Azure Stack HCI 安全注意事項,azure 快速入門-ESG跨境

Azure Stack HCI 安全注意事項,azure 快速入門

Azure Stack HCI 安全注意事項

適用于：Azure Stack HCI版本20H2；Windows Server 2019

本主題介紹與Azure Stack HCI操作系統(tǒng)有關的安全注意事項并提供相關建議：

第1部分介紹基本安全工具和技術，它們用于增強操作系統(tǒng)，保護數(shù)據(jù)和身份以有效地為你的組織構建安全基礎。

第2部分介紹通過Azure安全中心提供的資源。

第3部分介紹更高級的安全注意事項，可幫助進一步優(yōu)化你的組織在這些領域的安全狀況。

為什么安全注意事項非常重要？

從上層管理人員到信息工作者，安全會影響組織中的每個人。安全性不足對于組織來說是真正的風險，因為安全漏洞可能會破壞所有正常業(yè)務，并導致組織停擺。越早檢測到潛在攻擊，就可以越快減輕安全方面的任何風險。

在出于利用環(huán)境弱點的目的研究了這些弱點之后，攻擊者通?？梢栽诔醪綔p弱環(huán)境安全防控后的24到48小時內提升權限，控制網絡中的系統(tǒng)。良好的安全措施可以增強環(huán)境中系統(tǒng)的防御能力，通過阻擋攻擊者的行動，可將攻擊者嘗試控制系統(tǒng)所耗用的時間從數(shù)小時延長至數(shù)周甚至數(shù)月。實施本主題中介紹的安全建議使你的組織能夠盡快檢測到和應對這類攻擊。

第1部分：構建安全基礎

以下各節(jié)推薦可用于為環(huán)境中運行Azure Stack HCI操作系統(tǒng)的服務器構建安全基礎的安全工具和技術。

強化環(huán)境

本部分討論如何保護在操作系統(tǒng)上運行的服務和虛擬機(VM)：

·Azure Stack HCI認證的硬件提供一致的安全啟動、UEFI和現(xiàn)成的TPM設置。將基于虛擬化的安全性和經過認證的硬件結合起來，可幫助保護對安全性敏感的工作負載。還可以將此受信任的基礎結構連接到Azure安全中心，激活行為分析和報告，以應對快速變化的工作負載和威脅。

安全啟動是電腦行業(yè)開發(fā)的安全標準，旨在確保設備僅使用原始設備制造商(OEM)信任的軟件進行啟動。有關詳細信息，請參閱安全啟動。

“統(tǒng)一可擴展固件接口(UEFI)”可控制服務器的啟動過程，然后將控制權傳遞給Windows或其他操作系統(tǒng)。有關詳細信息，請參閱UEFI固件要求。

受信任的平臺模塊(TPM)技術提供基于硬件的安全性相關功能。TPM芯片是一種安全的加密處理器，用于生成、存儲加密密鑰和限制密鑰的使用。有關詳細信息，請參閱受信任的平臺模塊技術概述。

若要詳細了解Azure Stack HCI認證的硬件提供商，請參閱Azure Stack HCI解決方案網站。

·Device Guard和Credential Guard。Device Guard可以防止不具有已知簽名的惡意軟件、未簽名的代碼以及可以訪問內核的惡意軟件捕獲敏感信息或損壞系統(tǒng)。Windows Defender憑據(jù)保護使用基于虛擬化的安全性來隔離密鑰，以便只有特權系統(tǒng)軟件可以訪問它們。

有關詳細信息，請參閱管理Windows Defender Credential Guard并下載Device Guard和Credential Guard硬件就緒工具。

·Windows和固件更新在群集、服務器（包括來賓VM）和電腦上非常重要，可幫助確保操作系統(tǒng)和系統(tǒng)硬件免受攻擊者的影響?？梢允褂肳indows Admin Center的“更新”工具將更新應用到各個系統(tǒng)。如果你的硬件提供商提供用于獲取驅動程序、固件和解決方案更新的Windows Admin Center支持，你可以在Windows更新的同時獲取這些更新，否則需要直接從供應商處獲取這些更新。

有關詳細信息，請參閱更新群集。

若要一次管理多個群集和服務器上的更新，請考慮訂閱與Windows Admin Center集成的可選的Azure更新管理服務。有關詳細信息，請參閱使用Windows Admin Center的Azure更新管理。

保護數(shù)據(jù)

本部分討論如何使用Windows Admin Center來保護操作系統(tǒng)上的數(shù)據(jù)和工作負載：

·用于存儲空間的BitLocker可保護靜態(tài)數(shù)據(jù)?？梢允褂肂itLocker為操作系統(tǒng)上存儲空間數(shù)據(jù)卷的內容進行加密。使用BitLocker保護數(shù)據(jù)有助于組織遵守政府、區(qū)域和特定于行業(yè)的標準，如FIPS 1402和HIPAA。

若要詳細了解如何在Windows Admin Center中使用BitLocker，請參閱啟用卷加密、重復數(shù)據(jù)刪除和壓縮

·Windows網絡的SMB加密可保護傳輸中的數(shù)據(jù)。服務器消息塊(SMB)是一種網絡文件共享協(xié)議，該協(xié)議允許計算機上的應用程序讀取和寫入文件，以及通過計算機網絡中的服務器程序請求服務。

若要啟用SMB加密，請參閱SMB安全性增強。

·Windows Admin Center中的Windows Defender防病毒功能可保護客戶端和服務器上的操作系統(tǒng)免受病毒、惡意軟件、間諜軟件和其他威脅的侵害。有關詳細信息，請參閱Windows Server 2016和2019上的Microsoft Defender防病毒。

保護標識

本部分討論如何使用Windows Admin Center來保護特權標識：

·訪問控制可以提高環(huán)境管理的安全性。如果使用的是Windows Admin Center服務器（相對于Windows 10電腦上運行的服務器），則可以控制對Windows Admin Center本身的兩個級別的訪問：網關用戶和網關管理員。網關管理員標識提供程序選項包括：

用于強制執(zhí)行智能卡身份驗證的Active Directory或本地計算機組。

用于強制執(zhí)行條件訪問和多重身份驗證的Azure Active Directory。

有關詳細信息，請參閱用戶的Windows管理中心訪問選項和配置用戶訪問控制和權限。

·流往Windows Admin Center的瀏覽器流量使用HTTPS。從Windows Admin Center流往托管服務器的流量通過“Windows遠程管理(WinRM)”使用標準PowerShell和Windows Management Instrumentation(WMI)。Windows Admin Center支持本地管理員密碼解決方案(LAPS)、基于資源的約束委派、使用Active Directory(AD)或Microsoft Azure Active Directory(Azure AD)的網關訪問控制，以及用于管理目標服務器的基于角色的訪問控制(RBAC)。

Windows Admin Center支持Microsoft Edge（Windows 10，版本1709或更高版本）、Google Chrome和Windows 10上的Microsoft Edge?？梢栽赪indows 10電腦或Windows服務器上安裝Windows Admin Center。

如果在服務器上安裝Windows Admin Center，則它將作為網關運行，且在主機服務器上沒有UI。在這種情況下，管理員可以通過HTTPS會話登錄到服務器，該會話由主機上的自簽名安全證書提供保護。但是，更好的做法是使用來自受信任的證書頒發(fā)機構的適當SSL證書進行登錄，因為受支持的瀏覽器會將自簽名連接視為不安全，即使通過受信任的VPN連接到本地IP地址也是如此。

若要了解有關組織的安裝選項的更多信息，請參閱哪種類型的安裝適合你？。

·CredSSP是一種身份驗證提供程序，在少數(shù)情況下，Windows Admin Center使用該身份驗證提供程序將憑據(jù)傳遞給你要管理的特定服務器之外的計算機。Windows Admin Center當前需要CredSSP執(zhí)行以下操作：

創(chuàng)建新群集。

訪問“更新”工具以使用“故障轉移群集”或“群集感知更新”功能。

管理VM中的非聚合SMB存儲。

有關詳細地信息，請參閱Windows Admin Center是否使用CredSSP？

·Windows Admin Center中的基于角色的訪問控制(RBAC)允許用戶以有限的權限訪問需要管理的服務器，而不是使其完全成為本地管理員。若要在Windows Admin Center中使用RBAC，請為每個托管服務器配置一個PowerShell Just Enough Administration終結點。

有關詳細信息，請參閱基于角色的訪問控制和Just Enough Administration。

·Windows Admin Center中可用于管理和保護標識的安全工具包括Active Directory、證書、防火墻、本地用戶和組等。

有關詳細信息，請參閱使用Windows Admin Center管理服務器。

第2部分：使用Azure安全中心

Azure安全中心是一個統(tǒng)一的基礎結構安全管理系統(tǒng)，可增強數(shù)據(jù)中心的安全態(tài)勢，并跨云和本地中的混合工作負載提供高級威脅防護。安全中心為你提供了一些工具，可用于評估你的網絡的安全狀態(tài)、保護工作負載、發(fā)出安全警報，并遵循特定建議來緩解攻擊影響并解決未來的威脅。通過利用Azure服務實現(xiàn)自動配置和提供保護，安全中心可以在云中高速執(zhí)行所有這些服務，且沒有部署開銷。

安全中心通過在這些資源上安裝Log Analytics代理來保護Windows服務器和Linux服務器的VM。Azure將代理收集的事件與用于確保工作負載安全而執(zhí)行的建議（強化任務）進行關聯(lián)?；诎踩罴炎龇ǖ膹娀蝿瞻ü芾砗蛷娭茖嵤┌踩呗?。然后，你可以通過安全中心的監(jiān)視功能來跟蹤結果，并隨時間推移管理合規(guī)性和實施治理，同時減少所有資源的受攻擊面。

管理用戶對Azure資源和訂閱的訪問是Azure治理策略的重要組成部分。Azure基于角色的訪問控制(RBAC)是在Azure中管理訪問權限的主要方法。有關詳細信息，請參閱使用基于角色的訪問控制管理對Azure環(huán)境的訪問。

通過Windows Admin Center使用安全中心需要Azure訂閱。若要開始，請參閱將Azure安全中心與Windows管理中心集成。

注冊后，在Windows Admin Center中訪問安全中心：在“所有連接”頁上，選擇服務器或VM，在“工具”下，選擇“Azure安全中心”，然后選擇“登錄到Azure”。

有關詳細信息，請參閱什么是Azure安全中心？

第3部分：添加高級安全

以下各節(jié)推薦高級安全工具和技術，可幫助進一步強化在你的環(huán)境中運行Azure Stack HCI操作系統(tǒng)的服務器。

強化環(huán)境

·Microsoft安全基線基于microsoft提供的安全建議，通過與商業(yè)組織和美國政府（如防御部門）的合作關系獲得。安全基線包括推薦的用于Windows防火墻、Windows Defender的安全設置，還有很多其他內容。

安全基線作為組策略對象(GPO)備份提供，可以將其導入Active Directory域服務(AD DS)，然后部署到已加入域的服務器以增強環(huán)境防御能力。還可以使用本地腳本工具配置具有安全基線的獨立（未加入域的）服務器。若要開始使用安全基線，請下載Microsoft安全合規(guī)性工具包1.0。

有關詳細信息，請參閱Microsoft安全基線。

保護數(shù)據(jù)

·強化HyperV環(huán)境要求對VM上運行的Windows Server進行強化，這和強化物理服務器上運行的操作系統(tǒng)的方式一樣。由于虛擬環(huán)境通常具有共享同一物理主機的多個VM，因此必須同時保護物理主機和在其上運行的VM。導致主機受影響的攻擊者可以影響多個VM，對工作負載和服務的影響更大。本節(jié)討論可用于在HyperV環(huán)境中強化Windows Server的以下方法：

Windows Server中的虛擬受信任的平臺模塊(vTPM)支持VM的TPM，它使你可以使用高級安全技術，例如VM中的BitLocker。你可以使用HyperV管理器或EnableVMTPM Windows PowerShell cmdlet在任何第2代HyperV VM上啟用TPM支持。

有關詳細信息，請參閱EnableVMTPM。

Azure Stack HCI和Windows Server中的軟件定義網絡(SDN)集中配置和管理物理和虛擬網絡設備，例如數(shù)據(jù)中心中的路由器、交換機和網關。虛擬網絡元素（例如HyperV虛擬交換機、HyperV網絡虛擬化和RAS網關）的作用是充當SDN基礎結構的構成部分。

有關詳細信息，請參閱軟件定義的網絡(SDN)。

備注

Azure Stack HCI不支持受防護的Vm。

保護標識

·本地管理員密碼解決方案(LAPS)是一種輕型機制，適用于Active Directory加入域的系統(tǒng)，會定期將每臺計算機的本地管理員帳戶密碼設置為新的隨機值和唯一值。密碼存儲在Active Directory中的相應計算機對象上的安全機密屬性中，只有專門的授權用戶才能檢索到它們。LAPS使用本地帳戶進行遠程計算機管理，其應用方式與使用域帳戶相比具有一些優(yōu)勢。有關詳細信息，請參閱遠程使用本地帳戶：LAPS改變一切。

若要開始使用LAPS，請下載本地管理員密碼解決方案(LAPS)。

·Microsoft高級威脅分析(ATA)是一種本地產品，可用于幫助檢測嘗試破壞特權標識的攻擊者。ATA會出于一些目的而分析網絡流量，如進行身份驗證、授權及遵守信息收集協(xié)議，例如Kerberos和DNS。ATA使用這些數(shù)據(jù)來構建網絡上用戶和其他實體的行為配置文件，以檢測異常和已知攻擊模式。

有關詳細信息，請參閱什么是高級威脅分析？。

·Windows Defender遠程Credential Guard通過遠程桌面連接來保護憑據(jù)，方法是將Kerberos請求重定向回發(fā)出連接請求的設備。它還為遠程桌面會話提供單一登錄(SSO)。在遠程桌面會話期間，如果目標設備遭到入侵，憑據(jù)不會暴露，因為憑據(jù)和憑據(jù)衍生內容永遠不會通過網絡傳遞到目標設備。

有關詳細信息，請參閱管理Windows Defender Credential Guard。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發(fā)表后的30日內與ESG跨境電商聯(lián)系。