Sdílet prostřednictvím

Aspekty zabezpečení Azure Stack HCI

  • Článek

Platí pro: Azure Stack HCI, verze 22H2 a 21H2; Windows Server 2022, Windows Server 2019

Důležité

Azure Stack HCI je teď součástí Azure Local. Probíhá přejmenování dokumentace k produktu. Starší verze Azure Stack HCI, například 22H2, ale budou dál odkazovat na Azure Stack HCI a nebudou odrážet změnu názvu. Další informace.

Toto téma obsahuje aspekty zabezpečení a doporučení související s operačním systémem Azure Stack HCI:

  • Část 1 obsahuje základní nástroje a technologie zabezpečení pro posílení operačního systému a ochranu dat a identit za účelem efektivního vytvoření zabezpečeného základu pro vaši organizaci.
  • Část 2 se zabývá prostředky dostupnými prostřednictvím programu Microsoft Defender for Cloud. Viz Úvod do programu Microsoft Defender pro cloud.
  • Část 3 se zabývá pokročilejšími aspekty zabezpečení, které v těchto oblastech dále posiluje stav zabezpečení vaší organizace.

Proč jsou důležité aspekty zabezpečení?

Zabezpečení ovlivňuje všechny uživatele ve vaší organizaci od správy vyšší úrovně až po informační pracovníka. Nedostatečné zabezpečení je skutečným rizikem pro organizace, protože narušení zabezpečení může potenciálně narušit veškerou normální firmu a zastavit vaši organizaci. Čím dříve můžete detekovat potenciální útok, tím rychleji můžete zmírnit případné ohrožení zabezpečení.

Po prozkoumání slabých bodů prostředí, které je zneužije, může útočník obvykle do 24 až 48 hodin od počátečního ohrožení eskalovat oprávnění k převzetí kontroly systémů v síti. Dobrá bezpečnostní opatření ztěžují systémy v prostředí, aby prodloužily dobu, po kterou útočník může potenciálně převzít kontrolu od hodin po týdny nebo dokonce měsíce tím, že blokuje pohyby útočníka. Implementace doporučení zabezpečení v tomto tématu umožňuje vaší organizaci co nejrychleji detekovat takové útoky a reagovat na ně.

Část 1: Vytvoření zabezpečeného základu

Následující části doporučují nástroje a technologie zabezpečení pro vytvoření zabezpečeného základu pro servery s operačním systémem Azure Stack HCI ve vašem prostředí.

Posílení prostředí

Tato část popisuje, jak chránit služby a virtuální počítače spuštěné v operačním systému:

  • Hardware certifikovaný pro Azure Stack HCI poskytuje konzistentní nastavení zabezpečeného spouštění, rozhraní UEFI a TPM. Kombinování zabezpečení založeného na virtualizaci a certifikovaného hardwaru pomáhá chránit úlohy citlivé na zabezpečení. Tuto důvěryhodnou infrastrukturu můžete také připojit k Programu Microsoft Defender for Cloud a aktivovat analýzu chování a vytváření sestav, abyste mohli rychle měnit úlohy a hrozby.

    • Zabezpečené spouštění je standard zabezpečení vyvinutý počítačovým průmyslem, který pomáhá zajistit, aby zařízení používalo pouze software, který je důvěryhodný výrobcem OEM (Original Equipment Manufacturer). Další informace najdete v tématu Zabezpečené spouštění.
    • United Extensible Firmware Interface (UEFI) řídí proces spouštění serveru a pak předává řízení systému Windows nebo jinému operačnímu systému. Další informace najdete v tématu Požadavky na firmware UEFI.
    • Technologie TPM (Trusted Platform Module) poskytuje hardwarové funkce související se zabezpečením. Čip TPM je zabezpečený kryptografický procesor, který generuje, ukládá a omezuje použití kryptografických klíčů. Další informace najdete v tématu Přehled technologie Trusted Platform Module.

    Další informace o poskytovateli hardwaru certifikovaných pro Azure Stack HCI najdete na webu řešení Azure Stack HCI.

  • Nástroj Zabezpečení je nativně dostupný v Centru pro správu Systému Windows pro clustery s jedním serverem i clustery Azure Stack HCI, které usnadňují správu zabezpečení a kontrolu. Nástroj centralizuje některá klíčová nastavení zabezpečení pro servery a clustery, včetně možnosti zobrazit stav zabezpečených základních systémů.

    Další informace najdete v tématu Zabezpečený základní server.

  • Device Guard a Credential Guard. Device Guard chrání před malwarem bez známého podpisu, nepodepsaného kódu a malwaru, který získá přístup k jádru za účelem zachycení citlivých informací nebo poškození systému. Ochrana Credential Guard v programu Windows Defender používá zabezpečení založené na virtualizaci k izolaci tajných kódů, aby k nim měl přístup pouze privilegovaný systémový software.

    Další informace najdete v tématu Správa ochrany Credential Guard v programu Windows Defender a stažení nástroje Device Guard a Credential Guard pro připravenost hardwaru.

  • Aktualizace Windows a firmwaru jsou nezbytné pro clustery, servery (včetně hostujících virtuálních počítačů) a počítače, které pomáhají zajistit ochranu operačního systému i hardwaru systému před útočníky. K instalaci aktualizací na jednotlivé systémy můžete použít nástroj Aktualizace centra Windows Admin Center. Pokud váš poskytovatel hardwaru zahrnuje podporu centra Windows Admin Center pro získání aktualizací ovladačů, firmwaru a řešení, můžete tyto aktualizace získat současně s aktualizacemi Systému Windows; jinak je získejte přímo od vašeho dodavatele.

    Další informace najdete v tématu Aktualizace clusteru.

    Pokud chcete spravovat aktualizace na více clusterech a serverech najednou, zvažte přihlášení k odběru volitelné služby Azure Update Management, která je integrovaná se službou Windows Admin Center. Další informace najdete v tématu Azure Update Management pomocí Centra pro správu Windows.

Ochrana dat

Tato část popisuje, jak pomocí centra Windows Admin Center chránit data a úlohy v operačním systému:

  • BitLocker pro Prostory úložiště chrání neaktivní uložená data. BitLocker můžete použít k šifrování obsahu Prostory úložiště datových svazků v operačním systému. Ochrana dat pomocí BitLockeru může organizacím pomoct zůstat v souladu se standardy pro státní správu, regionální a oborové standardy, jako jsou FIPS 140-2 a HIPAA.

    Další informace o používání Nástroje BitLocker v Centru pro správu Windows najdete v tématu Povolení šifrování svazků, odstranění duplicitních dat a komprese.

  • Šifrování PROTOKOLU SMB pro sítě s Windows chrání přenášená data. Server Message Block (SMB) je protokol pro sdílení síťových souborů, který umožňuje aplikacím v počítači číst a zapisovat do souborů a požadovat služby ze serverových programů v počítačové síti.

    Pokud chcete povolit šifrování SMB, přečtěte si článek Vylepšení zabezpečení protokolu SMB.

  • Antivirová ochrana v programu Windows Defender chrání operační systém na klientech a serverech před viry, malwarem, spywarem a dalšími hrozbami. Další informace najdete v tématu Antivirová ochrana v programu Microsoft Defender na Windows Serveru.

Ochrana identit

Tato část popisuje, jak používat Centrum pro správu Windows k ochraně privilegovaných identit:

  • Řízení přístupu může zlepšit zabezpečení správy na šířku. Pokud používáte server Windows Admin Center (vs. spuštěný na počítači s Windows 10), můžete řídit dvě úrovně přístupu k samotnému Centru pro správu Windows: uživatelé brány a správci brány. Mezi možnosti zprostředkovatele identity správce brány patří:

    • Skupiny active directory nebo místních počítačů pro vynucení ověřování čipové karty
    • Microsoft Entra ID pro vynucení podmíněného přístupu a vícefaktorového ověřování

    Další informace najdete v tématu Možnosti přístupu uživatelů pomocí Centra pro správu Windows a Konfigurace řízení přístupu a oprávnění uživatele.

  • Provoz v prohlížeči do Centra pro správu Windows používá protokol HTTPS. Provoz z Windows Admin Center na spravované servery používá standardní Prostředí PowerShell a WMI (Windows Management Instrumentation) přes vzdálenou správu systému Windows (WinRM). Windows Admin Center podporuje řešení pro hesla místního správce (LAPS), omezené delegování na základě prostředků, řízení přístupu k bráně pomocí služby Active Directory (AD) nebo Microsoft Entra ID a řízení přístupu na základě role (RBAC) pro správu brány Windows Admin Center.

    Centrum pro správu Windows podporuje Microsoft Edge (Windows 10 verze 1709 nebo novější), Google Chrome a Microsoft Edge Insider ve Windows 10. Centrum pro správu Windows můžete nainstalovat buď na počítač s Windows 10, nebo na Windows Server.

    Pokud nainstalujete Windows Admin Center na server, spustí se jako brána bez uživatelského rozhraní na hostitelském serveru. V tomto scénáři se správci můžou k serveru přihlásit prostřednictvím relace HTTPS zabezpečeného certifikátem zabezpečení podepsaným svým držitelem na hostiteli. Je ale lepší použít odpovídající certifikát SSL od důvěryhodné certifikační autority pro proces přihlašování, protože podporované prohlížeče považují připojení podepsané svým držitelem za nezabezpečené, i když je připojení k místní IP adrese přes důvěryhodnou síť VPN.

    Další informace o možnostech instalace pro vaši organizaci najdete v tématu Jaký typ instalace je pro vás nejvhodnější?

  • CredSSP je zprostředkovatel ověřování, který Windows Admin Center používá v několika případech k předání přihlašovacích údajů počítačům nad rámec konkrétního serveru, na který cílíte ke správě. Windows Admin Center v současné době vyžaduje credSSP pro:

    • Vytvořte nový cluster.
    • Přejděte k nástroji Updates a použijte buď clustering s podporou převzetí služeb při selhání, nebo funkce aktualizace s podporou clusteru.
    • Správa členěného úložiště SMB ve virtuálních počítačích

    Další informace najdete v tématu Používá Windows Admin Center CredSSP?

  • Mezi nástroje zabezpečení ve Windows Admin Center, které můžete použít ke správě a ochraně identit, patří Active Directory, Certifikáty, brána firewall, místní uživatelé a skupiny a další.

    Další informace najdete v tématu Správa serverů pomocí centra Windows Admin Center.

Část 2: Použití Programu Microsoft Defender for Cloud (MDC)

Microsoft Defender for Cloud je jednotný systém pro správu zabezpečení infrastruktury, který posiluje stav zabezpečení vašich datových center a poskytuje pokročilou ochranu před hrozbami napříč hybridními úlohami v cloudu i místně. Defender for Cloud poskytuje nástroje pro posouzení stavu zabezpečení sítě, ochranu úloh, vyvolání výstrah zabezpečení a sledování konkrétních doporučení k nápravě útoků a řešení budoucích hrozeb. Defender for Cloud provádí všechny tyto služby vysokorychlostním způsobem v cloudu bez režijních nákladů na nasazení prostřednictvím automatického zřizování a ochrany se službami Azure.

Defender for Cloud chrání virtuální počítače pro servery s Windows i servery s Linuxem instalací agenta Log Analytics na tyto prostředky. Azure koreluje události, které agenti shromažďují do doporučení (úloh posílení zabezpečení), které provádíte za účelem zabezpečení úloh. Úlohy posílení zabezpečení na základě osvědčených postupů zabezpečení zahrnují správu a vynucování zásad zabezpečení. Výsledky pak můžete sledovat a spravovat dodržování předpisů a zásady správného řízení v průběhu času prostřednictvím programu Defender pro monitorování cloudu a zároveň omezit prostor pro útoky napříč všemi vašimi prostředky.

Správa přístupu uživatelů k prostředkům a předplatným Azure představuje důležitou součást strategie zásad správného řízení Azure. Azure RBAC je primární metoda správy přístupu v Azure. Další informace najdete v tématu Správa přístupu k prostředí Azure pomocí řízení přístupu na základě role.

Práce s programem Defender pro cloud prostřednictvím Centra pro správu Windows vyžaduje předplatné Azure. Pokud chcete začít, přečtěte si téma Ochrana prostředků Centra pro správu Windows pomocí programu Microsoft Defender for Cloud. Pokud chcete začít, přečtěte si téma Plánování nasazení Defenderu pro server. Informace o licencování defenderu pro servery (plány serverů) najdete v tématu Výběr plánu Defenderu pro servery.

Po registraci přejděte k MDC v Centru pro správu Windows: Na stránce Všechna připojení vyberte server nebo virtuální počítač v části Nástroje, vyberte Microsoft Defender for Cloud a pak vyberte Přihlásit se k Azure.

Další informace najdete v tématu Co je Microsoft Defender for Cloud?

Část 3: Přidání rozšířeného zabezpečení

Následující části doporučují pokročilé nástroje a technologie zabezpečení pro další posílení zabezpečení serverů s operačním systémem Azure Stack HCI ve vašem prostředí.

Posílení prostředí

  • Standardní hodnoty zabezpečení microsoftu jsou založené na doporučeních k zabezpečení od Microsoftu získaných prostřednictvím partnerství s komerčními organizacemi a státní správou USA, jako je ministerstvo obrany. Standardní hodnoty zabezpečení zahrnují doporučená nastavení zabezpečení pro bránu Windows Firewall, Windows Defender a mnoho dalších.

    Standardní hodnoty zabezpečení jsou poskytovány jako zálohy objektů zásad skupiny (GPO), které můžete importovat do služby Doména služby Active Directory Services (AD DS) a pak nasadit na servery připojené k doméně, aby se prostředí posílilo. Nástroje pro místní skripty můžete také použít ke konfiguraci samostatných serverů (nepřiřaděných k doméně) se standardními hodnotami zabezpečení. Pokud chcete začít používat standardní hodnoty zabezpečení, stáhněte si sadu Microsoft Security Compliance Toolkit 1.0.

    Další informace najdete v tématu Standardní hodnoty zabezpečení Microsoftu.

Ochrana dat

  • Posílení zabezpečení prostředí Hyper-V vyžaduje posílení zabezpečení Windows Serveru spuštěného na virtuálním počítači stejně jako posílení operačního systému spuštěného na fyzickém serveru. Vzhledem k tomu, že virtuální prostředí obvykle mají více virtuálních počítačů sdílejících stejného fyzického hostitele, je nezbytné chránit fyzického hostitele i virtuální počítače spuštěné na něm. Útočník, který ohrozit hostitele, může ovlivnit více virtuálních počítačů s větším dopadem na úlohy a služby. Tato část popisuje následující metody, které můžete použít k posílení zabezpečení Windows Serveru v prostředí Hyper-V:

    • Virtual Trusted Platform Module (vTPM) ve Windows Serveru podporuje čip TPM pro virtuální počítače, což umožňuje používat pokročilé technologie zabezpečení, jako je BitLocker ve virtuálních počítačích. Podporu TPM můžete povolit na jakémkoli virtuálním počítači Hyper-V generace 2 pomocí Správce technologie Hyper-V nebo rutiny Windows PowerShellu Enable-VMTPM .

      Poznámka:

      Povolení virtuálního počítače bude mít vliv na mobilitu virtuálních počítačů: ruční akce budou potřeba, aby se virtuální počítač mohl spouštět na jiném hostiteli než na původním virtuálním počítači, který jste povolili.

      Další informace najdete v tématu Enable-VMTPM.

    • Softwarově definované sítě (SDN) ve službě Azure Stack HCI a Windows Server centrálně konfigurují a spravují zařízení virtuální sítě, jako je nástroj pro vyrovnávání zatížení softwaru, brána firewall datového centra, brány a virtuální přepínače ve vaší infrastruktuře. Prvky virtuální sítě, jako je virtuální přepínač Hyper-V, virtualizace sítě Hyper-V a brána RAS, jsou navržené tak, aby byly nedílnou součástí infrastruktury SDN.

      Další informace najdete v tématu Softwarově definované sítě (SDN).

      Poznámka:

      Stíněné virtuální počítače chráněné službou Strážce hostitele se v Azure Stack HCI nepodporují.

Ochrana identit

  • Řešení PRO hesla místního správce (LAPS) je jednoduchý mechanismus pro systémy připojené k doméně služby Active Directory, který pravidelně nastavuje heslo místního účtu správce každého počítače na novou náhodnou a jedinečnou hodnotu. Hesla jsou uložena v zabezpečeném důvěrném atributu na odpovídajícím objektu počítače ve službě Active Directory, kde je můžou načíst pouze konkrétně autorizovaní uživatelé. LAPS používá místní účty pro vzdálenou správu počítačů způsobem, který nabízí určité výhody oproti používání účtů domény. Další informace najdete v tématu Vzdálené použití místních účtů: LAPS změní všechno.

    Pokud chcete začít používat LAPS, stáhněte si řešení PRO hesla místního správce (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) je místní produkt, který můžete použít k detekci útočníků, kteří se pokoušejí ohrozit privilegované identity. ATA analyzuje síťový provoz pro ověřování, autorizaci a shromažďování informací protokoly, jako je Kerberos a DNS. ATA pomocí dat vytváří profily chování uživatelů a dalších entit v síti k detekci anomálií a známých vzorů útoku.

    Další informace najdete v tématu Co je Advanced Threat Analytics?

  • Vzdálená ochrana Credential Guard v programu Windows Defender chrání přihlašovací údaje přes připojení ke vzdálené ploše přesměrováním požadavků Protokolu Kerberos zpět na zařízení, které žádá o připojení. Poskytuje také jednotné přihlašování (SSO) pro relace vzdálené plochy. Pokud dojde během relace vzdálené plochy k ohrožení zabezpečení cílového zařízení, vaše přihlašovací údaje nejsou vystaveny, protože přihlašovací údaje i deriváty přihlašovacích údajů se nikdy nepředávají přes síť do cílového zařízení.

    Další informace najdete v tématu Správa ochrany credential Guard v programu Windows Defender.

  • Microsoft Defender for Identityies pomáhá chránit privilegované identity monitorováním chování uživatele a aktivit, snížením prostoru pro útoky, ochranou služby Active Directory Federal Service (AD FS) v hybridním prostředí a identifikací podezřelých aktivit a pokročilých útoků v rámci řetězce kill-chain kybernetických útoků.

    Další informace najdete v tématu Co je Microsoft Defender for Identity?

Další kroky

Další informace o dodržování předpisů a zabezpečení najdete v tématech: