共用方式為

Azure Stack HCI 安全性考慮

  • 發行項

適用於:Azure Stack HCI 版本 22H2 和 21H2;Windows Server 2022、Windows Server 2019

重要

Azure Stack HCI 現在是 Azure Local 的一部分。 不過,舊版的 Azure Stack HCI,例如 22H2 會繼續參考 Azure Stack HCI,而且不會反映名稱變更。 深入了解

本文提供與 Azure Stack HCI作系統相關的安全性考慮和建議:

  • 第 1 部分涵蓋強化作業系統的基本安全性工具和技術,並保護數據和身分識別,以有效率地為您的組織建立安全的基礎。
  • 第2部分涵蓋可透過 適用於雲端的 Microsoft Defender取得的資源。 請參閱 適用於雲端的 Microsoft Defender 簡介
  • 第 3 部分涵蓋更進階的安全性考慮,以進一步加強貴組織在這些領域的安全性狀態。

為什麼安全性考慮很重要?

安全性會影響組織中的每個人,從上層管理到資訊工作者。 安全性不足是組織真正的風險,因為安全性缺口可能會中斷所有正常業務,並讓您的組織停止。 偵測到潛在攻擊的速度越快,就能越快降低安全性中的任何危害。

在研究環境的弱點以利用這些弱點之後,攻擊者通常可以在初始入侵的 24 到 48 小時內提升許可權,以控制網路上的系統。 良好的安全性措施會強化環境中的系統,藉由封鎖攻擊者的移動,將攻擊者可能需要的時間從數小時到數周甚至數月控制。 在本文中實作安全性建議,可讓貴組織儘快偵測及回應這類攻擊。

第 1 部分:建置安全的基礎

下列各節建議安全性工具和技術,為您的環境中執行 Azure Stack HCI 操作系統的伺服器建置安全的基礎。

強化環境

本節討論如何保護操作系統上執行的服務和虛擬機:.

  • Azure Stack HCI 認證的硬體 提供一致的安全開機、UEFI 和 TPM 設定。 結合虛擬化型安全性與認證硬體,有助於保護安全性敏感性工作負載。 您也可以將此受信任的基礎結構連線到 適用於雲端的 Microsoft Defender,以啟用行為分析和報告,以考慮快速變更的工作負載和威脅。

    • 安全開機 是計算機產業所開發的安全性標準,可協助確保裝置僅使用原始設備製造商 (OEM) 信任的軟體開機。 若要深入瞭解,請參閱 安全開機
    • United Extensible Firmware Interface (UEFI) 會控制伺服器的開機程式,然後將控制權傳遞給 Windows 或其他作業系統。 若要深入瞭解,請參閱 UEFI 韌體需求
    • 信賴平臺模組 (TPM) 技術提供硬體型、安全性相關功能。 TPM 晶片是一種安全的加密處理器,可產生、儲存及限制使用密碼編譯密鑰。 若要深入瞭解,請參閱 信賴平臺模組技術概觀

    若要深入瞭解 Azure Stack HCI 認證的硬體提供者,請參閱 Azure Stack HCI 解決方案 網站。

  • 單一伺服器和 Azure Stack HCI 叢集都能在 Windows Admin Center 中原生使用安全性工具,讓安全性管理和控制更容易。 此工具會集中處理伺服器和叢集的一些重要安全性設定,包括能夠檢視系統的安全核心狀態。

    若要深入瞭解,請參閱 安全核心伺服器

  • Device Guard 和 Credential Guard。 Device Guard 可防範沒有已知簽章、未簽署程式代碼和惡意代碼的惡意代碼,這些惡意代碼可存取核心以擷取敏感性資訊或損毀系統。 Windows Defender Credential Guard 會使用虛擬化式安全性來隔離秘密,讓只有具特殊許可權的系統軟體可以存取它們。

    若要深入瞭解,請參閱 管理 Windows Defender Credential Guard 並下載 Device Guard 和 Credential Guard 硬體整備工具

  • Windows韌體 更新在叢集、伺服器(包括客體 VM)和計算機上都很重要,可協助確保操作系統和系統硬體都受到攻擊者的保護。 您可以使用 Windows Admin Center 更新 工具來將更新套用至個別系統。 如果您的硬體提供者包含取得驅動程式、韌體和解決方案更新的 Windows Admin Center 支援,您可以同時取得這些更新與 Windows 更新;否則,請直接從您的廠商取得它們。

    若要深入瞭解,請參閱 更新叢集

    若要一次管理多個叢集和伺服器上的更新,請考慮訂閱與 Windows Admin Center 整合的選擇性 Azure 更新管理服務。 如需詳細資訊,請參閱 使用 Windows Admin Center 的 Azure 更新管理。

保護資料

本節討論如何使用 Windows Admin Center 來保護操作系統上的數據和工作負載:

  • BitLocker for 儲存空間 保護靜態資料。 您可以使用 BitLocker 來加密作業系統上 儲存空間 資料磁碟區的內容。 使用 BitLocker 來保護數據,可協助組織遵守政府、地區和業界特定標準,例如 FIPS 140-2 和 HIPAA。

    若要深入瞭解在 Windows Admin Center 中使用 BitLocker,請參閱 啟用磁碟區加密、重複數據刪除和壓縮

  • 適用於 Windows 網路的 SMB 加密可保護傳輸中的數據。 伺服器訊息塊 (SMB) 是網路檔案共用通訊協定,可讓電腦上的應用程式讀取和寫入檔案,以及向電腦網路上的伺服器程式要求服務。

    若要啟用SMB加密,請參閱 SMB安全性增強功能

  • Windows Defender 防病毒軟體 可保護客戶端和伺服器上的操作系統免於病毒、惡意代碼、間諜軟體和其他威脅。 若要深入瞭解,請參閱 Windows Server 上的 Microsoft Defender 防毒軟體。

保護身分識別

本節討論如何使用 Windows Admin Center 來保護特殊許可權身分識別:

  • 訪問控制 可以改善管理環境的安全性。 如果您使用 Windows Admin Center 伺服器(而不是在 Windows 10 計算機上執行),您可以控制 Windows Admin Center 本身的兩個層級存取:閘道使用者和閘道系統管理員。 閘道系統管理員身分識別提供者選項包括:

    • 要強制執行智慧卡驗證的 Active Directory 或本機電腦群組。
    • Microsoft Entra 識別碼,以強制執行條件式存取和多重要素驗證。

    若要深入瞭解,請參閱 Windows Admin Center 的使用者存取選項和設定使用者 存取控制 和許可權

  • Windows Admin Center 的瀏覽器流量 會使用 HTTPS。 從 Windows Admin Center 到受管理伺服器的流量會透過 Windows 遠端管理 (WinRM) 使用標準 PowerShell 和 Windows Management Instrumentation (WMI)。 Windows Admin Center 支援本機系統管理員密碼解決方案 (LAPS)、資源型限制委派、使用 Active Directory (AD) 或 Microsoft Entra ID 的網關訪問控制,以及管理 Windows Admin Center 閘道的角色型存取控制 (RBAC)。

    Windows Admin Center 支援 Microsoft Edge (Windows 10 版本 1709 或更新版本)、Google Chrome,以及 Windows 10 上的 Microsoft Edge 測試人員。 您可以在 Windows 10 電腦或 Windows 伺服器上安裝 Windows Admin Center。

    如果您在伺服器上安裝 Windows Admin Center,它會以閘道的形式執行,主伺服器上沒有 UI。 在此案例中,系統管理員可以透過 HTTPS 會話登入伺服器,並由主機上自我簽署的安全性憑證保護。 不過,最好從受信任的證書頒發機構單位使用適當的 SSL 憑證進行登入程式,因為支援的瀏覽器會將自我簽署連線視為不安全,即使連線是透過受信任的 VPN 的本機 IP 位址。

    若要深入瞭解貴組織的安裝選項,請參閱 哪種類型的安裝適合您?

  • CredSSP 是一種驗證提供者,Windows Admin Center 在少數情況下會用來將認證傳遞至您要管理之特定伺服器以外的計算機。 Windows Admin Center 目前需要使用 CredSSP 進行作業。

    • 建立新叢集。
    • 使用更新工具來啟用故障轉移叢集或叢集感知更新功能。
    • 管理 VM 中的分類式 SMB 記憶體。

    若要深入瞭解,請參閱 Windows Admin Center 是否使用 CredSSP?

  • Windows Admin Center 中可用來管理及保護身分識別的安全性工具 包括 Active Directory、憑證、防火牆、本機使用者和群組等等。

    若要深入瞭解,請參閱 使用 Windows Admin Center 管理伺服器。

第 2 部分:使用 適用於雲端的 Microsoft Defender (MDC)

適用於雲端的 Microsoft Defender 是統一的基礎結構安全性管理系統,可強化數據中心的安全性狀態,並在雲端和內部部署的混合式工作負載之間提供進階威脅防護。 適用於雲端的 Defender 提供工具來評估網路的安全性狀態、保護工作負載、引發安全性警示,並遵循特定建議來補救攻擊並解決未來的威脅。 適用於雲端的Defender透過使用 Azure 服務自動布建和保護,以高速方式在雲端中執行所有這些服務,而不需要部署額外負荷。

適用於雲端的 Defender 藉由在這些資源上安裝 Log Analytics 代理程式來保護 Windows 伺服器和 Linux 伺服器的 VM。 Azure 會將代理程式收集的事件相互關聯到您執行的建議(強化工作),以確保工作負載的安全。 以安全性最佳做法為基礎的強化工作包括管理和強制執行安全策略。 然後,您可以透過 Microsoft Defender for Cloud 監控來持續追蹤結果,管理合規性和治理,同時減少所有資源的攻擊面。

管理誰可以存取您的 Azure 資源和訂用帳戶,是 Azure 治理策略的重要組成部分。 Azure RBAC 是管理 Azure 中存取的主要方法。 若要深入瞭解,請參閱 使用角色型訪問控制來管理 Azure 環境的存取權。

透過 Windows Admin Center 使用 適用於雲端的 Defender 需要 Azure 訂用帳戶。 若要開始使用,請參閱使用 適用於雲端的 Microsoft Defender 保護 Windows Admin Center 資源。 若要開始使用,請參閱 規劃適用於伺服器部署的Defender。 如需適用於伺服器的 Defender 授權(伺服器方案),請參閱 選取適用於伺服器的 Defender 方案

註冊之後,在 Windows Admin Center 中存取 MDC:在 [所有連線] 頁面上,選取伺服器或 VM,在 [工具] 底下選取 [適用於雲端的 Microsoft Defender],然後選取 [登入 Azure]。

如需詳細資訊,請參閱什麼是 適用於雲端的 Microsoft Defender?

第3部分:新增進階安全性

下列各節建議進階安全性工具和技術,以進一步強化在您的環境中執行 Azure Stack HCI 操作系統的伺服器。

強化環境

  • Microsoft安全性基準 是根據透過與商業組織和美國政府(例如國防部)合作取得之Microsoft的安全性建議為基礎。 安全性基準包含針對 Windows 防火牆、Windows Defender 及其他多項安全性功能的建議安全性設定。

    安全性基準會以組策略物件 (GPO) 備份的形式提供,您可以匯入至 Active Directory 網域服務 (AD DS),然後部署到已加入網域的伺服器以強化環境。 您也可以使用本機腳本工具來設定具有安全性基準的獨立(未加入網域)伺服器。 若要開始使用安全性基準,請下載 Microsoft Security Compliance Toolkit 1.0

    若要深入瞭解,請參閱 Microsoft安全性基準

保護資料

  • 強化 Hyper-V 環境 需要強化在 VM 上執行的 Windows Server,就像強化在實體伺服器上執行的操作系統一樣。 因為虛擬環境通常會有多個 VM 共用相同的實體主機,所以必須同時保護實體主機和其上執行的 VM。 入侵主機的攻擊者可能會影響多個 VM,對工作負載和服務產生更大的影響。 本節討論可用來強化 Hyper-V 環境中 Windows Server 的下列方法:

    • Windows Server 中的虛擬信任平台模組 (vTPM) 支援適用於 VM 的 TPM,這可讓您使用進階的安全性技術,例如 VM 中的 BitLocker。 您可以使用 Hyper-V 管理員或 Enable-VMTPM Windows PowerShell Cmdlet,在任何第 2 代 Hyper-V VM 上啟用 TPM 支援。

      注意

      啟用 vTPM 會影響 VM 行動性:需要手動動作,才能讓 VM 從原本啟用 vTPM 的不同主機上啟動。

      若要深入瞭解,請參閱 Enable-VMTPM

    • Azure Stack HCI 和 Windows Server 中的軟體定義網路 (SDN) 會集中設定和管理虛擬網路裝置,例如軟體負載平衡器、數據中心防火牆、網關和基礎結構中的虛擬交換器。 虛擬網路元素,例如 Hyper-V 虛擬交換器、Hyper-V 網路虛擬化和 RAS 閘道,是設計成 SDN 基礎結構的整數元素。

      若要深入瞭解,請參閱 軟體定義網路 (SDN)

      注意

      Azure Stack HCI 不支援受主機守護者服務保護的受防護 VM。

保護身分識別

  • 本機系統管理員密碼解決方案 (LAPS) 是 Active Directory 加入網域系統的輕量型機制,會定期將每部電腦的本機系統管理員帳戶密碼設定為新的隨機和唯一值。 密碼會儲存在 Active Directory 中對應電腦物件的安全機密屬性中,只有特別授權的使用者才能擷取密碼。 LAPS 會使用本機帳戶進行遠端電腦管理,以提供一些優於使用網域帳戶的優點。 若要深入瞭解,請參閱 遠端使用本機帳戶:LAPS 改變一切

    若要開始使用 LAPS,請下載 本機系統管理員密碼解決方案 (LAPS)

  • Microsoft Advanced Threat Analytics (ATA) 是內部部署產品,可用來協助偵測嘗試入侵特殊許可權身分識別的攻擊者。 ATA 會剖析網路流量以進行驗證、授權和資訊收集通訊協定,例如 Kerberos 和 DNS。 ATA 會使用數據來建置網路上使用者和其他實體的行為配置檔,以偵測異常和已知的攻擊模式。

    若要深入瞭解,請參閱 什麼是進階威脅分析?

  • Windows Defender 遠端認證防護 透過遠端桌面連線保護認證,方法是將 Kerberos 要求重新導向回要求連線的裝置。 它也提供遠端桌面會話的單一登錄(SSO)。 在遠端桌面會話期間,如果目標裝置遭到入侵,則不會公開您的認證,因為認證和認證衍生項目永遠不會透過網路傳遞至目標裝置。

    若要深入瞭解,請參閱 管理 Windows Defender Credential Guard

  • Microsoft Defender for Identity 透過監控使用者行為與活動、減少攻擊面、保護混合環境中的 Active Directory 同盟服務(AD FS),以及識別網路攻擊全流程中的可疑活動及進階攻擊,協助您保護高權限帳戶。

    若要深入瞭解,請參閱什麼是 適用於身分識別的 Microsoft Defender?

下一步

如需安全性和法規合規性的詳細資訊,請參閱: