Azure Stack HCI 安全注意事項(xiàng)

適用于：Azure Stack HCI版本20H2；Windows Server 2019

本主題介紹與Azure Stack HCI操作系統(tǒng)有關(guān)的安全注意事項(xiàng)并提供相關(guān)建議：

第1部分介紹基本安全工具和技術(shù)，它們用于增強(qiáng)操作系統(tǒng)，保護(hù)數(shù)據(jù)和身份以有效地為你的組織構(gòu)建安全基礎(chǔ)。

第2部分介紹通過(guò)Azure安全中心提供的資源。

第3部分介紹更高級(jí)的安全注意事項(xiàng)，可幫助進(jìn)一步優(yōu)化你的組織在這些領(lǐng)域的安全狀況。

為什么安全注意事項(xiàng)非常重要？

從上層管理人員到信息工作者，安全會(huì)影響組織中的每個(gè)人。安全性不足對(duì)于組織來(lái)說(shuō)是真正的風(fēng)險(xiǎn)，因?yàn)榘踩┒纯赡軙?huì)破壞所有正常業(yè)務(wù)，并導(dǎo)致組織停擺。越早檢測(cè)到潛在攻擊，就可以越快減輕安全方面的任何風(fēng)險(xiǎn)。

在出于利用環(huán)境弱點(diǎn)的目的研究了這些弱點(diǎn)之后，攻擊者通?？梢栽诔醪綔p弱環(huán)境安全防控后的24到48小時(shí)內(nèi)提升權(quán)限，控制網(wǎng)絡(luò)中的系統(tǒng)。良好的安全措施可以增強(qiáng)環(huán)境中系統(tǒng)的防御能力，通過(guò)阻擋攻擊者的行動(dòng)，可將攻擊者嘗試控制系統(tǒng)所耗用的時(shí)間從數(shù)小時(shí)延長(zhǎng)至數(shù)周甚至數(shù)月。實(shí)施本主題中介紹的安全建議使你的組織能夠盡快檢測(cè)到和應(yīng)對(duì)這類(lèi)攻擊。

第1部分：構(gòu)建安全基礎(chǔ)

以下各節(jié)推薦可用于為環(huán)境中運(yùn)行Azure Stack HCI操作系統(tǒng)的服務(wù)器構(gòu)建安全基礎(chǔ)的安全工具和技術(shù)。

強(qiáng)化環(huán)境

本部分討論如何保護(hù)在操作系統(tǒng)上運(yùn)行的服務(wù)和虛擬機(jī)(VM)：

·Azure Stack HCI認(rèn)證的硬件提供一致的安全啟動(dòng)、UEFI和現(xiàn)成的TPM設(shè)置。將基于虛擬化的安全性和經(jīng)過(guò)認(rèn)證的硬件結(jié)合起來(lái)，可幫助保護(hù)對(duì)安全性敏感的工作負(fù)載。還可以將此受信任的基礎(chǔ)結(jié)構(gòu)連接到Azure安全中心，激活行為分析和報(bào)告，以應(yīng)對(duì)快速變化的工作負(fù)載和威脅。

安全啟動(dòng)是電腦行業(yè)開(kāi)發(fā)的安全標(biāo)準(zhǔn)，旨在確保設(shè)備僅使用原始設(shè)備制造商(OEM)信任的軟件進(jìn)行啟動(dòng)。有關(guān)詳細(xì)信息，請(qǐng)參閱安全啟動(dòng)。

“統(tǒng)一可擴(kuò)展固件接口(UEFI)”可控制服務(wù)器的啟動(dòng)過(guò)程，然后將控制權(quán)傳遞給Windows或其他操作系統(tǒng)。有關(guān)詳細(xì)信息，請(qǐng)參閱UEFI固件要求。

受信任的平臺(tái)模塊(TPM)技術(shù)提供基于硬件的安全性相關(guān)功能。TPM芯片是一種安全的加密處理器，用于生成、存儲(chǔ)加密密鑰和限制密鑰的使用。有關(guān)詳細(xì)信息，請(qǐng)參閱受信任的平臺(tái)模塊技術(shù)概述。

若要詳細(xì)了解Azure Stack HCI認(rèn)證的硬件提供商，請(qǐng)參閱Azure Stack HCI解決方案網(wǎng)站。

·Device Guard和Credential Guard。Device Guard可以防止不具有已知簽名的惡意軟件、未簽名的代碼以及可以訪問(wèn)內(nèi)核的惡意軟件捕獲敏感信息或損壞系統(tǒng)。Windows Defender憑據(jù)保護(hù)使用基于虛擬化的安全性來(lái)隔離密鑰，以便只有特權(quán)系統(tǒng)軟件可以訪問(wèn)它們。

有關(guān)詳細(xì)信息，請(qǐng)參閱管理Windows Defender Credential Guard并下載Device Guard和Credential Guard硬件就緒工具。

·Windows和固件更新在群集、服務(wù)器（包括來(lái)賓VM）和電腦上非常重要，可幫助確保操作系統(tǒng)和系統(tǒng)硬件免受攻擊者的影響。可以使用Windows Admin Center的“更新”工具將更新應(yīng)用到各個(gè)系統(tǒng)。如果你的硬件提供商提供用于獲取驅(qū)動(dòng)程序、固件和解決方案更新的Windows Admin Center支持，你可以在Windows更新的同時(shí)獲取這些更新，否則需要直接從供應(yīng)商處獲取這些更新。

有關(guān)詳細(xì)信息，請(qǐng)參閱更新群集。

若要一次管理多個(gè)群集和服務(wù)器上的更新，請(qǐng)考慮訂閱與Windows Admin Center集成的可選的Azure更新管理服務(wù)。有關(guān)詳細(xì)信息，請(qǐng)參閱使用Windows Admin Center的Azure更新管理。

保護(hù)數(shù)據(jù)

本部分討論如何使用Windows Admin Center來(lái)保護(hù)操作系統(tǒng)上的數(shù)據(jù)和工作負(fù)載：

·用于存儲(chǔ)空間的BitLocker可保護(hù)靜態(tài)數(shù)據(jù)?？梢允褂肂itLocker為操作系統(tǒng)上存儲(chǔ)空間數(shù)據(jù)卷的內(nèi)容進(jìn)行加密。使用BitLocker保護(hù)數(shù)據(jù)有助于組織遵守政府、區(qū)域和特定于行業(yè)的標(biāo)準(zhǔn)，如FIPS 140-2和HIPAA。

若要詳細(xì)了解如何在Windows Admin Center中使用BitLocker，請(qǐng)參閱啟用卷加密、重復(fù)數(shù)據(jù)刪除和壓縮

·Windows網(wǎng)絡(luò)的SMB加密可保護(hù)傳輸中的數(shù)據(jù)。服務(wù)器消息塊(SMB)是一種網(wǎng)絡(luò)文件共享協(xié)議，該協(xié)議允許計(jì)算機(jī)上的應(yīng)用程序讀取和寫(xiě)入文件，以及通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)中的服務(wù)器程序請(qǐng)求服務(wù)。

若要啟用SMB加密，請(qǐng)參閱SMB安全性增強(qiáng)。

·Windows Admin Center中的Windows Defender防病毒功能可保護(hù)客戶端和服務(wù)器上的操作系統(tǒng)免受病毒、惡意軟件、間諜軟件和其他威脅的侵害。有關(guān)詳細(xì)信息，請(qǐng)參閱Windows Server 2016和2019上的Microsoft Defender防病毒。

保護(hù)標(biāo)識(shí)

本部分討論如何使用Windows Admin Center來(lái)保護(hù)特權(quán)標(biāo)識(shí)：

·訪問(wèn)控制可以提高環(huán)境管理的安全性。如果使用的是Windows Admin Center服務(wù)器（相對(duì)于Windows 10電腦上運(yùn)行的服務(wù)器），則可以控制對(duì)Windows Admin Center本身的兩個(gè)級(jí)別的訪問(wèn)：網(wǎng)關(guān)用戶和網(wǎng)關(guān)管理員。網(wǎng)關(guān)管理員標(biāo)識(shí)提供程序選項(xiàng)包括：

用于強(qiáng)制執(zhí)行智能卡身份驗(yàn)證的Active Directory或本地計(jì)算機(jī)組。

用于強(qiáng)制執(zhí)行條件訪問(wèn)和多重身份驗(yàn)證的Azure Active Directory。

有關(guān)詳細(xì)信息，請(qǐng)參閱用戶的Windows管理中心訪問(wèn)選項(xiàng)和配置用戶訪問(wèn)控制和權(quán)限。

·流往Windows Admin Center的瀏覽器流量使用HTTPS。從Windows Admin Center流往托管服務(wù)器的流量通過(guò)“Windows遠(yuǎn)程管理(WinRM)”使用標(biāo)準(zhǔn)PowerShell和Windows Management Instrumentation(WMI)。Windows Admin Center支持本地管理員密碼解決方案(LAPS)、基于資源的約束委派、使用Active Directory(AD)或Microsoft Azure Active Directory(Azure AD)的網(wǎng)關(guān)訪問(wèn)控制，以及用于管理目標(biāo)服務(wù)器的基于角色的訪問(wèn)控制(RBAC)。

Windows Admin Center支持Microsoft Edge（Windows 10，版本1709或更高版本）、Google Chrome和Windows 10上的Microsoft Edge?？梢栽赪indows 10電腦或Windows服務(wù)器上安裝Windows Admin Center。

如果在服務(wù)器上安裝Windows Admin Center，則它將作為網(wǎng)關(guān)運(yùn)行，且在主機(jī)服務(wù)器上沒(méi)有UI。在這種情況下，管理員可以通過(guò)HTTPS會(huì)話登錄到服務(wù)器，該會(huì)話由主機(jī)上的自簽名安全證書(shū)提供保護(hù)。但是，更好的做法是使用來(lái)自受信任的證書(shū)頒發(fā)機(jī)構(gòu)的適當(dāng)SSL證書(shū)進(jìn)行登錄，因?yàn)槭苤С值臑g覽器會(huì)將自簽名連接視為不安全，即使通過(guò)受信任的VPN連接到本地IP地址也是如此。

若要了解有關(guān)組織的安裝選項(xiàng)的更多信息，請(qǐng)參閱哪種類(lèi)型的安裝適合你？。

·CredSSP是一種身份驗(yàn)證提供程序，在少數(shù)情況下，Windows Admin Center使用該身份驗(yàn)證提供程序?qū){據(jù)傳遞給你要管理的特定服務(wù)器之外的計(jì)算機(jī)。Windows Admin Center當(dāng)前需要CredSSP執(zhí)行以下操作：

創(chuàng)建新群集。

訪問(wèn)“更新”工具以使用“故障轉(zhuǎn)移群集”或“群集感知更新”功能。

管理VM中的非聚合SMB存儲(chǔ)。

有關(guān)詳細(xì)地信息，請(qǐng)參閱Windows Admin Center是否使用CredSSP？

·Windows Admin Center中的基于角色的訪問(wèn)控制(RBAC)允許用戶以有限的權(quán)限訪問(wèn)需要管理的服務(wù)器，而不是使其完全成為本地管理員。若要在Windows Admin Center中使用RBAC，請(qǐng)為每個(gè)托管服務(wù)器配置一個(gè)PowerShell Just Enough Administration終結(jié)點(diǎn)。

有關(guān)詳細(xì)信息，請(qǐng)參閱基于角色的訪問(wèn)控制和Just Enough Administration。

·Windows Admin Center中可用于管理和保護(hù)標(biāo)識(shí)的安全工具包括Active Directory、證書(shū)、防火墻、本地用戶和組等。

有關(guān)詳細(xì)信息，請(qǐng)參閱使用Windows Admin Center管理服務(wù)器。

第2部分：使用Azure安全中心

Azure安全中心是一個(gè)統(tǒng)一的基礎(chǔ)結(jié)構(gòu)安全管理系統(tǒng)，可增強(qiáng)數(shù)據(jù)中心的安全態(tài)勢(shì)，并跨云和本地中的混合工作負(fù)載提供高級(jí)威脅防護(hù)。安全中心為你提供了一些工具，可用于評(píng)估你的網(wǎng)絡(luò)的安全狀態(tài)、保護(hù)工作負(fù)載、發(fā)出安全警報(bào)，并遵循特定建議來(lái)緩解攻擊影響并解決未來(lái)的威脅。通過(guò)利用Azure服務(wù)實(shí)現(xiàn)自動(dòng)配置和提供保護(hù)，安全中心可以在云中高速執(zhí)行所有這些服務(wù)，且沒(méi)有部署開(kāi)銷(xiāo)。

安全中心通過(guò)在這些資源上安裝Log Analytics代理來(lái)保護(hù)Windows服務(wù)器和Linux服務(wù)器的VM。Azure將代理收集的事件與用于確保工作負(fù)載安全而執(zhí)行的建議（強(qiáng)化任務(wù)）進(jìn)行關(guān)聯(lián)。基于安全最佳做法的強(qiáng)化任務(wù)包括管理和強(qiáng)制實(shí)施安全策略。然后，你可以通過(guò)安全中心的監(jiān)視功能來(lái)跟蹤結(jié)果，并隨時(shí)間推移管理合規(guī)性和實(shí)施治理，同時(shí)減少所有資源的受攻擊面。

管理用戶對(duì)Azure資源和訂閱的訪問(wèn)是Azure治理策略的重要組成部分。Azure基于角色的訪問(wèn)控制(RBAC)是在Azure中管理訪問(wèn)權(quán)限的主要方法。有關(guān)詳細(xì)信息，請(qǐng)參閱使用基于角色的訪問(wèn)控制管理對(duì)Azure環(huán)境的訪問(wèn)。

通過(guò)Windows Admin Center使用安全中心需要Azure訂閱。若要開(kāi)始，請(qǐng)參閱將Azure安全中心與Windows管理中心集成。

注冊(cè)后，在Windows Admin Center中訪問(wèn)安全中心：在“所有連接”頁(yè)上，選擇服務(wù)器或VM，在“工具”下，選擇“Azure安全中心”，然后選擇“登錄到Azure”。

有關(guān)詳細(xì)信息，請(qǐng)參閱什么是Azure安全中心？

第3部分：添加高級(jí)安全

以下各節(jié)推薦高級(jí)安全工具和技術(shù)，可幫助進(jìn)一步強(qiáng)化在你的環(huán)境中運(yùn)行Azure Stack HCI操作系統(tǒng)的服務(wù)器。

強(qiáng)化環(huán)境

·Microsoft安全基線基于microsoft提供的安全建議，通過(guò)與商業(yè)組織和美國(guó)政府（如防御部門(mén)）的合作關(guān)系獲得。安全基線包括推薦的用于Windows防火墻、Windows Defender的安全設(shè)置，還有很多其他內(nèi)容。

安全基線作為組策略對(duì)象(GPO)備份提供，可以將其導(dǎo)入Active Directory域服務(wù)(AD DS)，然后部署到已加入域的服務(wù)器以增強(qiáng)環(huán)境防御能力。還可以使用本地腳本工具配置具有安全基線的獨(dú)立（未加入域的）服務(wù)器。若要開(kāi)始使用安全基線，請(qǐng)下載Microsoft安全合規(guī)性工具包1.0。

有關(guān)詳細(xì)信息，請(qǐng)參閱Microsoft安全基線。

保護(hù)數(shù)據(jù)

·強(qiáng)化Hyper-V環(huán)境要求對(duì)VM上運(yùn)行的Windows Server進(jìn)行強(qiáng)化，這和強(qiáng)化物理服務(wù)器上運(yùn)行的操作系統(tǒng)的方式一樣。由于虛擬環(huán)境通常具有共享同一物理主機(jī)的多個(gè)VM，因此必須同時(shí)保護(hù)物理主機(jī)和在其上運(yùn)行的VM。導(dǎo)致主機(jī)受影響的攻擊者可以影響多個(gè)VM，對(duì)工作負(fù)載和服務(wù)的影響更大。本節(jié)討論可用于在Hyper-V環(huán)境中強(qiáng)化Windows Server的以下方法：

Windows Server中的虛擬受信任的平臺(tái)模塊(vTPM)支持VM的TPM，它使你可以使用高級(jí)安全技術(shù)，例如VM中的BitLocker。你可以使用Hyper-V管理器或Enable-VMTPM Windows PowerShell cmdlet在任何第2代Hyper-V VM上啟用TPM支持。

有關(guān)詳細(xì)信息，請(qǐng)參閱Enable-VMTPM。

Azure Stack HCI和Windows Server中的軟件定義網(wǎng)絡(luò)(SDN)集中配置和管理物理和虛擬網(wǎng)絡(luò)設(shè)備，例如數(shù)據(jù)中心中的路由器、交換機(jī)和網(wǎng)關(guān)。虛擬網(wǎng)絡(luò)元素（例如Hyper-V虛擬交換機(jī)、Hyper-V網(wǎng)絡(luò)虛擬化和RAS網(wǎng)關(guān)）的作用是充當(dāng)SDN基礎(chǔ)結(jié)構(gòu)的構(gòu)成部分。

有關(guān)詳細(xì)信息，請(qǐng)參閱軟件定義的網(wǎng)絡(luò)(SDN)。

備注

Azure Stack HCI不支持受防護(hù)的Vm。

保護(hù)標(biāo)識(shí)

·本地管理員密碼解決方案(LAPS)是一種輕型機(jī)制，適用于Active Directory加入域的系統(tǒng)，會(huì)定期將每臺(tái)計(jì)算機(jī)的本地管理員帳戶密碼設(shè)置為新的隨機(jī)值和唯一值。密碼存儲(chǔ)在Active Directory中的相應(yīng)計(jì)算機(jī)對(duì)象上的安全機(jī)密屬性中，只有專(zhuān)門(mén)的授權(quán)用戶才能檢索到它們。LAPS使用本地帳戶進(jìn)行遠(yuǎn)程計(jì)算機(jī)管理，其應(yīng)用方式與使用域帳戶相比具有一些優(yōu)勢(shì)。有關(guān)詳細(xì)信息，請(qǐng)參閱遠(yuǎn)程使用本地帳戶：LAPS改變一切。

若要開(kāi)始使用LAPS，請(qǐng)下載本地管理員密碼解決方案(LAPS)。

·Microsoft高級(jí)威脅分析(ATA)是一種本地產(chǎn)品，可用于幫助檢測(cè)嘗試破壞特權(quán)標(biāo)識(shí)的攻擊者。ATA會(huì)出于一些目的而分析網(wǎng)絡(luò)流量，如進(jìn)行身份驗(yàn)證、授權(quán)及遵守信息收集協(xié)議，例如Kerberos和DNS。ATA使用這些數(shù)據(jù)來(lái)構(gòu)建網(wǎng)絡(luò)上用戶和其他實(shí)體的行為配置文件，以檢測(cè)異常和已知攻擊模式。

有關(guān)詳細(xì)信息，請(qǐng)參閱什么是高級(jí)威脅分析？。

·Windows Defender遠(yuǎn)程Credential Guard通過(guò)遠(yuǎn)程桌面連接來(lái)保護(hù)憑據(jù)，方法是將Kerberos請(qǐng)求重定向回發(fā)出連接請(qǐng)求的設(shè)備。它還為遠(yuǎn)程桌面會(huì)話提供單一登錄(SSO)。在遠(yuǎn)程桌面會(huì)話期間，如果目標(biāo)設(shè)備遭到入侵，憑據(jù)不會(huì)暴露，因?yàn)閼{據(jù)和憑據(jù)衍生內(nèi)容永遠(yuǎn)不會(huì)通過(guò)網(wǎng)絡(luò)傳遞到目標(biāo)設(shè)備。

有關(guān)詳細(xì)信息，請(qǐng)參閱管理Windows Defender Credential Guard。