Azure Stack HCI 安全注意事項

適用于：Azure Stack HCI版本20H2；Windows Server 2019

本主題介紹與Azure Stack HCI操作系統(tǒng)有關(guān)的安全注意事項并提供相關(guān)建議：

第1部分介紹基本安全工具和技術(shù)，它們用于增強(qiáng)操作系統(tǒng)，保護(hù)數(shù)據(jù)和身份以有效地為你的組織構(gòu)建安全基礎(chǔ)。

第2部分介紹通過Azure安全中心提供的資源。

第3部分介紹更高級的安全注意事項，可幫助進(jìn)一步優(yōu)化你的組織在這些領(lǐng)域的安全狀況。

為什么安全注意事項非常重要？

從上層管理人員到信息工作者，安全會影響組織中的每個人。安全性不足對于組織來說是真正的風(fēng)險，因為安全漏洞可能會破壞所有正常業(yè)務(wù)，并導(dǎo)致組織停擺。越早檢測到潛在攻擊，就可以越快減輕安全方面的任何風(fēng)險。

在出于利用環(huán)境弱點的目的研究了這些弱點之后，攻擊者通?？梢栽诔醪綔p弱環(huán)境安全防控后的24到48小時內(nèi)提升權(quán)限，控制網(wǎng)絡(luò)中的系統(tǒng)。良好的安全措施可以增強(qiáng)環(huán)境中系統(tǒng)的防御能力，通過阻擋攻擊者的行動，可將攻擊者嘗試控制系統(tǒng)所耗用的時間從數(shù)小時延長至數(shù)周甚至數(shù)月。實施本主題中介紹的安全建議使你的組織能夠盡快檢測到和應(yīng)對這類攻擊。

第1部分：構(gòu)建安全基礎(chǔ)

以下各節(jié)推薦可用于為環(huán)境中運(yùn)行Azure Stack HCI操作系統(tǒng)的服務(wù)器構(gòu)建安全基礎(chǔ)的安全工具和技術(shù)。

強(qiáng)化環(huán)境

本部分討論如何保護(hù)在操作系統(tǒng)上運(yùn)行的服務(wù)和虛擬機(jī)(VM)：

·Azure Stack HCI認(rèn)證的硬件提供一致的安全啟動、UEFI和現(xiàn)成的TPM設(shè)置。將基于虛擬化的安全性和經(jīng)過認(rèn)證的硬件結(jié)合起來，可幫助保護(hù)對安全性敏感的工作負(fù)載。還可以將此受信任的基礎(chǔ)結(jié)構(gòu)連接到Azure安全中心，激活行為分析和報告，以應(yīng)對快速變化的工作負(fù)載和威脅。

安全啟動是電腦行業(yè)開發(fā)的安全標(biāo)準(zhǔn)，旨在確保設(shè)備僅使用原始設(shè)備制造商(OEM)信任的軟件進(jìn)行啟動。有關(guān)詳細(xì)信息，請參閱安全啟動。

“統(tǒng)一可擴(kuò)展固件接口(UEFI)”可控制服務(wù)器的啟動過程，然后將控制權(quán)傳遞給Windows或其他操作系統(tǒng)。有關(guān)詳細(xì)信息，請參閱UEFI固件要求。

受信任的平臺模塊(TPM)技術(shù)提供基于硬件的安全性相關(guān)功能。TPM芯片是一種安全的加密處理器，用于生成、存儲加密密鑰和限制密鑰的使用。有關(guān)詳細(xì)信息，請參閱受信任的平臺模塊技術(shù)概述。

若要詳細(xì)了解Azure Stack HCI認(rèn)證的硬件提供商，請參閱Azure Stack HCI解決方案網(wǎng)站。

·Device Guard和Credential Guard。Device Guard可以防止不具有已知簽名的惡意軟件、未簽名的代碼以及可以訪問內(nèi)核的惡意軟件捕獲敏感信息或損壞系統(tǒng)。Windows Defender憑據(jù)保護(hù)使用基于虛擬化的安全性來隔離密鑰，以便只有特權(quán)系統(tǒng)軟件可以訪問它們。

有關(guān)詳細(xì)信息，請參閱管理Windows Defender Credential Guard并下載Device Guard和Credential Guard硬件就緒工具。

·Windows和固件更新在群集、服務(wù)器（包括來賓VM）和電腦上非常重要，可幫助確保操作系統(tǒng)和系統(tǒng)硬件免受攻擊者的影響。可以使用Windows Admin Center的“更新”工具將更新應(yīng)用到各個系統(tǒng)。如果你的硬件提供商提供用于獲取驅(qū)動程序、固件和解決方案更新的Windows Admin Center支持，你可以在Windows更新的同時獲取這些更新，否則需要直接從供應(yīng)商處獲取這些更新。

有關(guān)詳細(xì)信息，請參閱更新群集。

若要一次管理多個群集和服務(wù)器上的更新，請考慮訂閱與Windows Admin Center集成的可選的Azure更新管理服務(wù)。有關(guān)詳細(xì)信息，請參閱使用Windows Admin Center的Azure更新管理。

保護(hù)數(shù)據(jù)

本部分討論如何使用Windows Admin Center來保護(hù)操作系統(tǒng)上的數(shù)據(jù)和工作負(fù)載：

·用于存儲空間的BitLocker可保護(hù)靜態(tài)數(shù)據(jù)?？梢允褂肂itLocker為操作系統(tǒng)上存儲空間數(shù)據(jù)卷的內(nèi)容進(jìn)行加密。使用BitLocker保護(hù)數(shù)據(jù)有助于組織遵守政府、區(qū)域和特定于行業(yè)的標(biāo)準(zhǔn)，如FIPS 140-2和HIPAA。

若要詳細(xì)了解如何在Windows Admin Center中使用BitLocker，請參閱啟用卷加密、重復(fù)數(shù)據(jù)刪除和壓縮

·Windows網(wǎng)絡(luò)的SMB加密可保護(hù)傳輸中的數(shù)據(jù)。服務(wù)器消息塊(SMB)是一種網(wǎng)絡(luò)文件共享協(xié)議，該協(xié)議允許計算機(jī)上的應(yīng)用程序讀取和寫入文件，以及通過計算機(jī)網(wǎng)絡(luò)中的服務(wù)器程序請求服務(wù)。

若要啟用SMB加密，請參閱SMB安全性增強(qiáng)。

·Windows Admin Center中的Windows Defender防病毒功能可保護(hù)客戶端和服務(wù)器上的操作系統(tǒng)免受病毒、惡意軟件、間諜軟件和其他威脅的侵害。有關(guān)詳細(xì)信息，請參閱Windows Server 2016和2019上的Microsoft Defender防病毒。

保護(hù)標(biāo)識

本部分討論如何使用Windows Admin Center來保護(hù)特權(quán)標(biāo)識：

·訪問控制可以提高環(huán)境管理的安全性。如果使用的是Windows Admin Center服務(wù)器（相對于Windows 10電腦上運(yùn)行的服務(wù)器），則可以控制對Windows Admin Center本身的兩個級別的訪問：網(wǎng)關(guān)用戶和網(wǎng)關(guān)管理員。網(wǎng)關(guān)管理員標(biāo)識提供程序選項包括：

用于強(qiáng)制執(zhí)行智能卡身份驗證的Active Directory或本地計算機(jī)組。

用于強(qiáng)制執(zhí)行條件訪問和多重身份驗證的Azure Active Directory。

有關(guān)詳細(xì)信息，請參閱用戶的Windows管理中心訪問選項和配置用戶訪問控制和權(quán)限。

·流往Windows Admin Center的瀏覽器流量使用HTTPS。從Windows Admin Center流往托管服務(wù)器的流量通過“Windows遠(yuǎn)程管理(WinRM)”使用標(biāo)準(zhǔn)PowerShell和Windows Management Instrumentation(WMI)。Windows Admin Center支持本地管理員密碼解決方案(LAPS)、基于資源的約束委派、使用Active Directory(AD)或Microsoft Azure Active Directory(Azure AD)的網(wǎng)關(guān)訪問控制，以及用于管理目標(biāo)服務(wù)器的基于角色的訪問控制(RBAC)。

Windows Admin Center支持Microsoft Edge（Windows 10，版本1709或更高版本）、Google Chrome和Windows 10上的Microsoft Edge。可以在Windows 10電腦或Windows服務(wù)器上安裝Windows Admin Center。

如果在服務(wù)器上安裝Windows Admin Center，則它將作為網(wǎng)關(guān)運(yùn)行，且在主機(jī)服務(wù)器上沒有UI。在這種情況下，管理員可以通過HTTPS會話登錄到服務(wù)器，該會話由主機(jī)上的自簽名安全證書提供保護(hù)。但是，更好的做法是使用來自受信任的證書頒發(fā)機(jī)構(gòu)的適當(dāng)SSL證書進(jìn)行登錄，因為受支持的瀏覽器會將自簽名連接視為不安全，即使通過受信任的VPN連接到本地IP地址也是如此。

若要了解有關(guān)組織的安裝選項的更多信息，請參閱哪種類型的安裝適合你？。

·CredSSP是一種身份驗證提供程序，在少數(shù)情況下，Windows Admin Center使用該身份驗證提供程序?qū){據(jù)傳遞給你要管理的特定服務(wù)器之外的計算機(jī)。Windows Admin Center當(dāng)前需要CredSSP執(zhí)行以下操作：

創(chuàng)建新群集。

訪問“更新”工具以使用“故障轉(zhuǎn)移群集”或“群集感知更新”功能。

管理VM中的非聚合SMB存儲。

有關(guān)詳細(xì)地信息，請參閱Windows Admin Center是否使用CredSSP？

·Windows Admin Center中的基于角色的訪問控制(RBAC)允許用戶以有限的權(quán)限訪問需要管理的服務(wù)器，而不是使其完全成為本地管理員。若要在Windows Admin Center中使用RBAC，請為每個托管服務(wù)器配置一個PowerShell Just Enough Administration終結(jié)點。

有關(guān)詳細(xì)信息，請參閱基于角色的訪問控制和Just Enough Administration。

·Windows Admin Center中可用于管理和保護(hù)標(biāo)識的安全工具包括Active Directory、證書、防火墻、本地用戶和組等。

有關(guān)詳細(xì)信息，請參閱使用Windows Admin Center管理服務(wù)器。

第2部分：使用Azure安全中心

Azure安全中心是一個統(tǒng)一的基礎(chǔ)結(jié)構(gòu)安全管理系統(tǒng)，可增強(qiáng)數(shù)據(jù)中心的安全態(tài)勢，并跨云和本地中的混合工作負(fù)載提供高級威脅防護(hù)。安全中心為你提供了一些工具，可用于評估你的網(wǎng)絡(luò)的安全狀態(tài)、保護(hù)工作負(fù)載、發(fā)出安全警報，并遵循特定建議來緩解攻擊影響并解決未來的威脅。通過利用Azure服務(wù)實現(xiàn)自動配置和提供保護(hù)，安全中心可以在云中高速執(zhí)行所有這些服務(wù)，且沒有部署開銷。

安全中心通過在這些資源上安裝Log Analytics代理來保護(hù)Windows服務(wù)器和Linux服務(wù)器的VM。Azure將代理收集的事件與用于確保工作負(fù)載安全而執(zhí)行的建議（強(qiáng)化任務(wù)）進(jìn)行關(guān)聯(lián)?；诎踩罴炎龇ǖ膹?qiáng)化任務(wù)包括管理和強(qiáng)制實施安全策略。然后，你可以通過安全中心的監(jiān)視功能來跟蹤結(jié)果，并隨時間推移管理合規(guī)性和實施治理，同時減少所有資源的受攻擊面。

管理用戶對Azure資源和訂閱的訪問是Azure治理策略的重要組成部分。Azure基于角色的訪問控制(RBAC)是在Azure中管理訪問權(quán)限的主要方法。有關(guān)詳細(xì)信息，請參閱使用基于角色的訪問控制管理對Azure環(huán)境的訪問。

通過Windows Admin Center使用安全中心需要Azure訂閱。若要開始，請參閱將Azure安全中心與Windows管理中心集成。

注冊后，在Windows Admin Center中訪問安全中心：在“所有連接”頁上，選擇服務(wù)器或VM，在“工具”下，選擇“Azure安全中心”，然后選擇“登錄到Azure”。

有關(guān)詳細(xì)信息，請參閱什么是Azure安全中心？

第3部分：添加高級安全

以下各節(jié)推薦高級安全工具和技術(shù)，可幫助進(jìn)一步強(qiáng)化在你的環(huán)境中運(yùn)行Azure Stack HCI操作系統(tǒng)的服務(wù)器。

強(qiáng)化環(huán)境

·Microsoft安全基線基于microsoft提供的安全建議，通過與商業(yè)組織和美國政府（如防御部門）的合作關(guān)系獲得。安全基線包括推薦的用于Windows防火墻、Windows Defender的安全設(shè)置，還有很多其他內(nèi)容。

安全基線作為組策略對象(GPO)備份提供，可以將其導(dǎo)入Active Directory域服務(wù)(AD DS)，然后部署到已加入域的服務(wù)器以增強(qiáng)環(huán)境防御能力。還可以使用本地腳本工具配置具有安全基線的獨立（未加入域的）服務(wù)器。若要開始使用安全基線，請下載Microsoft安全合規(guī)性工具包1.0。

有關(guān)詳細(xì)信息，請參閱Microsoft安全基線。

保護(hù)數(shù)據(jù)

·強(qiáng)化Hyper-V環(huán)境要求對VM上運(yùn)行的Windows Server進(jìn)行強(qiáng)化，這和強(qiáng)化物理服務(wù)器上運(yùn)行的操作系統(tǒng)的方式一樣。由于虛擬環(huán)境通常具有共享同一物理主機(jī)的多個VM，因此必須同時保護(hù)物理主機(jī)和在其上運(yùn)行的VM。導(dǎo)致主機(jī)受影響的攻擊者可以影響多個VM，對工作負(fù)載和服務(wù)的影響更大。本節(jié)討論可用于在Hyper-V環(huán)境中強(qiáng)化Windows Server的以下方法：

Windows Server中的虛擬受信任的平臺模塊(vTPM)支持VM的TPM，它使你可以使用高級安全技術(shù)，例如VM中的BitLocker。你可以使用Hyper-V管理器或Enable-VMTPM Windows PowerShell cmdlet在任何第2代Hyper-V VM上啟用TPM支持。

有關(guān)詳細(xì)信息，請參閱Enable-VMTPM。

Azure Stack HCI和Windows Server中的軟件定義網(wǎng)絡(luò)(SDN)集中配置和管理物理和虛擬網(wǎng)絡(luò)設(shè)備，例如數(shù)據(jù)中心中的路由器、交換機(jī)和網(wǎng)關(guān)。虛擬網(wǎng)絡(luò)元素（例如Hyper-V虛擬交換機(jī)、Hyper-V網(wǎng)絡(luò)虛擬化和RAS網(wǎng)關(guān)）的作用是充當(dāng)SDN基礎(chǔ)結(jié)構(gòu)的構(gòu)成部分。

有關(guān)詳細(xì)信息，請參閱軟件定義的網(wǎng)絡(luò)(SDN)。

備注

Azure Stack HCI不支持受防護(hù)的Vm。

保護(hù)標(biāo)識

·本地管理員密碼解決方案(LAPS)是一種輕型機(jī)制，適用于Active Directory加入域的系統(tǒng)，會定期將每臺計算機(jī)的本地管理員帳戶密碼設(shè)置為新的隨機(jī)值和唯一值。密碼存儲在Active Directory中的相應(yīng)計算機(jī)對象上的安全機(jī)密屬性中，只有專門的授權(quán)用戶才能檢索到它們。LAPS使用本地帳戶進(jìn)行遠(yuǎn)程計算機(jī)管理，其應(yīng)用方式與使用域帳戶相比具有一些優(yōu)勢。有關(guān)詳細(xì)信息，請參閱遠(yuǎn)程使用本地帳戶：LAPS改變一切。

若要開始使用LAPS，請下載本地管理員密碼解決方案(LAPS)。

·Microsoft高級威脅分析(ATA)是一種本地產(chǎn)品，可用于幫助檢測嘗試破壞特權(quán)標(biāo)識的攻擊者。ATA會出于一些目的而分析網(wǎng)絡(luò)流量，如進(jìn)行身份驗證、授權(quán)及遵守信息收集協(xié)議，例如Kerberos和DNS。ATA使用這些數(shù)據(jù)來構(gòu)建網(wǎng)絡(luò)上用戶和其他實體的行為配置文件，以檢測異常和已知攻擊模式。

有關(guān)詳細(xì)信息，請參閱什么是高級威脅分析？。

·Windows Defender遠(yuǎn)程Credential Guard通過遠(yuǎn)程桌面連接來保護(hù)憑據(jù)，方法是將Kerberos請求重定向回發(fā)出連接請求的設(shè)備。它還為遠(yuǎn)程桌面會話提供單一登錄(SSO)。在遠(yuǎn)程桌面會話期間，如果目標(biāo)設(shè)備遭到入侵，憑據(jù)不會暴露，因為憑據(jù)和憑據(jù)衍生內(nèi)容永遠(yuǎn)不會通過網(wǎng)絡(luò)傳遞到目標(biāo)設(shè)備。

有關(guān)詳細(xì)信息，請參閱管理Windows Defender Credential Guard。