Delen via

Windows Cloud IO-beveiliging

Belangrijk

Windows Cloud IO-beveiliging is in openbare preview. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.

Overzicht: Invoer beveiligen voor Windows 365 Cloud-pc's

Windows 365 Cloud-pc's al sessies versleutelen en verificatiemethoden op basis van identiteit afdwingen, zoals MFA, om kaping en man-in-the-middle-aanvallen te voorkomen. Eindpuntapparaatbewoners zijn echter gericht op Windows-cloudsessies, zoals key loggers, die nog steeds gevoelige gegevens kunnen in gevaar komen, wat kan leiden tot nalevingsrisico's en financieel verlies.

Windows Cloud IO Protection lost dit gat op met een versleuteling op kernelniveau en versleuteling op systeemniveau waarmee toetsaanslagen veilig rechtstreeks naar de cloud-pc worden gerouteerd, waarbij besturingssysteemlagen die kwetsbaar zijn voor malware worden overgeslagen. Wanneer deze functie is ingeschakeld op een cloud-pc of Azure Virtual Desktop-sessiehost, wordt een strikt vertrouwensmodel afgedwongen:

  • Alleen beveiligde fysieke eindpuntapparaten kunnen verbinding maken.

  • Voor eindpunten moet de WINDOWS Cloud IO Protect MSI zijn geïnstalleerd om te worden beveiligd.

Als de MSI ontbreekt, wordt de verbinding geblokkeerd en wordt er een foutbericht weergegeven. Dit zorgt voor een veilig kanaal tussen de Windows-app en de cloud-pc/Azure Virtual Desktop-sessiehost, met compromisloze invoerbeveiliging.

Stappen voor het installeren van Windows Cloud Input Protect MSI

Voorwaarden:

  • Het eindpunt moet een fysiek apparaat zijn (virtuele machines worden niet ondersteund) met Windows 11. Het eindpuntapparaat moet TPM 2.0 gebruiken

  • Voor het installeren van de Windows Cloud IO Protect MSI moet de gebruiker lokale Beheer rechten hebben.

  1.  Wanneer de gebruiker vanaf een fysiek apparaat (zonder Windows Cloud Input Protect MSI) verbinding probeert te maken met een Windows 365 Cloud-pc of Azure Virtual Desktop-sessiehost, wordt het volgende foutbericht weergegeven.

    Schermopname van het foutbericht omdat de client voor toetsenbordbeveiliging niet is geïnstalleerd.

  2. De gebruiker kan kiezen uit twee typen MSI-installatieprogramma's om de Windows Cloud Input Protect-msi te installeren.

  • Windows x64

  • Windows ARM 64

    Volg de stappen van de msi-installatiewizard zoals hieronder wordt weergegeven.

    Schermopname van msi-welkom voor Windows Cloud IO Protection-stuurprogramma.

    Schermopname van het inschakelen van ETW-logboekregistratie voor Windows Cloud IO Protection-stuurprogramma.

    Schermopname van het scherm om de installatie van het Windows Cloud IO Protection-stuurprogramma te bevestigen en te starten.

    Schermopname na een geslaagde installatie van het Windows Cloud IO Protection-stuurprogramma.

    vereisten voor Windows App

    Deze functie is alleen beschikbaar in de meest recente versie van Windows App (versie moet 2.0.704.0 of hoger zijn). U kunt een update uitvoeren naar de nieuwste versie die beschikbaar is op Microsoft Market.

    Schermopname van de Windows App versie.

Windows Cloud Input Protection configureren op cloud-pc/Azure Virtual Desktop-sessiehosts

Momenteel kan de functie alleen worden ingeschakeld met behulp van groepsbeleid.

Opmerking

groepsbeleid objectstappen zijn alleen van toepassing op hybride omgevingen. Ondersteuning voor Entra Join-klanten is binnenkort beschikbaar. Tegenwoordig kan men de functie inschakelen voor Entra Join-klanten door de registersleutels handmatig toe te voegen, zoals hieronder wordt aangegeven.

  1. De app Register-editor openen
  2. Navigeer naar HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
  3. Maak een nieuwe DWORD met de naam fWCIOKeyboardInputProtection en waarde 1.

Stappen voor het configureren van Windows Cloud Input Protection

Windows Cloud Keyboard Input Protection inschakelen op uw sessiehosts (Azure Virtual Desktop en Windows 365) met behulp van groepsbeleid in een Active Directory-domein:

  1. Maak de beheersjabloon voor Azure Virtual Desktop beschikbaar in uw domein door de stappen te volgen in De beheersjabloon gebruiken voor Azure Virtual Desktop.

  2. Open de groepsbeleid Beheerconsole op een apparaat dat u gebruikt om het Active Directory-domein te beheren.

  3. Maak of bewerk een beleid dat is gericht op de computers die een externe sessie bieden die u wilt configureren.

  4. Navigeer naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehost>Azure Virtual Desktop.

    Schermopname van de groepsbeleidseditor in het knooppunt Azure Virtual Desktop.

  5. Dubbelklik op de beleidsinstelling Toetsenbordinvoerbeveiliging inschakelen om deze te openen.

  6. Selecteer Ingeschakeld. Als u klaar bent, selecteert u OK.

    Schermopname van de groepsbeleidseditor die toetsenbordinvoerbeveiliging inschakelt.

  7. Zodra het beleid van toepassing is op de computers die een externe sessie bieden, start u deze opnieuw op om de instellingen van kracht te laten worden.

Opmerking

Deze functie wordt ondersteund voor het volgende:

  • Windows Cloud-pc/Azure Virtual Desktop-sessiehost met de nieuwste door Microsoft ondersteunde versies van windows-clientbesturingssystemen
  • Ondersteunde clients. Windows 11 fysieke apparaten met ondersteunde systeemeigen clients waarop Windows Cloud IO Protect msi is geïnstalleerd. 
  • Niet-ondersteunde clients.  Virtuele eindpuntapparaten (VM), MAC OS, iOS, Android, Web en niet-Windows Cloud IO beveiligen ingeschakelde Windows-apparaten, waaronder Windows 365 Link-apparaten.
  • Last updated on