Freigeben über

Aktivieren des Just-in-Time-Zugriffs

Defender für Server in Microsoft Defender für Cloud bietet eine Just-in-Time-Computerzugriffsfunktion.

Sie können den Just-in-Time-Zugriff von Microsoft Defender für Cloud verwenden, um Ihre Azure-VMs vor unbefugtem Netzwerkzugriff zu schützen. Häufig enthalten Firewalls Zulassungsregeln, die Ihre virtuellen Computer anfällig für Angriffe lassen. JIT ermöglicht Ihnen den Zugriff auf Ihre virtuellen Computer nur, wenn der Zugriff erforderlich ist, auf den erforderlichen Ports und für den erforderlichen Zeitraum.

In diesem Artikel erfahren Sie, wie Sie Just-in-Time-Zugriff einrichten und verwenden können, einschließlich, wie man:

  • Just-in-Time auf virtuellen Computern über das Azure-Portal oder programmgesteuert aktivieren
  • Anfordern des Zugriffs auf einen virtuellen Computer mit Just-in-Time-Zugriff über das Azure-Portal oder programmgesteuert
  • Überwachen der Just-in-Time-Zugriffsaktivität , um sicherzustellen, dass Ihre virtuellen Computer ordnungsgemäß gesichert sind

Voraussetzungen

  • Microsoft Defender für Server Plan 2 muss im Abonnement aktiviert sein.

  • Unterstützte VMs: VMs, die über Azure Resource Manager bereitgestellt werden, VMs, die von Azure Firewalls auf demselben VNET wie die VM, AWS EC2-Instanzen (Vorschau) geschützt sind.

  • Nicht unterstützte VMs: VMs, die mit klassischen Bereitstellungsmodellen bereitgestellt wurden, VMs, die durch Azure Firewalls geschützt sind, die von Azure Firewall Manager gesteuert werden.

  • Um just-in-time-Zugriff auf Ihre AWS-VMs einzurichten, müssen Sie Ihr AWS-Konto mit Microsoft Defender for Cloud verbinden.

  • Um eine JIT-Richtlinie zu erstellen, darf der Richtlinienname zusammen mit dem Ziel-VM-Namen maximal 56 Zeichen überschreiten.

  • Sie benötigen Lese - und SecurityReader-Berechtigungen , oder eine benutzerdefinierte Rolle kann den JIT-Status und die Parameter anzeigen.

  • Weisen Sie für eine benutzerdefinierte Rolle die in der Tabelle zusammengefassten Berechtigungen zu. Um eine Rolle mit den geringsten Rechten für Benutzer zu erstellen, die nur JIT-Zugriff auf einen virtuellen Computer anfordern müssen, verwenden Sie das skriptSet-JitLeastPrivilegedRole.

Aktion des Benutzers Zu setzende Berechtigungen
Konfigurieren oder Bearbeiten einer JIT-Richtlinie für einen virtuellen Computer Weisen Sie der Rolle diese Aktionen zu:
  • Im Bereich eines Abonnements (oder einer Ressourcengruppe, wenn nur API oder PowerShell verwendet wird), die der VM zugeordnet ist:
    Microsoft.Security/locations/jitNetworkAccessPolicies/write
  • Im Bereich eines Abonnements (oder einer Ressourcengruppe, wenn nur API oder PowerShell verwendet wird) der VM:
    Microsoft.Compute/virtualMachines/write
Anfordern des JIT-Zugriffs auf einen virtuellen Computer Weisen Sie dem Benutzer diese Aktionen zu:
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/networkInterfaces/*/read
  • Microsoft.Network/publicIPAddresses/read
Lesen von JIT-Richtlinien Weisen Sie dem Benutzer diese Aktionen zu:
  • Microsoft.Security/locations/jitNetworkAccessPolicies/read
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/policies/read
  • Microsoft.Security/pricings/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/*/read

Hinweis

Nur die Microsoft.Security Berechtigungen sind für AWS relevant. Um eine Rolle mit den geringsten Rechten für Benutzer zu erstellen, die nur JIT-Zugriff auf einen virtuellen Computer anfordern müssen, verwenden Sie das skript Set-JitLeastPrivilegedRole.

Arbeiten mit JIT-VM-Zugriff mit Microsoft Defender für Cloud

Sie können Defender für Cloud verwenden oder den JIT-VM-Zugriff programmgesteuert mit Ihren eigenen benutzerdefinierten Optionen aktivieren, oder Sie können JIT mit standardmäßigen hartcodierten Parametern von virtuellen Azure-Computern aktivieren.

Der Just-in-Time-VM-Zugriff zeigt Ihre virtuellen Computer gruppiert an:

  • Konfiguriert – Virtuelle Computer, die für die Unterstützung des Just-in-Time-VM-Zugriffs konfiguriert sind, und zeigt Folgendes an:
    • die Anzahl der genehmigten JIT-Anforderungen in den letzten sieben Tagen
    • Datum und Uhrzeit des letzten Zugriffs
    • die konfigurierten Verbindungsdetails
    • der letzte Benutzer
  • Nicht konfiguriert – VMs ohne JIT aktiviert, aber das kann JIT unterstützen. Es wird empfohlen, JIT für diese virtuellen Computer zu aktivieren.
  • Nicht unterstützt – VMs, die JIT nicht unterstützen, weil:
    • Fehlende Netzwerksicherheitsgruppe (NSG) oder Azure Firewall – JIT erfordert, dass eine NSG konfiguriert oder eine Firewallkonfiguration (oder beides) konfiguriert werden muss.
    • Klassische VM – JIT unterstützt VMs, die über Azure Resource Manager bereitgestellt werden.
    • Andere – Die JIT-Lösung ist in der Sicherheitsrichtlinie des Abonnements oder der Ressourcengruppe deaktiviert.

Aktivieren von JIT auf Ihren virtuellen Computern von Microsoft Defender für Cloud

Von Defender für Cloud können Sie den JIT-VM-Zugriff aktivieren und konfigurieren.

  1. Öffnen Sie Arbeitsauslastungsschutz, und wählen Sie in den erweiterten Schutzfunktionen just-in-time-VM-Zugriff aus.

    Screenshot mit Workload-Schutz und Just-in-Time-VM-Zugriff in Microsoft Defender für Cloud.

  2. Markieren Sie auf der Registerkarte "Nicht konfigurierte virtuelle Computer" die virtuellen Computer, die mit JIT geschützt werden sollen, und wählen Sie "JIT auf virtuellen Computern aktivieren" aus.

    Die JIT-VM-Zugriffsseite wird geöffnet, auf der die empfohlenen Ports aufgelistet werden, die Defender für Cloud zu schützen empfiehlt.

    • 22 – SSH
    • 3389 - RDP
    • 5985 - WinRM
    • 5986 - WinRM

    So passen Sie den JIT-Zugriff an:

    1. Wählen Sie Hinzufügen aus.

    2. Wählen Sie einen der Ports in der Liste aus, um sie zu bearbeiten oder andere Ports einzugeben. Für jeden Port können Sie Folgendes festlegen:

      • Protokoll
      • Zulässige Quell-IPs
      • Maximale Anforderungszeit

    3. Wählen Sie OK aus.

  3. Um die Portkonfiguration zu speichern, wählen Sie "Speichern" aus.

Bearbeiten der JIT-Konfiguration auf einer JIT-fähigen VM mithilfe von Defender für Cloud

Sie können die Just-in-Time-Konfiguration eines virtuellen Computers ändern, indem Sie einen neuen Port hinzufügen und konfigurieren, um diesen virtuellen Computer zu schützen, oder indem Sie eine andere Einstellung im Zusammenhang mit einem bereits geschützten Port ändern.

So bearbeiten Sie die vorhandenen JIT-Regeln für einen virtuellen Computer:

  1. Öffnen Sie Arbeitsauslastungsschutz, und wählen Sie in den erweiterten Schutzfunktionen just-in-time-VM-Zugriff aus.

  2. Klicken Sie auf der Registerkarte "Konfigurierte virtuelle Computer" mit der rechten Maustaste auf einen virtuellen Computer, und wählen Sie "Bearbeiten" aus.

  3. In der JIT-VM-Zugriffskonfiguration können Sie entweder die Portliste bearbeiten oder einen neuen benutzerdefinierten Port hinzufügen auswählen.

  4. Wenn Sie die Bearbeitung der Ports abgeschlossen haben, wählen Sie "Speichern" aus.

Anfordern des Zugriffs auf einen JIT-fähigen virtuellen Computer von Microsoft Defender für Cloud

Wenn ein virtueller Computer JIT aktiviert hat, müssen Sie den Zugriff anfordern, um eine Verbindung damit herzustellen. Sie können Zugriff auf jede der unterstützten Arten anfordern, unabhängig davon, wie Sie JIT aktiviert haben.

  1. Wählen Sie auf der Seite "Just-in-Time-VM-Zugriff " die Registerkarte "Konfiguriert " aus.

  2. Wählen Sie die virtuellen Computer aus, auf die Sie zugreifen möchten.

    • Das Symbol in der Spalte "Verbindungsdetails " gibt an, ob JIT in der Netzwerksicherheitsgruppe oder Firewall aktiviert ist. Wenn sie für beide aktiviert ist, wird nur das Firewallsymbol angezeigt.

    • In der Spalte "Verbindungsdetails " werden der Benutzer und die Ports angezeigt, die auf den virtuellen Computer zugreifen können.

  3. Wählen Sie Zugriff anfordern aus. Das Fenster "Zugriff anfordern " wird geöffnet.

  4. Wählen Sie unter "Zugriff anfordern" die Ports aus, die Sie für jeden virtuellen Computer öffnen möchten, die Quell-IP-Adressen, auf denen der Port geöffnet werden soll, und das Zeitfenster zum Öffnen der Ports.

  5. Wählen Sie "Ports öffnen" aus.

    Hinweis

    Wenn ein Benutzer, der den Zugriff anfordert, hinter einem Proxy liegt, können Sie den IP-Adressbereich des Proxys eingeben.

Andere Möglichkeiten zum Arbeiten mit JIT-VM-Zugriff

Virtuelle Azure-Computer

Aktivieren Sie JIT auf Ihren Azure-VMs

Sie können JIT auf einem virtuellen Computer auf den Azure-Computerseiten des Azure-Portals aktivieren.

Tipp

Wenn eine VM bereits JIT aktiviert hat, zeigt die VM-Konfigurationsseite an, dass JIT aktiviert ist. Sie können den Link verwenden, um die JIT-VM-Zugriffsseite in Defender für Cloud zu öffnen, um die Einstellungen anzuzeigen und zu ändern.

  1. Suchen Sie im Azure-Portal nach virtuellen Computern, und wählen Sie sie aus.

  2. Wählen Sie den virtuellen Computer aus, den Sie mit JIT schützen möchten.

  3. Wählen Sie im Menü " Konfiguration" aus.

  4. Wählen Sie unter "Just-in-Time-Zugriff" die Option "Just-in-Time aktivieren" aus.

    Standardmäßig gelten für den Just-in-Time-Zugriff auf die VM die folgenden Einstellungen:

    • Windows-Computer:
      • RDP-Port: 3389
      • Maximal zulässiger Zugriff: 3 Stunden
      • Zulässige Quell-IP-Adressen: beliebige
    • Linux-Computer:
      • SSH-Port: 22
      • Maximal zulässiger Zugriff: 3 Stunden
      • Zulässige Quell-IP-Adressen: beliebige

  5. Wenn Sie einen dieser Werte bearbeiten oder ihrer JIT-Konfiguration weitere Ports hinzufügen möchten, verwenden Sie die Just-in-Time-Seite von Microsoft Defender für Cloud:

    1. Wählen Sie im Menü von Defender für Cloud den Just-in-Time-VM-Zugriff aus.

    2. Klicken Sie auf der Registerkarte " Konfiguriert " mit der rechten Maustaste auf den virtuellen Computer, dem Sie einen Port hinzufügen möchten, und wählen Sie "Bearbeiten" aus.

      Screenshot der Bearbeitung von Just-in-Time-VM-Zugriffseinstellungen mit zulässigen Ports und Zugriffsdaueroptionen.

    3. Unter der KONFIGURATION des JIT-VM-Zugriffs können Sie entweder die vorhandenen Einstellungen eines bereits geschützten Ports bearbeiten oder einen neuen benutzerdefinierten Port hinzufügen.

    4. Wenn Sie die Bearbeitung der Ports abgeschlossen haben, wählen Sie "Speichern" aus.

Anfordern des Zugriffs auf einen JIT-fähigen virtuellen Computer über die Seite "Verbinden" des virtuellen Azure-Computers

Wenn ein virtueller Computer einen JIT aktiviert hat, müssen Sie den Zugriff anfordern, um eine Verbindung damit herzustellen. Sie können Zugriff auf jede der unterstützten Arten anfordern, unabhängig davon, wie Sie JIT aktiviert haben.

Screenshot einer Just-in-Time-VM-Zugriffsanforderung mit ausgewählten Ports und Zugriffsdauer.

So fordern Sie den Zugriff von virtuellen Azure-Computern an:

  1. Öffnen Sie im Azure-Portal die Seiten mit den virtuellen Computern.

  2. Wählen Sie die VM aus, mit der Sie eine Verbindung herstellen möchten, und öffnen Sie die Seite Verbinden.

    Azure prüft, ob JIT auf diesem virtuellen Computer aktiviert ist.

    • Wenn JIT für den virtuellen Computer nicht aktiviert ist, werden Sie aufgefordert, es zu aktivieren.
    • Wenn JIT aktiviert ist, wählen Sie Zugriff anfordern aus, um eine Zugriffsanforderung mit der anfordernden IP-Adresse, dem Zeitbereich und den Ports zu übergeben, die für diese VM konfiguriert wurden.

Hinweis

Nachdem eine Anforderung für einen virtuellen Computer genehmigt wurde, der durch die Azure Firewall geschützt ist, stellt Defender für Cloud dem Benutzer die richtigen Verbindungsdetails (die Portzuordnung aus der DNAT-Tabelle) bereit, um eine Verbindung mit der VM herzustellen.

PowerShell

Aktivieren von JIT auf Ihren virtuellen Computern mithilfe von PowerShell

Um den Just-in-Time-VM-Zugriff über PowerShell zu aktivieren, verwenden Sie das offizielle Microsoft Defender für Cloud PowerShell-Cmdlet Set-AzJitNetworkAccessPolicy.

Beispiel : Aktivieren Sie den Just-in-Time-VM-Zugriff auf einen bestimmten virtuellen Computer mit den folgenden Regeln:

  • Schließen von Ports 22 und 3389
  • Legen Sie für die Ports ein maximales Zeitfenster von drei Stunden fest, damit sie bei genehmigter Anforderung geöffnet werden können.
  • Erlauben Sie dem Benutzer, der den Zugriff anfordert, die Quell-IP-Adressen zu kontrollieren.
  • Zulassen, dass der Benutzer, der Zugriff anfordert, bei einer genehmigten Just-in-Time-Zugriffsanforderung eine erfolgreiche Sitzung einrichten kann

Die folgenden PowerShell-Befehle erstellen diese JIT-Konfiguration:

  1. Weisen Sie eine Variable zu, die die Just-in-Time-VM-Zugriffsregeln für einen virtuellen Computer enthält:

    $JitPolicy = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"},
        @{
        number=3389;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"})})

  2. Fügen Sie die Just-in-Time-Zugriffsregeln für einen virtuellen Computer in ein Array ein.

    $JitPolicyArr=@($JitPolicy)

  3. Konfigurieren Sie die Just-in-Time-VM-Zugriffsregeln auf dem ausgewählten virtuellen Computer:

    Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr

    Verwenden Sie den parameter -Name, um einen virtuellen Computer anzugeben. Um beispielsweise die JIT-Konfiguration für zwei verschiedene VMs, VM1 und VM2 einzurichten, verwenden Sie Folgendes: Set-AzJitNetworkAccessPolicy -Name VM1 und Set-AzJitNetworkAccessPolicy -Name VM2.

Anfordern des Zugriffs auf eine JIT-fähige VM mithilfe von PowerShell

Im folgenden Beispiel sehen Sie eine Just-in-Time-VM-Zugriffsanforderung auf einen bestimmten virtuellen Computer für Port 22, für eine bestimmte IP-Adresse und für einen bestimmten Zeitraum:

Führen Sie die folgenden Befehle in PowerShell aus:

  1. Konfigurieren sie die Zugriffseigenschaften der VM-Anforderung:

    $JitPolicyVm1 = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        endTimeUtc="2020-07-15T17:00:00.3658798Z";
        allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

  2. Fügen Sie die Parameter für die VM-Zugriffsanforderung in ein Array ein:

    $JitPolicyArr=@($JitPolicyVm1)

  3. Senden des Anforderungszugriffs (Verwenden der Ressourcen-ID aus Schritt 1)

    Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

Weitere Informationen finden Sie in der PowerShell-Cmdlet-Dokumentation.

REST API

Aktivieren von JIT auf Ihren virtuellen Computern mithilfe der REST-API

Die Just-in-Time-VM-Zugriffsfunktion kann über die Microsoft Defender für Cloud-API verwendet werden. Verwenden Sie diese API, um Informationen zu konfigurierten VMs abzurufen, neue hinzuzufügen, Zugriff auf einen virtuellen Computer anzufordern und vieles mehr.

Weitere Informationen finden Sie unter JIT-Netzwerkzugriffsrichtlinien.

Anfordern des Zugriffs auf eine JIT-fähige VM mithilfe der REST-API

Die Just-in-Time-VM-Zugriffsfunktion kann über die Microsoft Defender für Cloud-API verwendet werden. Verwenden Sie diese API, um Informationen zu konfigurierten VMs abzurufen, neue hinzuzufügen, Zugriff auf einen virtuellen Computer anzufordern und vieles mehr.

Weitere Informationen finden Sie unter JIT-Netzwerkzugriffsrichtlinien.

Überwachen der JIT-Zugriffsaktivität in Defender für Cloud

Mithilfe der Protokollsuche erhalten Sie Einblicke in VM-Aktivitäten. So sehen Sie die Protokolle:

  1. Wählen Sie unter Just-in-Time-VM-Zugriff die Registerkarte Konfiguriert aus.

  2. Öffnen Sie für den virtuellen Computer, den Sie überwachen möchten, das Auslassungszeichenmenü am Ende der Zeile.

  3. Wählen Sie im Menü "Aktivitätsprotokoll " aus.

    Screenshot der Auswahl des Just-in-Time-Vm-Zugriffsaktivitätsprotokolls in Defender für Cloud.

    Das Aktivitätsprotokoll stellt eine gefilterte Ansicht der vorherigen Vorgänge für diesen virtuellen Computer zusammen mit Uhrzeit, Datum und Abonnement bereit.

  4. Um die Protokollinformationen herunterzuladen, wählen Sie "Als CSV herunterladen" aus.

Nächster Schritt