Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Virtual Desktop es un servicio de escritorio virtual administrado que incluye muchas funcionalidades de seguridad para mantener la seguridad de su organización. La arquitectura de Azure Virtual Desktop consta de muchos componentes que componen el servicio que conecta a los usuarios a sus escritorios y aplicaciones.
Azure Virtual Desktop tiene muchas características de seguridad avanzada integradas, como Reverse Connect, donde no es necesario abrir ningún puerto de red de entrada, lo que reduce el riesgo de tener escritorios remotos accesibles desde cualquier lugar. El servicio también se beneficia de muchas otras características de seguridad de Azure, como la autenticación multifactor y el acceso condicional. En este artículo se describen los pasos que puede seguir como administrador para proteger las implementaciones de Azure Virtual Desktop, tanto si proporciona escritorios y aplicaciones a los usuarios de su organización como a los usuarios externos.
Responsabilidades de seguridad compartidas
Antes de Azure Virtual Desktop, las soluciones de virtualización local, como servicios de Escritorio remoto, requieren conceder a los usuarios acceso a roles como Puerta de enlace, Broker, Acceso web, etc. Estos roles tenían que ser totalmente redundantes y poder controlar la capacidad máxima. Los administradores instalarían estos roles como parte del sistema operativo Windows Server y tenían que estar unidos a un dominio con puertos específicos accesibles para las conexiones públicas. Para mantener las implementaciones seguras, los administradores tenían que asegurarse constantemente de que todo en la infraestructura se mantiene y está actualizado.
Sin embargo, en la mayoría de los servicios en la nube, hay un conjunto compartido de responsabilidades de seguridad entre Microsoft y el cliente o asociado. Para Azure Virtual Desktop, la mayoría de los componentes son administrados por Microsoft, pero los hosts de sesión y algunos servicios y componentes auxiliares están administrados por el cliente o administrados por asociados. Para más información sobre los componentes administrados por Microsoft de Azure Virtual Desktop, consulte Arquitectura y resistencia del servicio Azure Virtual Desktop.
Aunque algunos componentes ya están protegidos para su entorno, deberá configurar otras áreas para satisfacer las necesidades de seguridad de su organización o cliente. Estos son los componentes de los que es responsable de la seguridad en la implementación de Azure Virtual Desktop:
| Componente | Responsabilidad |
|---|---|
| Identidad | Cliente o asociado |
| Dispositivos de usuario (móviles y PC) | Cliente o asociado |
| Seguridad de aplicaciones | Cliente o asociado |
| Sistema operativo del host de sesión | Cliente o asociado |
| Configuración de implementación | Cliente o asociado |
| Controles de red | Cliente o asociado |
| Plano de control de virtualización | Microsoft |
| Hosts físicos | Microsoft |
| Red física | Microsoft |
| Centro de datos físico | Microsoft |
Límites de seguridad
Los límites de seguridad separan el código y los datos de los dominios de seguridad con distintos niveles de confianza. Por ejemplo, normalmente hay un límite de seguridad entre el modo kernel y el modo de usuario. La mayoría de los servicios y software de Microsoft dependen de varios límites de seguridad para aislar los dispositivos en redes, máquinas virtuales (VM) y aplicaciones en los dispositivos. En la tabla siguiente se enumeran los límites de seguridad de Windows y lo que hacen para la seguridad general.
| Límite de seguridad | Descripción |
|---|---|
| Límite de red | Un punto de conexión de red no autorizado no puede acceder ni alterar el código y los datos en el dispositivo de un cliente. |
| Límite del kernel | Un proceso de modo de usuario no administrativo no puede acceder al código y los datos del kernel ni alterarlos. Administrador a kernel no es un límite de seguridad. |
| Límite de proceso | Un proceso de modo de usuario no autorizado no puede acceder ni alterar el código y los datos de otro proceso. |
| Límite de espacio aislado de AppContainer | Un proceso de espacio aislado basado en AppContainer no puede acceder ni alterar el código y los datos fuera del espacio aislado en función de las capacidades del contenedor. |
| Límite de usuario | Un usuario no puede acceder ni alterar el código y los datos de otro usuario sin estar autorizado. |
| Límite de sesión | Una sesión de usuario no puede acceder a otra sesión de usuario ni manipularla sin estar autorizada. |
| Límite del explorador web | Un sitio web no autorizado no puede infringir la directiva del mismo origen, ni tampoco puede acceder o alterar el código nativo y los datos del espacio aislado del explorador web Microsoft Edge. |
| Límite de máquina virtual | Una máquina virtual invitada de Hyper-V no autorizada no puede acceder ni alterar el código y los datos de otra máquina virtual invitada; esto incluye contenedores aislados de Hyper-V. |
| Límite del modo seguro virtual (VSM) | El código que se ejecuta fuera del proceso o enclave de confianza de VSM no puede acceder a los datos ni al código dentro del proceso de confianza ni alterarlo. |
Límites de seguridad recomendados para escenarios de Azure Virtual Desktop
También tendrá que tomar ciertas decisiones sobre los límites de seguridad caso por caso. Por ejemplo, si un usuario de su organización necesita privilegios de administrador local para instalar aplicaciones, tendrá que proporcionarle un escritorio personal en lugar de un host de sesión compartido. No se recomienda conceder a los usuarios privilegios de administrador local en escenarios agrupados de sesiones múltiples porque estos usuarios pueden cruzar los límites de seguridad para sesiones o permisos de datos NTFS, apagar máquinas virtuales de varias sesiones o hacer otras cosas que podrían interrumpir el servicio o provocar pérdidas de datos.
Los usuarios de la misma organización, como los trabajadores del conocimiento con aplicaciones que no requieren privilegios de administrador, son excelentes candidatos para hosts de sesión de varias sesiones, como Windows 11 Empresas sesiones múltiples. Estos hosts de sesión reducen los costos de su organización porque varios usuarios pueden compartir una sola máquina virtual, con solo los costos de sobrecarga de una máquina virtual por usuario. Con productos de administración de perfiles de usuario como FSLogix, se puede asignar a los usuarios cualquier máquina virtual de un grupo de hosts sin darse cuenta de las interrupciones del servicio. Esta característica también le permite optimizar los costos haciendo cosas como apagar máquinas virtuales durante las horas de poca actividad.
Si su situación requiere que los usuarios de distintas organizaciones se conecten a la implementación, se recomienda tener un inquilino independiente para servicios de identidad como Active Directory y Microsoft Entra id. También se recomienda tener una suscripción independiente para esos usuarios para hospedar recursos de Azure, como Azure Virtual Desktop y máquinas virtuales.
En muchos casos, el uso de sesiones múltiples es una manera aceptable de reducir los costos, pero si se recomienda depende del nivel de confianza entre los usuarios con acceso simultáneo a una instancia de sesión múltiple compartida. Normalmente, los usuarios que pertenecen a la misma organización tienen una relación de confianza suficiente y acordada. Por ejemplo, un departamento o grupo de trabajo en el que las personas colaboran y pueden acceder a la información personal del otro es una organización con un alto nivel de confianza.
Windows usa límites y controles de seguridad para garantizar que los procesos de usuario y los datos están aislados entre sesiones. Sin embargo, Windows sigue proporcionando acceso a la instancia en la que está trabajando el usuario.
Las implementaciones de varias sesiones se beneficiarían de una estrategia de seguridad en profundidad que agrega más límites de seguridad que impiden que los usuarios dentro y fuera de la organización obtengan acceso no autorizado a la información personal de otros usuarios. El acceso no autorizado a los datos se produce debido a un error en el proceso de configuración por parte del administrador del sistema, como una vulnerabilidad de seguridad no revelada o una vulnerabilidad conocida que aún no se ha revisado.
No se recomienda conceder a los usuarios que trabajan para empresas diferentes o competidoras acceso al mismo entorno de varias sesiones. Estos escenarios tienen varios límites de seguridad que se pueden atacar o abusar, como la red, el kernel, el proceso, el usuario o las sesiones. Una única vulnerabilidad de seguridad podría provocar el robo de datos y credenciales no autorizados, pérdidas de información personal, robo de identidades y otros problemas. Los proveedores de entornos virtualizados son responsables de ofrecer sistemas bien diseñados con varios límites de seguridad fuertes y características de seguridad adicionales habilitadas siempre que sea posible.
La reducción de estas posibles amenazas requiere una configuración a prueba de errores, un proceso de diseño de administración de revisiones y programaciones de implementación de revisiones periódicas. Es mejor seguir los principios de defensa en profundidad y mantener los entornos separados.
En la tabla siguiente se resumen nuestras recomendaciones para cada escenario.
| Escenario de nivel de confianza | Solución recomendada |
|---|---|
| Usuarios de una organización con privilegios estándar | Use un sistema operativo (SO) de varias sesiones de Windows Enterprise. |
| Los usuarios requieren privilegios administrativos | Use un grupo de hosts personal y asigne a cada usuario su propio host de sesión. |
| Usuarios de distintas organizaciones que se conectan | Inquilino de Azure independiente y suscripción de Azure |
Procedimientos recomendados de seguridad de Azure
Azure Virtual Desktop es un servicio en Azure. Para maximizar la seguridad de la implementación de Azure Virtual Desktop, también debe asegurarse de proteger la infraestructura y el plano de administración de Azure circundantes. Para proteger la infraestructura, considere la forma en que Azure Virtual Desktop encaja en el ecosistema de Azure más grande. Para más información sobre el ecosistema de Azure, consulte Procedimientos recomendados y patrones de seguridad de Azure.
El panorama de amenazas actual requiere diseños teniendo en cuenta los enfoques de seguridad. Idealmente, querrá crear una serie de mecanismos de seguridad y controles en capas en toda la red de equipos para proteger los datos y la red de que se vean comprometidos o atacados. Este tipo de diseño de seguridad es lo que el Estados Unidos Cybersecurity and Infrastructure Security Agency (CISA) llama defensa en profundidad.
Las secciones siguientes contienen recomendaciones para proteger una implementación de Azure Virtual Desktop.
Habilitación de Microsoft Defender para la nube
Se recomienda habilitar Microsoft Defender para las características de seguridad mejoradas de Cloud para:
- Administrar vulnerabilidades.
- Evalúe el cumplimiento con marcos comunes como el Del Consejo de Estándares de Seguridad de PCI.
- Refuerce la seguridad general de su entorno.
Para más información, consulte Habilitación de características de seguridad mejoradas.
Mejora de la puntuación de seguridad
Puntuación segura proporciona recomendaciones y consejos de procedimientos recomendados para mejorar la seguridad general. Estas recomendaciones tienen prioridad para ayudarle a elegir cuáles son más importantes, y las opciones de corrección rápida le ayudan a abordar las posibles vulnerabilidades rápidamente. Estas recomendaciones también se actualizan con el tiempo, lo que le mantiene actualizado sobre las mejores maneras de mantener la seguridad del entorno. Para más información, consulte Mejora de la puntuación de seguridad en Microsoft Defender for Cloud.
Requerir la autenticación multifactor
La necesidad de autenticación multifactor para todos los usuarios y administradores de Azure Virtual Desktop mejora la seguridad de toda la implementación. Para más información, consulte Habilitación de Microsoft Entra autenticación multifactor para Azure Virtual Desktop.
Habilitar acceso condicional
La habilitación del acceso condicional le permite administrar los riesgos antes de conceder a los usuarios acceso al entorno de Azure Virtual Desktop. Al decidir a qué usuarios conceder acceso, se recomienda tener en cuenta también quién es el usuario, cómo inicia sesión y qué dispositivo está usando.
Recopilar registros de auditoría
La habilitación de la recopilación de registros de auditoría le permite ver la actividad de usuario y administrador relacionada con Azure Virtual Desktop. Algunos ejemplos de registros de auditoría de claves son:
- Registro de actividad de Azure
- Registro de actividad de Microsoft Entra
- Microsoft Entra ID
- Hosts de sesión
- registros de Key Vault
Supervisar el uso con Azure Monitor
Supervise el uso y la disponibilidad del servicio Azure Virtual Desktop con Azure Monitor. Considere la posibilidad de crear alertas de estado de servicio para que el servicio Azure Virtual Desktop reciba notificaciones cada vez que haya un evento que afecte a un servicio.
Cifrado de los hosts de sesión
Cifre los hosts de sesión con opciones de cifrado de disco administrado para proteger los datos almacenados del acceso no autorizado.
Procedimientos recomendados de seguridad del host de sesión
Los hosts de sesión son máquinas virtuales que se ejecutan dentro de una suscripción de Azure y una red virtual. La seguridad general de la implementación de Azure Virtual Desktop depende de los controles de seguridad que ponga en los hosts de sesión. En esta sección se describen los procedimientos recomendados para proteger los hosts de sesión.
Habilitar la protección de puntos de conexión
Para proteger la implementación de software malintencionado conocido, se recomienda habilitar endpoint protection en todos los hosts de sesión. Puede usar Windows Antivirus de Defender o un programa de terceros. Para obtener más información, vea Guía de implementación para Windows Antivirus de Defender en un entorno de VDI.
Para soluciones de perfil como FSLogix u otras soluciones que montan archivos de disco duro virtual, se recomienda excluir esas extensiones de archivo. Para obtener más información sobre las exclusiones de FSLogix, consulte Configurar exclusiones de archivos y carpetas antivirus.
Instalación de un producto de detección y respuesta de puntos de conexión
Se recomienda instalar un producto de detección y respuesta de puntos de conexión (EDR) para proporcionar funcionalidades avanzadas de detección y respuesta. En el caso de los sistemas operativos de servidor con Microsoft Defender para la nube habilitada, la instalación de un producto EDR implementará Microsoft Defender para punto de conexión. En el caso de los sistemas operativos cliente, puede implementar Microsoft Defender para punto de conexión o un producto de terceros en esos puntos de conexión.
Habilitar las evaluaciones de administración de amenazas y vulnerabilidades
La identificación de vulnerabilidades de software que existen en sistemas operativos y aplicaciones es fundamental para mantener el entorno seguro. Microsoft Defender for Cloud puede ayudarle a identificar los puntos problemáticos mediante la solución de Administración de amenazas y vulnerabilidades de Microsoft Defender para punto de conexión. También puede usar productos de terceros si está tan inclinado, aunque se recomienda usar Microsoft Defender para cloud y Microsoft Defender para punto de conexión.
Revisión de vulnerabilidades de software en el entorno
Una vez que identifique una vulnerabilidad, debe aplicarle una revisión. Esto también se aplica a los entornos virtuales, que incluyen los sistemas operativos en ejecución, las aplicaciones que se implementan dentro de ellos y las imágenes desde las que se crean máquinas nuevas. Siga las comunicaciones de notificación de revisiones del proveedor y aplique las revisiones de forma oportuna. Se recomienda aplicar revisiones mensuales a las imágenes base para asegurarse de que las máquinas recién implementadas sean lo más seguras posible.
Establecer directivas de tiempo máximo de inactividad y desconexión
La firma de usuarios cuando están inactivos conserva los recursos e impide el acceso de usuarios no autorizados. Se recomienda que los tiempos de espera equilibren la productividad del usuario y el uso de recursos. Para los usuarios que interactúan con aplicaciones sin estado, considere las directivas más agresivas que desactivan las máquinas y conservan los recursos. La desconexión de aplicaciones de larga duración que continúan ejecutándose si un usuario está inactivo, como una simulación o una representación cad, puede interrumpir el trabajo del usuario e incluso puede requerir reiniciar el equipo.
Configuración de bloqueos de pantalla para sesiones inactivas
Para evitar el acceso no deseado al sistema, configure Azure Virtual Desktop para bloquear la pantalla de una máquina durante el tiempo de inactividad y requiera autenticación para desbloquearla.
Establecimiento del acceso de administrador en niveles
Se recomienda no conceder a los usuarios acceso de administrador a escritorios virtuales. Si necesita paquetes de software, se recomienda que estén disponibles a través de utilidades de administración de configuración como Microsoft Intune. En un entorno de varias sesiones, se recomienda no permitir que los usuarios instalen software directamente.
Tener en cuenta qué usuarios deben tener acceso a los recursos
Considere los hosts de sesión como una extensión de la implementación de escritorio existente. Se recomienda controlar el acceso a los recursos de red de la misma manera que lo haría para otros escritorios de su entorno, como el uso de segmentación y filtrado de red. De forma predeterminada, los hosts de sesión pueden conectarse a cualquier recurso de Internet. Hay varias maneras de limitar el tráfico, incluido el uso de Azure Firewall, aplicaciones virtuales de red o servidores proxy. Si necesita limitar el tráfico, asegúrese de agregar las reglas adecuadas para que Azure Virtual Desktop pueda funcionar correctamente.
Administración de la seguridad de aplicaciones de Microsoft 365
Además de proteger los hosts de sesión, es importante proteger también las aplicaciones que se ejecutan dentro de ellos. Las aplicaciones de Microsoft 365 son algunas de las aplicaciones más comunes implementadas en los hosts de sesión. Para mejorar la seguridad de la implementación de Microsoft 365, se recomienda usar el Asesor de directivas de seguridad para Aplicaciones Microsoft 365 para empresas. Esta herramienta identifica las directivas que puede aplicar a la implementación para obtener más seguridad. Security Policy Advisor también recomienda directivas basadas en su impacto en la seguridad y la productividad.
Seguridad del perfil de usuario
Los perfiles de usuario pueden contener información confidencial. Debe restringir quién tiene acceso a los perfiles de usuario y los métodos de acceso a ellos, especialmente si usa FSLogix Profile Container para almacenar perfiles de usuario en un archivo de disco duro virtual en un recurso compartido SMB. Debe seguir las recomendaciones de seguridad para el proveedor del recurso compartido SMB. Por ejemplo, si usa Azure Files para almacenar estos archivos de disco duro virtual, puede usar puntos de conexión privados para que solo sean accesibles dentro de una red virtual de Azure.
Protección de tokens
Requerir Token Protection en el punto de conexión que ejecuta Windows App conectarse a Azure Virtual Desktop. Token Protection no se aplica al host de sesión. Obtenga más información sobre Windows App compatibilidad con la protección de tokens por plataforma.
Acceso seguro global
Configure Global Secure Access (GSA) en los hosts de sesión de Azure Virtual Desktop para proteger el acceso a sus aplicaciones y recursos. Puede ampliar los mismos controles de acceso a aplicaciones privadas, aplicaciones de Internet y aplicaciones M365 a identidades externas (versión preliminar). Obtenga más información sobre GSA y cómo configurar GSA para el acceso de invitado B2B.
Otras sugerencias de seguridad para hosts de sesión
Al restringir las funcionalidades del sistema operativo, puede reforzar la seguridad de los hosts de sesión. Estas son algunas cosas que puede hacer:
Restringir el redireccionamiento del dispositivo. Las unidades, el portapapeles, la impresora y los dispositivos USB están deshabilitados de forma predeterminada para el dispositivo local de un usuario en una sesión de escritorio remoto. Se recomienda evaluar los requisitos de seguridad y comprobar si estos redireccionamientos deben deshabilitarse o no.
Unidad: considere la posibilidad de usar OneDrive para la Empresa para reemplazar la redirección de unidades para las transferencias de archivos.
Portapapeles: considere la posibilidad de que la dirección de transferencia del Portapapeles reemplace las transferencias bidireccionales del Portapapeles. Al restringir el tipo de contenido, el Portapapeles se puede habilitar sin el riesgo de que se transfieran archivos.
Impresora: considere la posibilidad de la impresión universal para reemplazar la necesidad de redireccionamiento de impresora.
USB: esto no tiene que estar habilitado para muchos periféricos comunes, como mouse, teclado y cámara web. Obtenga más información en periféricos y redireccionamiento de recursos a través del Protocolo de Escritorio remoto cuando se debe habilitar el redireccionamiento USB para el redireccionamiento opaco de bajo nivel.
Restrinja el acceso al Explorador de Windows ocultando las asignaciones de unidades locales y remotas. Esto impide que los usuarios detecten información no deseada sobre la configuración del sistema y los usuarios.
Evite el acceso directo de RDP a los hosts de sesión del entorno. Si necesita acceso RDP directo para la administración o la solución de problemas, habilite el acceso Just-In-Time para limitar la posible superficie expuesta a ataques en un host de sesión.
Conceda a los usuarios permisos limitados cuando accedan a sistemas de archivos locales y remotos. Para restringir los permisos, asegúrese de que los sistemas de archivos locales y remotos usan listas de control de acceso con privilegios mínimos. De este modo, los usuarios solo pueden acceder a lo que necesitan y no pueden cambiar ni eliminar recursos críticos.
Evite que el software no deseado se ejecute en hosts de sesión. RemoteApp no es una característica de seguridad y su uso no impide el inicio de aplicaciones más allá de las aplicaciones publicadas en un grupo de aplicaciones. Para asegurarse de que solo las aplicaciones que permite se pueden ejecutar en un host de sesión, puede usar el Control de aplicaciones para características de Windows como App Control o AppLocker.
Inicio de confianza
El inicio de confianza son máquinas virtuales de Azure con características de seguridad mejoradas destinadas a protegerse frente a técnicas de ataque persistentes, como amenazas de la parte inferior de la pila a través de vectores de ataque, como rootkits, kits de arranque y malware de nivel de kernel. Permite la implementación segura de máquinas virtuales con cargadores de arranque comprobados, kernels del sistema operativo y controladores, y también protege las claves, certificados y secretos de las máquinas virtuales. Obtenga más información sobre el inicio de confianza en Inicio de confianza para máquinas virtuales de Azure.
Al agregar hosts de sesión mediante el Azure Portal, el tipo de seguridad predeterminado es Máquinas virtuales de confianza. Esto garantiza que la máquina virtual cumple los requisitos obligatorios para Windows 11. Para obtener más información sobre estos requisitos, consulte Compatibilidad con máquinas virtuales.
Máquinas virtuales de computación confidencial de Azure
La compatibilidad de Azure Virtual Desktop con máquinas virtuales de computación confidencial de Azure garantiza que el escritorio virtual de un usuario esté cifrado en memoria, protegido en uso y respaldado por una raíz de hardware de confianza.
La implementación de máquinas virtuales confidenciales con Azure Virtual Desktop proporciona a los usuarios acceso a Microsoft 365 y otras aplicaciones en hosts de sesión que usan aislamiento basado en hardware, lo que protege el aislamiento de otras máquinas virtuales, el hipervisor y el sistema operativo host. Las claves de cifrado de memoria se generan y protegen mediante un procesador seguro dedicado dentro de la CPU que no se puede leer desde el software. Para obtener más información, incluidos los tamaños de máquina virtual disponibles, consulte la introducción a la informática confidencial de Azure.
Los siguientes sistemas operativos se admiten para su uso como hosts de sesión con máquinas virtuales confidenciales en Azure Virtual Desktop, para las versiones que están en soporte técnico activo. Para conocer las fechas de soporte técnico, consulte Directiva de ciclo de vida de Microsoft.
- Windows 11 Enterprise
- Sesión múltiple de Windows 11 Enterprise
- Windows 10 Enterprise
- Sesión múltiple de Windows 10 Enterprise
- Windows Server 2022
- Windows Server 2019
Puede crear hosts de sesión mediante máquinas virtuales confidenciales al implementar Azure Virtual Desktop o agregar hosts de sesión a un grupo de hosts.
Cifrado de disco del sistema operativo
El cifrado del disco del sistema operativo es una capa adicional de cifrado que enlaza las claves de cifrado de disco al módulo de plataforma segura (TPM) de la máquina virtual de computación confidencial. Este cifrado hace que el contenido del disco solo sea accesible para la máquina virtual. La supervisión de la integridad permite la atestación criptográfica y la comprobación de la integridad de arranque de la máquina virtual y las alertas de supervisión si la máquina virtual no se ha arrancado porque se produjo un error en la atestación con la línea de base definida. Para obtener más información sobre la supervisión de la integridad, consulte Microsoft Defender para la integración en la nube. Puede habilitar el cifrado de proceso confidencial al crear hosts de sesión mediante máquinas virtuales confidenciales al crear un grupo de hosts o agregar hosts de sesión a un grupo de hosts.
Arranque seguro
Arranque seguro es un modo compatible con el firmware de la plataforma que protege el firmware frente a rootkits y kits de arranque basados en malware. Este modo solo permite el arranque de sistemas operativos y controladores firmados.
Supervisión de la integridad de arranque mediante atestación remota
La atestación remota es una excelente manera de comprobar el estado de las máquinas virtuales. La atestación remota comprueba que los registros de arranque medido están presentes, son auténticos y se originan en el módulo de plataforma de confianza virtual (vTPM). Como comprobación de estado, proporciona seguridad criptográfica de que una plataforma se inició correctamente.
vTPM
Una vTPM es una versión virtualizada de un módulo de plataforma segura (TPM) de hardware, con una instancia virtual de un TPM por máquina virtual. vTPM permite la atestación remota mediante la realización de la medición de integridad de toda la cadena de arranque de la máquina virtual (UEFI, sistema operativo, sistema y controladores).
Se recomienda habilitar vTPM para usar la atestación remota en las máquinas virtuales. Con vTPM habilitado, también puede habilitar la funcionalidad de BitLocker con Azure Disk Encryption, que proporciona cifrado de volumen completo para proteger los datos en reposo. Cualquier característica que use vTPM dará lugar a secretos enlazados a la máquina virtual específica. Cuando los usuarios se conectan al servicio Azure Virtual Desktop en un escenario agrupado, se puede redirigir a los usuarios a cualquier máquina virtual del grupo de hosts. Dependiendo de cómo se diseñe la característica, esto puede tener un impacto.
Nota:
BitLocker no debe usarse para cifrar el disco específico donde se almacenan los datos de perfil de FSLogix.
Seguridad basada en virtualización
La seguridad basada en virtualización (VBS) usa el hipervisor para crear y aislar una región segura de memoria inaccesible para el sistema operativo. Hypervisor-Protected integridad de código (HVCI) y Credential Guard de Windows Defender usan VBS para proporcionar una mayor protección frente a vulnerabilidades.
Integridad del código de Hypervisor-Protected
HVCI es una eficaz mitigación del sistema que usa VBS para proteger los procesos en modo kernel de Windows frente a la inyección y ejecución de código malintencionado o no comprobado.
Credential Guard de Windows Defender
Habilite Credential Guard de Windows Defender. Credential Guard de Windows Defender usa VBS para aislar y proteger los secretos para que solo el software del sistema con privilegios pueda acceder a ellos. Esto evita el acceso no autorizado a estos secretos y ataques de robo de credenciales, como los ataques pass-the-hash. Para obtener más información, vea Información general de Credential Guard.
Control de aplicaciones de Windows Defender
Habilita el control de aplicaciones de Windows Defender. El control de aplicaciones de Windows Defender está diseñado para proteger los dispositivos contra malware y otro software que no es de confianza. Evita que se ejecute código malintencionado asegurándose de que solo se pueda ejecutar el código aprobado, que ya sabe. Para obtener más información, vea Control de aplicaciones para Windows.
Nota:
Cuando se usa Access Control de Windows Defender, se recomienda usar solo directivas de destino en el nivel de dispositivo. Aunque es posible dirigir directivas a usuarios individuales, una vez aplicada la directiva, afecta a todos los usuarios del dispositivo por igual.
Windows Update
Mantenga los hosts de sesión actualizados con las actualizaciones de Windows Update. Windows Update proporciona una manera segura de mantener los dispositivos actualizados. Su protección de un extremo a otro evita la manipulación de los intercambios de protocolos y garantiza que las actualizaciones solo incluyan contenido aprobado. Es posible que deba actualizar reglas de proxy y firewall para algunos de los entornos protegidos con el fin de obtener el acceso adecuado a Windows Novedades. Para obtener más información, consulte seguridad de Windows Update.
Windows App cliente y actualizaciones en otras plataformas del sistema operativo
Las actualizaciones de software de los clientes de Windows App que puede usar para acceder a los servicios de Azure Virtual Desktop en otras plataformas del sistema operativo están protegidas según las directivas de seguridad de sus respectivas plataformas. Todas las actualizaciones de cliente las entregan directamente sus plataformas. Para obtener más información, consulte las páginas de la tienda correspondientes para cada aplicación:
Pasos siguientes
- Obtenga información sobre cómo configurar la autenticación multifactor.
- Aplique Confianza cero principios para una implementación de Azure Virtual Desktop.