Bearbeiten

Freigeben über

Aktivieren des Just-in-Time-Zugriffs

  • Vorgehensweise

Defender for Servers in Microsoft Defender for Cloud bietet eine Just-in-Time-Computerzugriffsfunktion.

Mithilfe des Just-in-Time-Zugriffs von Microsoft Defender for Cloud können Sie Ihre Azure-VMs vor nicht autorisiertem Netzwerkzugriff schützen. Firewalls enthalten häufig Zulassungsregeln, die Ihre VMs anfällig für Angriffe machen. Mit JIT können Sie den Zugriff auf Ihre VMs nur bei Bedarf, an den benötigten Ports und für die benötigte Zeitspanne erlauben.

In diesem Artikel erfahren Sie, wie Sie den Just-in-Time-Zugriff einrichten und verwenden, einschließlich:

  • Just-in-Time auf virtuellen Computern über das Azure-Portal oder programmgesteuert aktivieren
  • Anfordern des Zugriffs auf eine VM, für die JIT-Zugriff aktiviert ist, entweder im Azure-Portal oder programmgesteuert
  • Überwachen der Just-in-Time-Zugriffsaktivität, um sicherzustellen, dass Ihre virtuellen Computer ordnungsgemäß gesichert sind

Voraussetzungen

  • Microsoft Defender for Servers Plan 2 muss für das Abonnement aktiviert sein.

  • Unterstützte VMs: VMs, die über Azure Resource Manager bereitgestellt werden, VMs, die mit klassischen Bereitstellungsmodellen bereitgestellt werden, VMs, die durch Azure Firewalls auf demselben VNet wie der virtuelle Computer geschützt sind, VMs, die durch Azure Firewall-Firewalls gesteuert von Azure Firewall Manager geschützt werden, AWS EC2-Instanzen (Vorschau)

  • Um Just-in-Time-Zugriff auf Ihren AWS-VMs einzurichten, müssen Sie Ihr AWS-Konto mit Microsoft Defender for Cloud verbinden.

  • Für die JIT-Richtlinie darf der Richtlinienname zusammen mit dem Ziel-VM-Namen maximal 56 Zeichen lang sein.

  • Sie benötigen die Berechtigungen Leser und SecurityReader, oder eine benutzerdefinierte Rolle kann den JIT-Status und die Parameter anzeigen.

  • Weisen Sie für eine benutzerdefinierte Rolle die in der Tabelle zusammengefassten Berechtigungen zu. Verwenden Sie das Skript Set-JitLeastPrivilegedRole, um für Benutzer, die JIT-Zugriff auf eine VM anfordern, eine Rolle mit den geringsten Rechten zu erstellen.

    Aktion des Benutzers Festzulegende Berechtigungen
    Konfigurieren oder Bearbeiten einer JIT-Richtlinie für einen virtuellen Computer Weisen Sie der Rolle diese Aktionen zu:
    • Im Bereich eines Abonnements (oder einer Ressourcengruppe, wenn nur API oder PowerShell verwendet wird), das der VM zugeordnet ist:
      Microsoft.Security/locations/jitNetworkAccessPolicies/write
    • Im Bereich eines Abonnements (oder einer Ressourcengruppe, wenn nur API oder PowerShell verwendet wird) der VM:
      Microsoft.Compute/virtualMachines/write
    Anfordern von JIT-Zugriff auf einen virtuellen Computer Weisen Sie dem Benutzer diese Aktionen zu:
    • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
    • Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Network/networkInterfaces/*/read
    • Microsoft.Network/publicIPAddresses/read
    Lesen von JIT-Richtlinien Weisen Sie dem Benutzer diese Aktionen zu:
    • Microsoft.Security/locations/jitNetworkAccessPolicies/read
    • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
    • Microsoft.Security/policies/read
    • Microsoft.Security/pricings/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Network/*/read

    Hinweis

    Für AWS sind lediglich die Microsoft.Security-Berechtigungen relevant. Verwenden Sie das Skript Set-JitLeastPrivilegedRole, um für Benutzer, die JIT-Zugriff auf eine VM anfordern, eine Rolle mit den geringsten Rechten zu erstellen.

Arbeiten mit JIT-VM-Zugriff mit Microsoft Defender for Cloud

Sie können Defender for Cloud verwenden oder den JIT-Zugriff auf VMs mit Ihren eigenen Optionen programmgesteuert aktivieren. Sie können JIT auch mit standardmäßigen, fest kodierten Parametern von Azure-VMs aktivieren.

Just-in-Time-VM-Zugriff zeigt Ihre VMs in folgenden Gruppen:

  • Konfiguriert: VMs, die für die Unterstützung von Just-In-Time-VM-Zugriff konfiguriert wurden, mit folgenden Informationen:
    • Anzahl der genehmigten JIT-Anforderungen in den letzten sieben Tagen
    • Datum und Uhrzeit des letzten Zugriffs
    • Konfigurierte Verbindungsdetails
    • Letzter Benutzer
  • Nicht konfiguriert: VMs ohne aktiviertes JIT, die aber JIT unterstützen können. Es wird empfohlen, JIT für diese VMS zu aktivieren.
  • Nicht unterstützt: VMs, die JIT aus folgenden Gründen nicht unterstützen:
    • Fehlende Netzwerksicherheitsgruppe (NSG) oder Azure Firewall: JIT erfordert die Konfiguration einer NSG oder eine Firewallkonfiguration (oder beides).
    • Klassische VM: JIT unterstützt VMs, die über Azure Resource Manager bereitgestellt werden.
    • Sonstige: Die JIT-Lösung ist in der Sicherheitsrichtlinie des Abonnements oder der Ressourcengruppe deaktiviert.

Aktivieren von JIT auf Ihren virtuellen Computern über Microsoft Defender für Cloud (Security Center)

Screenshot des Konfigurierens des JIT-VM-Zugriffs in Microsoft Defender for Cloud.

In Defender für Cloud (Security Center) können Sie den JIT-Zugriff auf virtuelle Computer aktivieren und konfigurieren.

  1. Öffnen Sie Workloadschutz, und wählen Sie im Bereich „Erweiterter Schutz“ die Option Just-In-Time-VM-Zugriff aus.

  2. Markieren Sie in der VM-Registerkarte Nicht konfiguriert die VMs, die mit JIT geschützt werden sollen, und wählen Sie JIT auf VMs aktivieren aus.

    Die Seite für den JIT-Zugriff auf virtuelle Computer wird geöffnet und listet die Ports auf, deren Schutz von Defender für Cloud (Security Center) empfohlen wird:

    • 22 – SSH
    • 3389 – RDP
    • 5985 – WinRM
    • 5986 – WinRM

    So passen Sie den JIT-Zugriff an

    1. Wählen Sie Hinzufügen.

    2. Wählen Sie in der Liste einen der Ports aus, um ihn zu bearbeiten, oder geben Sie andere Ports ein. Für jeden Port können Sie Folgendes festlegen:

      • Protokoll: das Protokoll, das an diesem Port zulässig ist, wenn eine Anforderung genehmigt ist
      • Zulässige Quell-IP-Adressen: die IP-Bereiche, die für diesen Port zulässig sind, wenn eine Anforderung genehmigt ist
      • Maximale Anforderungsdauer: das maximale Zeitfenster, in dem ein bestimmter Port geöffnet werden kann

    3. Klicken Sie auf OK.

  3. Wählen Sie zum Speichern der Portkonfiguration Speichern aus.

Bearbeiten der JIT-Konfiguration auf einem JIT-fähigen virtuellen Computer mit Defender für Cloud

Sie können die Just-In-Time-Konfiguration eines virtuellen Computers ändern, indem Sie einen neuen Port, der für diesen virtuellen Computer geschützt werden soll, hinzufügen und konfigurieren oder eine beliebige andere Einstellung eines bereits geschützten Ports ändern.

So bearbeiten Sie die vorhandenen JIT-Regeln für eine VM

  1. Öffnen Sie Workloadschutz, und wählen Sie im Bereich „Erweiterter Schutz“ die Option Just-In-Time-VM-Zugriff aus.

  2. Klicken Sie in der VM-Registerkarte Konfiguriert mit der rechten Maustaste auf eine VM und wählen Sie Bearbeiten aus.

  3. Unter JIT-VM-Zugriffskonfiguration können Sie die Liste der Ports bearbeiten, oder Hinzufügen auswählen, um einen neuen benutzerdefinierten Port hinzuzufügen.

  4. Wenn Sie die Bearbeitung der Ports abgeschlossen haben, wählen Sie Speichern aus.

Anfordern eines Zugriffs auf einen JIT-fähigen virtuellen Computer von Microsoft Defender für Cloud aus

Wenn JIT für einen virtuellen Computer aktiviert ist, müssen Sie zum Herstellen der Verbindung entsprechend den Zugriff anfordern. Sie können Zugriff auf jede der unterstützten Arten anfordern, unabhängig davon, wie Sie JIT aktiviert haben.

  1. Wählen Sie auf der Seite JIT-VM-Zugriff die RegisterkarteKonfiguriert aus.

  2. Wählen Sie die VMs aus, auf die Sie zugreifen möchten.

    • Das Symbol in der Spalte Verbindungsdetails gibt an, ob JIT in der Netzwerksicherheitsgruppe oder der Firewall aktiviert ist. Wenn JIT für beide aktiviert ist, wird nur das Firewallsymbol angezeigt.

    • In der Spalte Verbindungsdetails werden der Benutzer und Ports gezeigt, die auf die VM zugreifen können.

  3. Wählen Sie Zugriff anfordern aus. Das Fenster Zugriff anfordern wird geöffnet.

  4. Wählen Sie unter Zugriff anfordern die Ports aus, die Sie auf jeder VM öffnen möchten, die Quell-IP-Adressen, für die der Port geöffnet werden soll, und das Zeitfenster zum Öffnen der Ports.

  5. Wählen Sie Ports öffnen aus.

    Hinweis

    Wenn sich ein Benutzer, der den Zugriff anfordert, hinter einem Proxy befindet, können Sie den IP-Adressbereich des Proxys eingeben.

Andere Möglichkeiten zum Arbeiten mit JIT-VM-Zugriff

Virtuelle Azure-Computer

Aktivieren von JIT auf Ihren VMs über virtuelle Azure-Computer

Sie können JIT auf einer VM von den Seiten für virtuelle Azure-Computer des Azure-Portals aus aktivieren.

Tipp

Wenn JIT bereits für eine VM aktiviert ist, ist auf der VM-Konfigurationsseite zu sehen, dass JIT aktiviert ist. Über den Link können Sie die Seite für den JIT-VM-Zugriff in Defender for Cloud öffnen, um die Einstellungen anzuzeigen und zu ändern.

  1. Suchen Sie im Azure-Portal nach Virtuelle Computer, und wählen Sie die Option aus.

  2. Wählen Sie den virtuellen Computer aus, den Sie mit JIT schützen möchten.

  3. Wählen Sie im Menü die Option Konfiguration aus.

  4. Wählen Sie unter Just-in-Time-Zugriff die Option Just-in-Time aktivieren aus.

    Standardmäßig gelten für den Just-in-Time-Zugriff auf die VM die folgenden Einstellungen:

    • Windows-Computer
      • RDP-Port: 3389
      • Maximal erlaubte Zugriffsdauer: drei Stunden
      • Zulässige Quell-IP-Adressen: beliebige
    • Linux-Computer
      • SSH-Port: 22
      • Maximal erlaubte Zugriffsdauer: drei Stunden
      • Zulässige Quell-IP-Adressen: beliebige

  5. Auf der Microsoft Defender for Cloud-Seite „Just-in-Time“ können Sie diese Werte bearbeiten oder Ihrer JIT-Konfiguration weitere Ports hinzufügen:

    1. Wählen Sie im Defender-für-Cloud-Menü die Option Just-In-Time-Zugriff auf virtuelle Computer aus.

    2. Klicken Sie auf der Registerkarte Konfiguriert mit der rechten Maustaste auf die VM, zu der Sie einen Port hinzufügen möchten, und wählen Sie Bearbeiten aus.

      Bearbeiten einer Konfiguration eines JIT-Zugriffs für virtuelle Computer in Microsoft Defender für Cloud.

    3. Unter JIT-VM-Zugriffskonfiguration können Sie die vorhandenen Einstellungen eines bereits geschützten Ports bearbeiten oder einen neuen benutzerdefinierten Port hinzufügen.

    4. Wenn Sie die Bearbeitung der Ports abgeschlossen haben, wählen Sie Speichern aus.

Anfordern des Zugriffs auf eine JIT-fähige VM über die Seite „Verbinden“ des virtuellen Azure-Computers

Wenn JIT für einen virtuellen Computer aktiviert ist, müssen Sie zum Herstellen der Verbindung entsprechend den Zugriff anfordern. Sie können Zugriff auf jede der unterstützten Arten anfordern, unabhängig davon, wie Sie JIT aktiviert haben.

Screenshot: Just-in-Time-Anforderung.

So fordern Sie den Zugriff von virtuellen Azure-Computern an

  1. Öffnen Sie im Azure-Portal die Seiten mit den virtuellen Computern.

  2. Wählen Sie die VM aus, mit der Sie eine Verbindung herstellen möchten, und öffnen Sie die Seite Verbinden.

    Azure prüft, ob JIT auf diesem virtuellen Computer aktiviert ist.

    • Wenn JIT für den virtuellen Computer nicht aktiviert ist, werden Sie aufgefordert, es zu aktivieren.

    • Wenn JIT aktiviert ist, wählen Sie Zugriff anfordern aus, um eine Zugriffsanforderung mit der anfordernden IP-Adresse, dem Zeitbereich und den Ports zu übergeben, die für diese VM konfiguriert wurden.

Hinweis

Nachdem eine Anforderung für einen durch eine Azure Firewall geschützten virtuellen Computer genehmigt wurde, stellt Defender für Cloud (Security Center) dem Benutzer die richtigen Verbindungsinformationen (die Portzuordnung aus der DNAT-Tabelle) zum Herstellen einer Verbindung mit dem virtuellen Computer zur Verfügung.

PowerShell

Aktivieren von JIT auf Ihren VMs mithilfe von PowerShell

Verwenden Sie das offizielle PowerShell-cmdlet Set-AzJitNetworkAccessPolicy von Microsoft Defender für Cloud (Security Center), um den Just-In-Time-Zugriff auf virtuelle Computer von PowerShell aus zu ermöglichen.

Beispiel: Aktivieren Sie den Just-In-Time-VM-Zugriff auf eine bestimmte VM mit den folgenden Regeln:

  • Schließen Sie die Ports 22 und 3389.
  • Legen Sie für die Ports ein maximales Zeitfenster von drei Stunden fest, damit sie bei genehmigter Anforderung geöffnet werden können.
  • Erlauben Sie dem Zugriff anfordernden Benutzer die Steuerung der IP-Quelladressen.
  • Erlauben Sie dem Zugriff anfordernden Benutzer die Einrichtung einer erfolgreichen Sitzung nach einer genehmigten Just-In-Time-Zugriffsanforderung

Die folgenden PowerShell-Befehle erstellen diese JIT-Konfiguration:

  1. Weisen Sie eine Variable zu, die die Just-In-Time-VM-Zugriffsregeln für eine VM enthält:

    $JitPolicy = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"},
        @{
        number=3389;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"})})

  2. Fügen Sie einem Array die Just-In-Time-VM-Zugriffsregeln hinzu:

    $JitPolicyArr=@($JitPolicy)

  3. Konfigurieren Sie die Just-In-Time-VM-Zugriffsregeln auf der ausgewählten VM:

    Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr

    Verwenden Sie den Parameter „-Name“, um eine VM anzugeben. Verwenden Sie z. B. zur Einrichtung der JIT-Konfiguration für zwei verschiedene VMs (VM1 und VM2): Set-AzJitNetworkAccessPolicy -Name VM1 und Set-AzJitNetworkAccessPolicy -Name VM2.

Anfordern des Zugriffs auf eine JIT-fähige VM mithilfe von PowerShell

Im folgenden Beispiel sehen Sie eine Just-In-Time-VM-Zugriffsanforderung für eine bestimmte VM für Port 22, eine bestimmte IP-Adresse und einen bestimmten Zeitraum:

Führen Sie die folgenden Befehle in PowerShell aus:

  1. Konfigurieren Sie die Eigenschaften für die VM-Zugriffsanforderung:

    $JitPolicyVm1 = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
      number=22;
      endTimeUtc="2020-07-15T17:00:00.3658798Z";
      allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

  2. Fügen Sie die Parameter für die VM-Zugriffsanforderung zu einem Array hinzu:

    $JitPolicyArr=@($JitPolicyVm1)

  3. Senden Sie die Zugriffsanforderung (mit der Ressourcen-ID aus Schritt 1).

    Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

Weitere Informationen finden Sie in der PowerShell-Cmdlet-Dokumentation.

REST-API

Aktivieren von JIT auf Ihren VMs mithilfe der REST-API

Die Funktion Just-In-Time-Zugriff auf virtuelle Computer kann über die Microsoft Defender-für-Cloud-API verwendet werden. Verwenden Sie diese API, um Informationen über konfigurierte virtuelle Computer zu erhalten, neue virtuelle Computer hinzufügen, Zugriff auf einen virtuellen Computer anzufordern usw.

Weitere Informationen finden Sie unter Richtlinien für den JIT-Netzwerkzugriff.

Anfordern des Zugriffs auf JIT-fähige VMs mithilfe der REST-API

Die Funktion Just-In-Time-Zugriff auf virtuelle Computer kann über die Microsoft Defender-für-Cloud-API verwendet werden. Verwenden Sie diese API, um Informationen über konfigurierte virtuelle Computer zu erhalten, neue virtuelle Computer hinzufügen, Zugriff auf einen virtuellen Computer anzufordern usw.

Weitere Informationen finden Sie unter Richtlinien für den JIT-Netzwerkzugriff.

Überwachen einer JIT-Zugriffsaktivität in Defender für Cloud

Mit der Protokollsuche erhalten Sie Einblicke in VM-Aktivitäten. So zeigen Sie die Protokolle an:

  1. Wählen Sie über JIT-VM-Zugriff die RegisterkarteKonfiguriert aus.

  2. Öffnen Sie für die zu überwachende VM das durch Auslassungspunkte dargestellte Menü am Ende der Zeile.

  3. Wählen Sie im Menü Aktivitätsprotokoll aus.

    Auswählen des Just-In-Time-Aktivitätsprotokolls

    Das Aktivitätsprotokoll enthält eine gefilterte Ansicht der früheren Vorgänge für diesen virtuellen Computer zusammen mit der Uhrzeit, dem Datum und dem Abonnement.

  4. Wählen Sie Als CSV herunterladen aus, um die Protokollinformationen herunterzuladen.

Nächster Schritt

Grundlegendes zur Just-in-Time-Zugriffsverwaltung für virtuelle Computer