Azure Stack HCI 安全注意事项

小提示：您能找到这篇{Azure Stack HCI 安全注意事项}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Azure Stack HCI 安全注意事项内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

适用于：Azure Stack HCI版本20H2；Windows Server 2019

本主题介绍与Azure Stack HCI操作系统有关的安全注意事项并提供相关建议：

第1部分介绍基本安全工具和技术，它们用于增强操作系统，保护数据和身份以有效地为你的组织构建安全基础。

第2部分介绍通过Azure安全中心提供的资源。

第3部分介绍更高级的安全注意事项，可帮助进一步优化你的组织在这些领域的安全状况。

为什么安全注意事项非常重要？

从上层管理人员到信息工作者，安全会影响组织中的每个人。安全性不足对于组织来说是真正的风险，因为安全漏洞可能会破坏所有正常业务，并导致组织停摆。越早检测到潜在攻击，就可以越快减轻安全方面的任何风险。

在出于利用环境弱点的目的研究了这些弱点之后，攻击者通常可以在初步减弱环境安全防控后的24到48小时内提升权限，控制网络中的系统。良好的安全措施可以增强环境中系统的防御能力，通过阻挡攻击者的行动，可将攻击者尝试控制系统所耗用的时间从数小时延长至数周甚至数月。实施本主题中介绍的安全建议使你的组织能够尽快检测到和应对这类攻击。

第1部分：构建安全基础

以下各节推荐可用于为环境中运行Azure Stack HCI操作系统的服务器构建安全基础的安全工具和技术。

强化环境

本部分讨论如何保护在操作系统上运行的服务和虚拟机(VM)：

Azure Stack HCI认证的硬件提供一致的安全启动、UEFI和现成的TPM设置。将基于虚拟化的安全性和经过认证的硬件结合起来，可帮助保护对安全性敏感的工作负载。还可以将此受信任的基础结构连接到Azure安全中心，激活行为分析和报告，以应对快速变化的工作负载和威胁。

安全启动是电脑行业开发的安全标准，旨在确保设备仅使用原始设备制造商(OEM)信任的软件进行启动。有关详细信息，请参阅安全启动。

“统一可扩展固件接口(UEFI)”可控制服务器的启动过程，然后将控制权传递给Windows或其他操作系统。有关详细信息，请参阅UEFI固件要求。

受信任的平台模块(TPM)技术提供基于硬件的安全性相关功能。TPM芯片是一种安全的加密处理器，用于生成、存储加密密钥和限制密钥的使用。有关详细信息，请参阅受信任的平台模块技术概述。

若要详细了解Azure Stack HCI认证的硬件提供商，请参阅Azure Stack HCI解决方案网站。

Device Guard和Credential Guard。Device Guard可以防止不具有已知签名的恶意软件、未签名的代码以及可以访问内核的恶意软件捕获敏感信息或损坏系统。Windows Defender凭据保护使用基于虚拟化的安全性来隔离密钥，以便只有特权系统软件可以访问它们。

有关详细信息，请参阅管理Windows Defender Credential Guard并下载Device Guard和Credential Guard硬件就绪工具。

Windows和固件更新在群集、服务器（包括来宾VM）和电脑上非常重要，可帮助确保操作系统和系统硬件免受攻击者的影响。可以使用Windows Admin Center的“更新”工具将更新应用到各个系统。如果你的硬件提供商提供用于获取驱动程序、固件和解决方案更新的Windows Admin Center支持，你可以在Windows更新的同时获取这些更新，否则需要直接从供应商处获取这些更新。

有关详细信息，请参阅更新群集。

若要一次管理多个群集和服务器上的更新，请考虑订阅与Windows Admin Center集成的可选的Azure更新管理服务。有关详细信息，请参阅使用Windows Admin Center的Azure更新管理。

保护数据

本部分讨论如何使用Windows Admin Center来保护操作系统上的数据和工作负载：

用于存储空间的BitLocker可保护静态数据。可以使用BitLocker为操作系统上存储空间数据卷的内容进行加密。使用BitLocker保护数据有助于组织遵守政府、区域和特定于行业的标准，如FIPS 140-2和HIPAA。

若要详细了解如何在Windows Admin Center中使用BitLocker，请参阅启用卷加密、重复数据删除和压缩

Windows网络的SMB加密可保护传输中的数据。服务器消息块(SMB)是一种网络文件共享协议，该协议允许计算机上的应用程序读取和写入文件，以及通过计算机网络中的服务器程序请求服务。

若要启用SMB加密，请参阅SMB安全性增强。

Windows Admin Center中的Windows Defender防病毒功能可保护客户端和服务器上的操作系统免受病毒、恶意软件、间谍软件和其他威胁的侵害。有关详细信息，请参阅Windows Server 2016和2019上的Microsoft Defender防病毒。

保护标识

本部分讨论如何使用Windows Admin Center来保护特权标识：

访问控制可以提高环境管理的安全性。如果使用的是Windows Admin Center服务器（相对于Windows 10电脑上运行的服务器），则可以控制对Windows Admin Center本身的两个级别的访问：网关用户和网关管理员。网关管理员标识提供程序选项包括：

用于强制执行智能卡身份验证的Active Directory或本地计算机组。

用于强制执行条件访问和多重身份验证的Azure Active Directory。

有关详细信息，请参阅用户的Windows管理中心访问选项和配置用户访问控制和权限。

流往Windows Admin Center的浏览器流量使用HTTPS。从Windows Admin Center流往托管服务器的流量通过“Windows远程管理(WinRM)”使用标准PowerShell和Windows Management Instrumentation(WMI)。Windows Admin Center支持本地管理员密码解决方案(LAPS)、基于资源的约束委派、使用Active Directory(AD)或Microsoft Azure Active Directory(Azure AD)的网关访问控制，以及用于管理目标服务器的基于角色的访问控制(RBAC)。

Windows Admin Center支持Microsoft Edge（Windows 10，版本1709或更高版本）、Google Chrome和Windows 10上的Microsoft Edge。可以在Windows 10电脑或Windows服务器上安装Windows Admin Center。

如果在服务器上安装Windows Admin Center，则它将作为网关运行，且在主机服务器上没有UI。在这种情况下，管理员可以通过HTTPS会话登录到服务器，该会话由主机上的自签名安全证书提供保护。但是，更好的做法是使用来自受信任的证书颁发机构的推广投放渠道适当SSL证书进行登录，因为受支持的浏览器会将自签名连接视为不安全，即使通过受信任的VPN连接到本地IP地址也是如此。

若要了解有关组织的安装选项的更多信息，请参阅哪种类型的安装适合你？。

CredSSP是一种身份验证提供程序，在少数情况下，Windows Admin Center使用该身份验证提供程序将凭据传递给你要管理的特定服务器之外的计算机。Windows Admin Center当前需要CredSSP执行以下操作：

创建新群集。

访问“更新”工具以使用“故障转移群集”或“群集感知更新”功能。

管理VM中的非聚合SMB存储。

有关详细地信息，请参阅Windows Admin Center是否使用CredSSP？

Windows Admin Center中的基于角色的访问控制(RBAC)允许用户以有限的权限访问需要管理的服务器，而不是使其完全成为本地管理员。若要在Windows Admin Center中使用RBAC，请为每个托管服务器配置一个PowerShell Just Enough Administration终结点。

有关详细信息，请参阅基于角色的访问控制和Just Enough Administration。

Windows Admin Center中可用于管理和保护标识的安全工具包括Active Directory、证书、防火墙、本地用户和组等。

有关详细信息，请参阅使用Windows Admin Center管理服务器。

第2部分：使用Azure安全中心

Azure安全中心是一个统一的基础结构安全管理系统，可增强数据中心的安全态势，并跨云和本地中的混合工作负载提供高级威胁防护。安全中心为你提供了一些工具，可用于评估你的网络的安全状态、保护工作负载、发出安全警报，并遵循特定建议来缓解攻击影响并解决未来的威胁。通过利用Azure服务实现自动配置和提供保护，安全中心可以在云中高速执行所有这些服务，且没有部署开销。

安全中心通过在这些资源上安装Log Analytics代理来保护Windows服务器和Linux服务器的VM。Azure将代理收集的事件与用于确保工作负载安全而执行的建议（强化任务）进行关联。基于安全最佳做法的强化任务包括管理和强制实施安全策略。然后，你可以通过安全中心的监视功能来跟踪结果，并随时间推移管理合规性和实施治理，同时减少所有资源的受攻击面。

管理用户对Azure资源和订阅的访问是Azure治理策略的重要组成部分。Azure基于角色的访问控制(RBAC)是在Azure中管理访问权限的主要方法。有关详细信息，请参阅使用基于角色的访问控制管理对Azure环境的访问。

通过Windows Admin Center使用安全中心需要Azure订阅。若要开始，请参阅将Azure安全中心与Windows管理中心集成。

注册后，在Windows Admin Center中访问安全中心：在“所有连接”页上，选择服务器或VM，在“工具”下，选择“Azure安全中心”，然后选择“登录到Azure”。

有关详细信息，请参阅什么是Azure安全中心？

第3部分：添加高级安全

以下各节推荐高级安全工具和技术，可帮助进一步强化在你的环境中运行Azure Stack HCI操作系统的服务器。

强化环境

Microsoft安全基线基于microsoft提供的安全建议，通过与商业组织和美国政府（如防御部门）的合作关系获得。安全基线包括推荐的用于Windows防火墙、Windows Defender的安全设置，还有很多其他内容。

安全基线作为组策略对象(GPO)备份提供，可以将其导入Active Directory域服务(AD DS)，然后部署到已加入域的服务器以增强环境防御能力。还可以使用本地脚本工具配置具有安全基线的独立（未加入域的）服务器。推广宣传渠道有哪些若要开始使用安全基线，请下载Microsoft安全合规性工具包1.0。

有关详细信息，请参阅Microsoft安全基线。

保护数据

强化Hyper-V环境要求对VM上运行的Windows Server进行强化，这和强化物理服务器上运行的操作系统的方式一样。由于虚拟环境通常具有共享同一物理主机的多个VM，因此必须同时保护物理主机和在其上运行的VM。导致主机受影响的攻击者可以影响多个VM，对工作负载和服务的影响更大。本节讨论可用于在Hyper-V环境中强化Windows Server的以下方法：

Windows Server中的虚拟受信任的平台模块(vTPM)支持VM的TPM，它使你可以使用高级安全技术，例如VM中的BitLocker。你可以使用Hyper-V管海底捞处理公关危机理器或Enable-VMTPM Windows PowerShell cmdlet在任何第2代Hyper-V VM上启用TPM支持。

有关详细信息，请参阅Enable-VMTPM。

Azure Stack HCI和Windows Server中的软件定义网络(SDN)集中配置和管理物理和虚拟网络设备，例如数据中心中的路由器、交换机和网关。虚拟网络元素（例如Hyper-V虚拟交换机、Hyper-V网络虚拟化和RAS网关）的作用是充当SDN基础结构的构成部分。

有关详细信息，请参阅软件定义的网络(SDN)。

备注

Azure Stack HCI不支持受防护的Vm。

保护标识

本地管理员密码解决方案(LAPS)是一种轻型机制，适用于Active Directory加入域的系统，会定期将每台计算机的本地管理员帐户密码设置为新的随机值和唯一值。密码存储在Active Directory中的相应计算机对象上的安全机密属性中，只有专门的授权用户才能检索到它们。LAPS使用本地帐户进行远程计算机管理，其应用方式与使用域帐户相比具有一些优势。有关详细信息，请参阅远程使用本地帐户：LAPS改变一切。

若要开始使用LAPS，请下载本地管理员密码解决方案(LAPS)。

Microsoft高级威胁分析(ATA)是一种本地产品，可用于帮助检测尝试破坏特权标识的攻击者。ATA会出于一些目的而分析网络流量，如进行身份验证、授权及遵守信息收集协议，例如Kerberos和DNS。ATA使用这些数据来构建网络上用户和其他实体的行为配置文件，以检测异常和已知攻击模式。

有关详细信息，请参阅什么是高级威胁分析？。

Windows Defender远程Credential Guard通过远程桌面连接来保护凭据，方法是将Kerberos请求重定向回发出连接请求的设备。它还为远程桌面会话提供单一登录(SSO)。在远程桌面会话期间，如果目标设备遭到入侵，凭据不会暴露，因为凭据和凭据衍生内容永远不会通过网络传递到目标设备。

有关详细信息，请参阅管理Windows Defender Credential Guard。