного ПО UEFI.
  • Технология доверенного платформенного модуля (TPM) предоставляет аппаратные функции, связанные с безопасностью. Микросхема доверенного платформенного модуля (TPM) — это безопасный криптопроцессор, который создает, хранит и ограничивает использование криптографических ключей. Дополнительные сведения см. в статье "Общие сведения о технологии доверенного платформенного модуля".

  Дополнительные сведения о сертифицированных поставщиках оборудования Azure Stack HCI см. на веб-сайте решений Azure Stack HCI.

• Средство безопасности доступно в Windows Admin Center как для одного сервера, так и для кластеров Azure Stack HCI, чтобы упростить управление безопасностью и управление ими. Средство централизованно определяет некоторые ключевые параметры безопасности для серверов и кластеров, включая возможность просмотра состояния защищенных ядер систем.

  Дополнительные сведения см. в разделе Secured-core server.

• Device Guard и Credential Guard. Device Guard защищает от вредоносных программ без известной подписи, неподписанных кодов и вредоносных программ, которые получают доступ к ядру для захвата конфиденциальной информации или повреждения системы. Защитник Windows с функцией Credential Guard использует безопасность на основе виртуализации для изоляции секретов, так что доступ к ним может получить только привилегированное системное программное обеспечение.

  Дополнительные сведения см. в статье "Управление Учетными данными Защитника Windows" и скачивание средства подготовки оборудования Device Guard и Credential Guard.

• Обновления windows и встроенного ПО важны для кластеров, серверов (включая гостевые виртуальные машины), а также компьютеры для обеспечения защиты операционной системы и системного оборудования от злоумышленников. Средство обновления Windows Admin Center можно использовать для применения обновлений к отдельным системам. Если поставщик оборудования включает поддержку Windows Admin Center для получения обновлений драйверов, встроенного ПО и решений, эти обновления можно получить одновременно с обновлениями Windows; в противном случае получите их непосредственно от поставщика.

  Дополнительные сведения см. в разделе "Обновление кластера".

  Чтобы управлять обновлениями на нескольких кластерах и серверах одновременно, рассмотрите возможность подписки на необязательную службу управления обновлениями Azure, которая интегрирована с Windows Admin Center. Дополнительные сведения см. в статье "Управление обновлениями Azure" с помощью Windows Admin Center.

Защита данных

В этом разделе описывается, как использовать Windows Admin Center для защиты данных и рабочих нагрузок в операционной системе:

• BitLocker для дисковых пространств защищает данные в состоянии покоя. BitLocker можно использовать для шифрования содержимого томов данных в дисковых пространствах операционной системы. Использование BitLocker для защиты данных может помочь организациям оставаться в соответствии с государственными, региональными и отраслевыми стандартами, такими как FIPS 140-2 и HIPAA.

  Дополнительные сведения об использовании BitLocker в Windows Admin Center см. в статье "Включение шифрования томов", дедупликации и сжатия

• Шифрование SMB для сети Windows защищает передаваемые данные. Блок сообщений сервера (SMB) — это сетевой протокол общего доступа к файлам, позволяющий приложениям на компьютере читать и записывать файлы и запрашивать службы от серверных программ в сети компьютеров.

  Сведения о включении шифрования SMB см. в статье об улучшениях безопасности SMB.

• Антивирусная программа Защитника Windows защищает операционную систему на клиентах и серверах от вирусов, вредоносных программ, шпионских программ и других угроз. Дополнительные сведения см. в статье Антивирус Microsoft Defender на Windows Server.

Защита идентичности

В этом разделе описывается, как использовать Windows Admin Center для защиты привилегированных удостоверений:

• Управление доступом может повысить безопасность ландшафта управления. Если вы используете сервер Windows Admin Center (и работаете на компьютере с Windows 10), вы можете управлять двумя уровнями доступа к Центру администрирования Windows: пользователям шлюза и администраторам шлюза. Варианты поставщика удостоверений для администратора шлюза включают:

  • Active Directory или локальные группы компьютеров для принудительной проверки подлинности смарт-карт.
  • Идентификатор Microsoft Entra для принудительного условного доступа и многофакторной проверки подлинности.

  Дополнительные сведения см. в разделе "Параметры доступа пользователей" с помощью Центра администрирования Windows и настройки пользовательских контроль доступа и разрешений.

• Трафик браузера в Windows Admin Center использует ПРОТОКОЛ HTTPS. Трафик от Windows Admin Center к управляемым серверам использует стандартные PowerShell и инструментарий управления Windows (WMI) через удаленное управление Windows (WinRM). Windows Admin Center поддерживает решение локального администратора паролей (LAPS), ограниченное делегирование на основе ресурсов, управление доступом к шлюзу с помощью Active Directory (AD) или Идентификатора Microsoft Entra, а также управление доступом на основе ролей (RBAC) для управления шлюзом Windows Admin Center.

  Windows Admin Center поддерживает Microsoft Edge (Windows 10 версии 1709 или более поздней версии), Google Chrome и Microsoft Edge Insider в Windows 10. Windows Admin Center можно установить на компьютере с Windows 10 или на сервере Windows.

  Если установить Windows Admin Center на сервере, он выполняется как шлюз без пользовательского интерфейса на хост-сервере. В этом сценарии администраторы могут войти на сервер через сеанс HTTPS, защищенный самозаверенным сертификатом безопасности на сервере. Однако лучше использовать соответствующий SSL-сертификат из доверенного центра сертификации для процесса входа, так как поддерживаемые браузеры рассматривают самозаверяющий подключение как небезопасное, даже если подключение относится к локальному IP-адресу через доверенный VPN.

  Дополнительные сведения о вариантах установки для вашей организации см. в статье о том, какой тип установки подходит для вас?.

• CredSSP — это поставщик проверки подлинности, который Windows Admin Center использует в некоторых случаях для передачи учетных данных на машины, не являющиеся целевым сервером для управления. Для Windows Admin Center в настоящее время требуется CredSSP:

  • Создайте кластер.
  • Для использования функций отказоустойчивой кластеризации или обновления с учетом кластеров перейдите к средству Обновления.
  • Управление разугрегированным хранилищем SMB на виртуальных машинах.

  Дополнительные сведения см. в статье о том, использует ли Центр администрирования Windows CredSSP?

• Средства безопасности в Windows Admin Center, которые можно использовать для управления удостоверениями и защиты, включая Active Directory, сертификаты, брандмауэр, локальные пользователи и группы и многое другое.

  Дополнительные сведения см. в статье "Управление серверами с помощью Центра администрирования Windows".

Часть 2. Использование Microsoft Defender для облака (MDC)

Microsoft Defender для облака — это единая система управления безопасностью инфраструктуры, которая повышает уровень безопасности центров обработки данных и обеспечивает расширенную защиту от угроз в гибридных рабочих нагрузках в облаке и локальной среде. Defender для облака предоставляет средства для оценки состояния безопасности сети, защиты рабочих нагрузок, повышения оповещений системы безопасности и выполнения конкретных рекомендаций по устранению атак и устранению будущих угроз. Defender для облака выполняет все эти службы с высокой скоростью в облаке без затрат на развертывание с помощью автоматической подготовки и защиты с помощью служб Azure.

Defender для облака защищает виртуальные машины как для серверов Windows, так и для серверов Linux, установив агент Log Analytics на этих ресурсах. Azure сопоставляет события, которые собирают агенты, с рекомендациями (задачами по усилению защиты), которые вы выполняете, чтобы обеспечить безопасность ваших рабочих нагрузок. Задачи по укреплению безопасности, основанные на лучших практиках безопасности, включают управление и применение политик безопасности. Затем можно отслеживать результаты и управлять соответствием и обеспечением управления с течением времени с помощью системы мониторинга Defender for Cloud, уменьшая поверхность атаки для всех ваших ресурсов.

Управление доступом к ресурсам и подпискам Azure является важной частью стратегии управления Azure. Azure RBAC — это основной метод управления доступом в Azure. Дополнительные сведения см. в статье "Управление доступом к среде Azure с помощью управления доступом на основе ролей".

Для работы с Defender для облака через Windows Admin Center требуется подписка Azure. Сведения о начале работы см. в статье "Защита ресурсов Windows Admin Center с помощью Microsoft Defender для облака". Чтобы начать, см. раздел Планирование развертывания Defender для серверов. Лицензирование Defender для серверов (планов серверов) см. в разделе «Выбор плана Defender для серверов».

После регистрации получите доступ к MDC в Windows Admin Center: на странице "Все подключения" выберите сервер или виртуальную машину в разделе "Сервис", выберите Microsoft Defender для облака, а затем нажмите кнопку "Войти в Azure".

Дополнительные сведения см. в разделе "Что такое Microsoft Defender для облака?".

Часть 3. Добавление расширенной безопасности

В следующих разделах рекомендуется использовать расширенные средства и технологии безопасности для дальнейшего обеспечения защиты серверов под управлением операционной системы Azure Stack HCI в вашей среде.

Ужесточение среды

• Базовые показатели безопасности Майкрософт основаны на рекомендациях по безопасности корпорации Майкрософт, полученных через партнерство с коммерческими организациями и правительством США, такими как Министерство обороны. Базовые показатели безопасности включают рекомендуемые параметры безопасности для брандмауэра Windows, Защитника Windows и многих других.

  Базовые показатели безопасности предоставляются в виде резервных копий объектов групповой политики, которые можно импортировать в службы домен Active Directory (AD DS), а затем развертывать на присоединенных к домену серверах для защиты среды. Вы также можете использовать средства локального скрипта для настройки автономных (не присоединенных к домену) серверов с базовыми показателями безопасности. Чтобы приступить к использованию базовых показателей безопасности, скачайте Microsoft Security Compliance Toolkit 1.0.

  Дополнительные сведения см. в разделе "Базовые показатели безопасности Майкрософт".

Защита данных

• Для защиты среды Hyper-V требуется ужесточение Windows Server, работающего на виртуальной машине, так же как и для защиты операционной системы, работающей на физическом сервере. Так как виртуальные среды обычно имеют несколько виртуальных машин, имеющих общий доступ к одному физическому узлу, необходимо защитить физический узел и виртуальные машины, работающие на нем. Злоумышленник, который компрометирует хост, может повлиять на несколько виртуальных машин, значительно воздействуя на рабочие нагрузки и службы. В этом разделе рассматриваются следующие методы, которые можно использовать для защиты Windows Server в среде Hyper-V:

  • Модуль виртуальной доверенной платформы (vTPM) в Windows Server поддерживает TPM для виртуальных машин, что позволяет использовать расширенные технологии безопасности, такие как BitLocker на виртуальных машинах. Вы можете включить поддержку TPM на любой виртуальной машине Hyper-V поколения 2 с помощью диспетчера Hyper-V или командлета Enable-VMTPM Windows PowerShell.

    Примечание.

    Включение vTPM повлияет на мобильность виртуальных машин: действия вручную необходимы, чтобы виртуальная машина начала работу на другом узле, отличном от того, что вы включили vTPM первоначально.

    Дополнительные сведения см. в статье Enable-VMTPM.

  • Программное обеспечение определяемой сети (SDN) в Azure Stack HCI и Windows Server централизованно настраивает и управляет устройствами виртуальной сети, такими как подсистема балансировки нагрузки программного обеспечения, брандмауэр центра обработки данных, шлюзы и виртуальные коммутаторы в инфраструктуре. Элементы виртуальной сети, такие как виртуальный коммутатор Hyper-V, виртуализация сети Hyper-V и шлюз RAS, предназначены для целых элементов инфраструктуры SDN.

    Дополнительные сведения см. в статье о программно-определяемых сетях (SDN).

    Примечание.

    Экранированные виртуальные машины, защищенные службой защиты узлов, не поддерживаются в Azure Stack HCI.

Защита личностей

• Решение локального администратора паролей (LAPS) — это упрощенный механизм для систем, присоединенных к домену Active Directory, которые периодически устанавливают пароль учетной записи локального администратора каждого компьютера на новое случайное и уникальное значение. Пароли хранятся в защищенном конфиденциальном атрибуте соответствующего объекта компьютера в Active Directory, где их могут получить только авторизованные пользователи. LAPS использует локальные учетные записи для управления удаленными компьютерами таким образом, что обеспечивает некоторые преимущества использования учетных записей домена. Дополнительные сведения см. в статье "Удаленное использование локальных учетных записей: LAPS изменяет все".

  Чтобы приступить к работе с LAPS, скачайте решение для локального администратора паролей (LAPS).

• Microsoft Advanced Threat Analytics (ATA) — это локальный продукт, который можно использовать для помощи в обнаружении злоумышленников, пытающихся компрометировать привилегированные идентичности. ATA анализирует сетевой трафик для проверки подлинности, авторизации и сбора информации, например, Kerberos и DNS. ATA использует данные для создания профилей поведения пользователей и других сущностей в сети для обнаружения аномалий и известных шаблонов атак.

  Дополнительные сведения см. в статье "Что такое Расширенная аналитика угроз"?

• Remote Credential Guard в Защитнике Windows защищает учетные данные через подключение к удаленному рабочему столу, перенаправляя запросы Kerberos обратно на устройство, запрашивающее подключение. Он также предоставляет единый вход для сеансов удаленного рабочего стола. Во время сеанса удаленного рабочего стола, если целевое устройство скомпрометировано, учетные данные не предоставляются, так как учетные данные и производные учетных данных никогда не передаются по сети целевому устройству.

  Дополнительные сведения см. в разделе "Управление учетными данными Защитника Windows".

• Microsoft Defender для удостоверений помогает защитить привилегированные удостоверения путем мониторинга поведения пользователей и действий, уменьшения области атаки, защиты федеральной службы Active Directory (AD FS) в гибридной среде, а также выявления подозрительных действий и расширенной атаки в цепочке убийств кибер-атак.

  Дополнительные сведения см. в статье "Что такое Microsoft Defender для удостоверений?".

Следующие шаги

Дополнительные сведения о соответствии требованиям безопасности и нормативным требованиям см. в следующем разделе:

• безопасность и уверенность.