Freigeben über

Windows Cloud IO Protection

Wichtig

Windows Cloud IO Protection befindet sich in der öffentlichen Vorschau. In den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews finden Sie rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschau oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.

Übersicht: Schützen von Eingaben für Windows 365 Cloud-PCs

Windows 365 Cloud-PCs bereits Sitzungen verschlüsseln und identitätsbasierte Authentifizierungsmethoden wie MFA erzwingen, um Hijacking und Man-in-the-Middle-Angriffe zu verhindern. Bedrohungen, die von Endpunktgeräten auf Windows-Cloudsitzungen abzielen, z. B. Wichtige Protokollierungen, die weiterhin vertrauliche Daten kompromittieren können, was zu Compliancerisiken und finanziellen Verlusten führt.

Windows Cloud IO Protection schließt diese Lücke mit einem Treiber auf Kernelebene und verschlüsselung auf Systemebene, die Tastatureingaben sicher direkt an den Cloud-PC weitergibt und dabei die für Schadsoftware anfälligen Betriebssystemebenen umgeht. Wenn dieses Feature auf einem Cloud-PC oder Azure Virtual Desktop-Sitzungshost aktiviert ist, erzwingt es ein striktes Vertrauensmodell:

  • Nur physische Geräte mit geschützten Endpunkten können eine Verbindung herstellen.

  • Auf Endpunkten muss die Windows Cloud IO Protect-MSI installiert sein, um geschützt zu werden.

Wenn die MSI fehlt, wird die Verbindung blockiert, und eine Fehlermeldung wird angezeigt. Dadurch wird ein sicherer Kanal zwischen der Windows-App und dem Cloud-PC/Azure Virtual Desktop-Sitzungshost sichergestellt, der einen uneingeschränkten Eingabeschutz bietet.

Schritte zum Installieren von Windows Cloud Input Protect MSI

Voraussetzungen:

  • Der Endpunkt muss ein physisches Gerät sein (virtuelle Computer werden nicht unterstützt) mit Windows 11. Das Endpunktgerät muss TPM 2.0 verwenden.

  • Zum Installieren der Windows Cloud IO Protect-MSI muss der Benutzer über lokale Admin-Rechte verfügen.

  1.  Wenn der Benutzer versucht, eine Verbindung von einem physischen Gerät (ohne Windows Cloud Input Protect MSI) mit einem Windows 365 Cloud-PC oder Azure Virtual Desktop-Sitzungshost herzustellen, wird die folgende Fehlermeldung angezeigt.

    Screenshot der Fehlermeldung, dass der Tastaturschutzclient nicht installiert ist.

  2. Der Benutzer kann zwischen zwei Arten von MSI-Installationsprogrammen wählen, um die Msi-Datei "Windows Cloud Input Protect" zu installieren.

  • Windows x64

  • Windows ARM 64

    Führen Sie die Schritte des MSI-Installations-Assistenten wie unten gezeigt aus.

    Screenshot: MSI-Willkommen für den Windows Cloud IO Protection-Treiber.

    Screenshot: Aktivieren der ETW-Protokollierung für den Windows Cloud IO Protection-Treiber

    Screenshot des Bildschirms zum Bestätigen und Starten der Installation des Windows Cloud IO Protection-Treibers.

    Screenshot nach einer erfolgreichen Installation des Windows Cloud IO Protection-Treibers.

    Windows App Voraussetzungen

    Dieses Feature ist nur für die neueste Windows App Version verfügbar (Version sollte 2.0.704.0 oder höher sein). Sie können auf das neueste updaten, das im Microsoft Market verfügbar ist.

    Screenshot: Windows App Version

Konfigurieren von Windows Cloud Input Protection auf Cloud-PC/Azure Virtual Desktop-Sitzungshosts

Derzeit kann das Feature nur mit Gruppenrichtlinie aktiviert werden.

Hinweis

Gruppenrichtlinie Object-Schritte gelten nur für Hybridumgebungen. Support für Entra Join-Kunden wird in Kürze verfügbar sein. Heute kann das Feature für Entra Join-Kunden aktiviert werden, indem die Registrierungsschlüssel wie unten angegeben manuell hinzugefügt werden.

  1. Öffnen der App "Registrierungs-Editor"
  2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
  3. Erstellen Sie ein neues DWORD mit dem Namen fWCIOKeyboardInputProtection und dem Wert 1.

Schritte zum Konfigurieren des Windows Cloud Input Protection

So aktivieren Sie den Windows Cloud-Tastatureingabeschutz auf Ihren Sitzungshosts (Azure Virtual Desktop und Windows 365) mithilfe von Gruppenrichtlinie in einer Active Directory-Domäne:

  1. Stellen Sie die administrative Vorlage für Azure Virtual Desktop in Ihrer Domäne zur Verfügung, indem Sie die Schritte unter Verwenden der administrativen Vorlage für Azure Virtual Desktop ausführen.

  2. Öffnen Sie die Gruppenrichtlinie-Verwaltungskonsole auf einem Gerät, das Sie zum Verwalten der Active Directory-Domäne verwenden.

  3. Erstellen oder bearbeiten Sie eine Richtlinie, die auf die Computer abzielt, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten.

  4. Navigieren Sie zu Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

    Screenshot des Gruppenrichtlinien-Editors im knoten Azure Virtual Desktop.

  5. Doppelklicken Sie auf die Richtlinieneinstellung Tastatureingabeschutz aktivieren , um sie zu öffnen.

  6. Wählen Sie Aktiviert aus. Wenn Sie fertig sind, wählen Sie OK aus.

    Screenshot des Gruppenrichtlinien-Editors, der den Tastatureingabeschutz aktiviert.

  7. Sobald die Richtlinie für die Computer gilt, die eine Remotesitzung bereitstellen, starten Sie sie neu, damit die Einstellungen wirksam werden.

Hinweis

Dieses Feature wird für Folgendes unterstützt:

  • Windows Cloud-PC/Azure Virtual Desktop-Sitzungshost mit den neuesten von Microsoft unterstützten Windows-Clientbetriebssystemversionen
  • Unterstützte Clients. Windows 11 physischen Geräten, auf denen unterstützte native Clients ausgeführt werden, auf denen windows Cloud IO Protect MSI installiert ist. 
  • Nicht unterstützte Clients.  Virtuelle Endpunktgeräte (VM), MAC OS, iOS, Android, Web und Nicht-Windows Cloud-E/A schützen aktivierte Windows-Geräte, einschließlich Windows 365 Link-Geräte.
  • Last updated on