Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure Virtual Desktop to zarządzana usługa pulpitu wirtualnego, która oferuje wiele możliwości zabezpieczeń w celu zapewnienia bezpieczeństwa organizacji. Architektura usługi Azure Virtual Desktop składa się z wielu składników, które tworzą usługę łączącą użytkowników z ich pulpitami i aplikacjami.
Usługa Azure Virtual Desktop ma wiele wbudowanych zaawansowanych funkcji zabezpieczeń, takich jak reverse connect, w którym nie trzeba otwierać portów sieciowych dla ruchu przychodzącego, co zmniejsza ryzyko związane z dostępnością pulpitów zdalnych z dowolnego miejsca. Usługa korzysta również z wielu innych funkcji zabezpieczeń platformy Azure, takich jak uwierzytelnianie wieloskładnikowe i dostęp warunkowy. W tym artykule opisano kroki, które możesz wykonać jako administrator, aby zapewnić bezpieczeństwo wdrożeń usługi Azure Virtual Desktop, niezależnie od tego, czy udostępniasz komputery stacjonarne i aplikacje użytkownikom w organizacji, czy użytkownikom zewnętrznym.
Współdzielone obowiązki w zakresie zabezpieczeń
Przed usługą Azure Virtual Desktop lokalne rozwiązania wirtualizacji, takie jak usługi pulpitu zdalnego, wymagają udzielenia użytkownikom dostępu do ról, takich jak brama, broker, dostęp do sieci Web itd. Te role musiały być w pełni nadmiarowe i mogły obsługiwać szczytową pojemność. Administratorzy będą instalować te role w ramach systemu operacyjnego Windows Server i muszą być przyłączone do domeny z określonymi portami dostępnymi dla połączeń publicznych. Aby zapewnić bezpieczeństwo wdrożeń, administratorzy musieli stale zapewniać, że wszystko w infrastrukturze jest utrzymywane i aktualne.
Jednak w większości usług w chmurze istnieje wspólny zestaw obowiązków w zakresie zabezpieczeń między firmą Microsoft a klientem lub partnerem. W przypadku usługi Azure Virtual Desktop większość składników jest zarządzana przez firmę Microsoft, ale hosty sesji oraz niektóre usługi i składniki pomocnicze są zarządzane przez klienta lub zarządzane przez partnera. Aby dowiedzieć się więcej na temat składników zarządzanych przez firmę Microsoft w usłudze Azure Virtual Desktop, zobacz Architektura i odporność usługi Azure Virtual Desktop.
Chociaż niektóre składniki są już zabezpieczone dla twojego środowiska, musisz samodzielnie skonfigurować inne obszary, aby dopasować je do potrzeb twojej organizacji lub klienta w zakresie zabezpieczeń. Poniżej przedstawiono składniki, za które odpowiadasz za zabezpieczenia we wdrożeniu usługi Azure Virtual Desktop:
| Składnik | Odpowiedzialność |
|---|---|
| Tożsamości | Klient lub partner |
| Urządzenia użytkownika (urządzenia przenośne i pc) | Klient lub partner |
| Zabezpieczenia aplikacji | Klient lub partner |
| System operacyjny hosta sesji | Klient lub partner |
| Konfiguracja wdrożenia | Klient lub partner |
| Kontrolki sieci | Klient lub partner |
| Płaszczyzna sterowania wirtualizacji | Microsoft |
| Hosty fizyczne | Microsoft |
| Sieć fizyczna | Microsoft |
| Fizyczne centrum danych | Microsoft |
Granice zabezpieczeń
Granice zabezpieczeń oddzielają kod i dane domen zabezpieczeń przy użyciu różnych poziomów zaufania. Na przykład zwykle istnieje granica zabezpieczeń między trybem jądra a trybem użytkownika. Większość oprogramowania i usług firmy Microsoft zależy od wielu granic zabezpieczeń, aby izolować urządzenia w sieciach, maszynach wirtualnych i aplikacjach na urządzeniach. W poniższej tabeli wymieniono każdą granicę zabezpieczeń dla systemu Windows oraz ich działania w celu zapewnienia ogólnego bezpieczeństwa.
| Granica zabezpieczeń | Opis |
|---|---|
| Granica sieci | Nieautoryzowany punkt końcowy sieci nie może uzyskać dostępu do kodu i danych na urządzeniu klienta ani nie może go modyfikować. |
| Granica jądra | Proces trybu użytkownika nieadu administracyjnego nie może uzyskać dostępu do kodu i danych jądra ani nie może go modyfikować. Administrator-jądro nie jest granicą zabezpieczeń. |
| Granica procesu | Proces nieautoryzowanego trybu użytkownika nie może uzyskać dostępu do kodu i danych innego procesu ani nie manipulować nimi. |
| Granica piaskownicy AppContainer | Proces piaskownicy opartej na aplikacji AppContainer nie może uzyskać dostępu do kodu i danych poza piaskownicą ani nie manipulować nimi w oparciu o możliwości kontenera. |
| Granica użytkownika | Użytkownik nie może uzyskać dostępu do kodu i danych innego użytkownika ani nie może go manipulować bez autoryzacji. |
| Granica sesji | Sesja użytkownika nie może uzyskać dostępu lub naruszyć innej sesji użytkownika bez autoryzacji. |
| Granica przeglądarki sieci Web | Nieautoryzowana witryna internetowa nie może naruszać zasad tego samego źródła ani nie może uzyskiwać dostępu do natywnego kodu i danych piaskownicy przeglądarki internetowej Microsoft Edge ani jej modyfikować. |
| Granica maszyny wirtualnej | Nieautoryzowana maszyna wirtualna gościa funkcji Hyper-V nie może uzyskać dostępu do kodu i danych innej maszyny wirtualnej gościa ani nie manipulować nimi; Obejmuje to kontenery izolowane funkcji Hyper-V. |
| Granica wirtualnego trybu bezpiecznego (VSM) | Kod działający poza zaufanym procesem lub enklawą usługi VSM nie może uzyskać dostępu do danych i kodu w zaufanym procesie ani nie manipulować nimi. |
Zalecane granice zabezpieczeń dla scenariuszy usługi Azure Virtual Desktop
Konieczne będzie również dokonanie pewnych wyborów dotyczących granic zabezpieczeń w poszczególnych przypadkach. Jeśli na przykład użytkownik w organizacji potrzebuje uprawnień administratora lokalnego do instalowania aplikacji, musisz nadać mu osobisty pulpit zamiast hosta sesji udostępnionej. Nie zalecamy przyznawania użytkownikom uprawnień administratora lokalnego w scenariuszach obejmujących wiele sesji w puli, ponieważ użytkownicy ci mogą przekraczać granice zabezpieczeń dla sesji lub uprawnień do danych NTFS, zamykać maszyny wirtualne z wieloma sesjami lub wykonywać inne czynności, które mogą zakłócać działanie usługi lub powodować utratę danych.
Użytkownicy z tej samej organizacji, tacy jak pracownicy ds. wiedzy z aplikacjami, które nie wymagają uprawnień administratora, są doskonałymi kandydatami do hostów sesji wielosesyjnych, takich jak Windows 11 Enterprise wielu sesjach. Te hosty sesji obniżają koszty organizacji, ponieważ wielu użytkowników może współużytkować jedną maszynę wirtualną, a koszty narzutu maszyny wirtualnej na użytkownika są naliczane tylko. Dzięki produktom do zarządzania profilami użytkowników, takim jak FSLogix, użytkownikom można przypisać dowolną maszynę wirtualną w puli hostów bez zauważenia żadnych przerw w działaniu usługi. Ta funkcja pozwala również zoptymalizować koszty, wykonując takie czynności, jak zamykanie maszyn wirtualnych poza godzinami szczytu.
Jeśli twoja sytuacja wymaga, aby użytkownicy z różnych organizacji łączyli się z wdrożeniem, zalecamy posiadanie oddzielnej dzierżawy dla usług tożsamości, takich jak Active Directory i identyfikator Microsoft Entra. Zalecamy również posiadanie oddzielnej subskrypcji dla tych użytkowników na potrzeby hostowania zasobów platformy Azure, takich jak usługa Azure Virtual Desktop i maszyny wirtualne.
W wielu przypadkach użycie wielu sesji jest akceptowalnym sposobem zmniejszenia kosztów, ale to, czy zalecamy, zależy od poziomu zaufania między użytkownikami z równoczesnym dostępem do udostępnionego wystąpienia wielu sesji. Zazwyczaj użytkownicy należący do tej samej organizacji mają wystarczającą i uzgodnioną relację zaufania. Na przykład dział lub grupa robocza, w której ludzie współpracują i mogą uzyskiwać dostęp do swoich danych osobowych, jest organizacją o wysokim poziomie zaufania.
System Windows używa granic zabezpieczeń i mechanizmów kontroli, aby zapewnić izolowanie procesów i danych użytkowników między sesjami. Jednak system Windows nadal zapewnia dostęp do wystąpienia, nad którym pracuje użytkownik.
Wdrożenia z wieloma sesjami skorzystają ze strategii zabezpieczeń, która dodaje więcej granic zabezpieczeń, które uniemożliwiają użytkownikom w organizacji i poza nią uzyskanie nieautoryzowanego dostępu do danych osobowych innych użytkowników. Nieautoryzowany dostęp do danych występuje z powodu błędu w procesie konfiguracji przez administratora systemu, takiego jak nieujawniona luka w zabezpieczeniach lub znana luka w zabezpieczeniach, która nie została jeszcze poprawiona.
Nie zalecamy przyznawania użytkownikom, którzy pracują dla różnych lub konkurujących firm, dostępu do tego samego środowiska wielosesyjnego. Te scenariusze mają kilka granic zabezpieczeń, które mogą być atakowane lub nadużywane, takie jak sieć, jądro, proces, użytkownik lub sesje. Pojedyncza luka w zabezpieczeniach może spowodować nieautoryzowane dane i kradzież poświadczeń, wycieki danych osobowych, kradzież tożsamości i inne problemy. Dostawcy środowiska zwirtualizowanego są odpowiedzialni za oferowanie dobrze zaprojektowanych systemów z wieloma silnymi granicami zabezpieczeń i dodatkowymi funkcjami bezpieczeństwa włączonymi tam, gdzie to możliwe.
Zmniejszenie tych potencjalnych zagrożeń wymaga konfiguracji odpornej na uszkodzenia, procesu projektowania zarządzania poprawkami i regularnych harmonogramów wdrażania poprawek. Lepiej jest postępować zgodnie z zasadami ochrony w głębi systemu i zachować oddzielne środowiska.
Poniższa tabela zawiera podsumowanie zaleceń dla każdego scenariusza.
| Scenariusz na poziomie zaufania | Zalecane rozwiązanie |
|---|---|
| Użytkownicy z jednej organizacji z uprawnieniami standardowymi | Użyj systemu operacyjnego windows enterprise z wieloma sesjami. |
| Użytkownicy wymagają uprawnień administracyjnych | Użyj osobistej puli hostów i przypisz każdemu użytkownikowi własnego hosta sesji. |
| Użytkownicy z różnych organizacji łączących się | Oddzielanie dzierżawy platformy Azure i subskrypcji platformy Azure |
Najlepsze rozwiązania dotyczące zabezpieczeń platformy Azure
Azure Virtual Desktop to usługa na platformie Azure. Aby zmaksymalizować bezpieczeństwo wdrożenia usługi Azure Virtual Desktop, należy również zabezpieczyć otaczającą infrastrukturę i płaszczyznę zarządzania platformy Azure. Aby zabezpieczyć infrastrukturę, rozważ, jak usługa Azure Virtual Desktop pasuje do większego ekosystemu platformy Azure. Aby dowiedzieć się więcej na temat ekosystemu platformy Azure, zobacz Najlepsze rozwiązania i wzorce dotyczące zabezpieczeń platformy Azure.
Dzisiejszy krajobraz zagrożeń wymaga projektów z myślą o podejściach bezpieczeństwa. W idealnym przypadku warto utworzyć szereg mechanizmów zabezpieczeń i mechanizmów kontroli w całej sieci komputerowej, aby chronić dane i sieć przed naruszeniem zabezpieczeń lub atakiem. Ten typ projektowania zabezpieczeń jest tym, co Stany Zjednoczone Cybersecurity and Infrastructure Security Agency (CISA) nazywa ochroną w głębi systemu.
Poniższe sekcje zawierają zalecenia dotyczące zabezpieczania wdrożenia usługi Azure Virtual Desktop.
Włączanie Microsoft Defender dla chmury
Zalecamy włączenie Microsoft Defender dla rozszerzonych funkcji zabezpieczeń w chmurze w następujących celach:
- Zarządzanie lukami w zabezpieczeniach.
- Ocena zgodności z typowymi strukturami, takimi jak Rada Standardów Bezpieczeństwa PCI.
- Zwiększanie ogólnego bezpieczeństwa środowiska.
Aby dowiedzieć się więcej, zobacz Włączanie rozszerzonych funkcji zabezpieczeń.
Ulepszanie wskaźnika bezpieczeństwa
Wskaźnik bezpieczeństwa zapewnia zalecenia i porady dotyczące najlepszych rozwiązań w celu poprawy ogólnego bezpieczeństwa. Te zalecenia mają priorytetowe znaczenie, aby ułatwić wybór najważniejszych z nich, a opcje Szybkiej poprawki ułatwiają szybkie rozwiązywanie potencjalnych luk w zabezpieczeniach. Te zalecenia są również aktualizowane w czasie, dzięki czemu będziesz na bieżąco z najlepszymi sposobami utrzymania bezpieczeństwa środowiska. Aby dowiedzieć się więcej, zobacz Ulepszanie wskaźnika bezpieczeństwa w Microsoft Defender dla chmury.
Wymagaj uwierzytelniania wieloskładnikowego
Wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników i administratorów w usłudze Azure Virtual Desktop zwiększa bezpieczeństwo całego wdrożenia. Aby dowiedzieć się więcej, zobacz Włączanie uwierzytelniania wieloskładnikowego Microsoft Entra dla usługi Azure Virtual Desktop.
Włączanie dostępu warunkowego
Włączenie dostępu warunkowego umożliwia zarządzanie ryzykiem przed udzieleniem użytkownikom dostępu do środowiska usługi Azure Virtual Desktop. Podczas podejmowania decyzji o tym, do których użytkowników ma zostać udzielony dostęp, zalecamy również rozważenie, kim jest użytkownik, jak się loguje i jakiego urządzenia używa.
Zbieranie dzienników inspekcji
Włączenie zbierania dzienników inspekcji umożliwia wyświetlanie działań użytkowników i administratorów związanych z usługą Azure Virtual Desktop. Oto kilka przykładów dzienników inspekcji kluczy:
- Dziennik aktywności platformy Azure
- dziennik aktywności Microsoft Entra
- Microsoft Entra ID
- Hosty sesji
- dzienniki Key Vault
Monitorowanie użycia za pomocą usługi Azure Monitor
Monitorowanie użycia i dostępności usługi Azure Virtual Desktop za pomocą usługi Azure Monitor. Rozważ utworzenie alertów kondycji usługi dla usługi Azure Virtual Desktop, aby otrzymywać powiadomienia za każdym razem, gdy wystąpi zdarzenie wpływające na usługę.
Szyfrowanie hostów sesji
Szyfrowanie hostów sesji za pomocą opcji szyfrowania dysku zarządzanego w celu ochrony przechowywanych danych przed nieautoryzowanym dostępem.
Najlepsze rozwiązania dotyczące zabezpieczeń hosta sesji
Hosty sesji to maszyny wirtualne uruchamiane w ramach subskrypcji platformy Azure i sieci wirtualnej. Ogólne zabezpieczenia wdrożenia usługi Azure Virtual Desktop zależą od mechanizmów kontroli zabezpieczeń wprowadzonych na hostach sesji. W tej sekcji opisano najlepsze rozwiązania dotyczące zabezpieczania hostów sesji.
Włączanie ochrony punktu końcowego
Aby chronić wdrożenie przed znanym złośliwym oprogramowaniem, zalecamy włączenie ochrony punktu końcowego na wszystkich hostach sesji. Można użyć systemu Windows Program antywirusowy Defender lub programu innej firmy. Aby uzyskać więcej informacji, zobacz Przewodnik wdrażania dla systemu Windows Program antywirusowy Defender w środowisku VDI.
W przypadku rozwiązań profilowych, takich jak FSLogix lub inne rozwiązania, które inmontują wirtualne pliki dysków twardych, zalecamy wyłączenie tych rozszerzeń plików. Aby uzyskać więcej informacji na temat wykluczeń FSLogix, zobacz Konfigurowanie wykluczeń plików i folderów programu antywirusowego.
Instalowanie produktu do wykrywania i reagowania na punkty końcowe
Zalecamy zainstalowanie produktu do wykrywania i reagowania na punkty końcowe (EDR), aby zapewnić zaawansowane funkcje wykrywania i reagowania. W przypadku systemów operacyjnych serwera z włączoną usługą Microsoft Defender for Cloud zainstalowanie produktu EDR spowoduje wdrożenie Ochrona punktu końcowego w usłudze Microsoft Defender. W przypadku systemów operacyjnych klienta można wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender lub produkt innej firmy w tych punktach końcowych.
Włączanie ocen Zarządzanie zagrożeniami i lukami
Identyfikowanie luk w zabezpieczeniach oprogramowania, które istnieją w systemach operacyjnych i aplikacjach, ma kluczowe znaczenie dla zapewnienia bezpieczeństwa środowiska. Microsoft Defender dla chmury może pomóc w identyfikowaniu problemów za pomocą rozwiązania Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender. Możesz również używać produktów innych firm, jeśli jesteś tak skłonny, chociaż zalecamy używanie Microsoft Defender dla chmury i Ochrona punktu końcowego w usłudze Microsoft Defender.
Stosowanie poprawek luk w zabezpieczeniach oprogramowania w środowisku
Po zidentyfikowaniu luki w zabezpieczeniach należy ją załatać. Dotyczy to również środowisk wirtualnych, w tym uruchomionych systemów operacyjnych, aplikacji wdrożonych wewnątrz nich oraz obrazów utworzonych na podstawie nowych maszyn. Postępuj zgodnie z komunikatami powiadomień o poprawkach dostawcy i stosuj poprawki w odpowiednim czasie. Zalecamy stosowanie poprawek obrazów podstawowych co miesiąc, aby upewnić się, że nowo wdrożone maszyny są jak najbardziej bezpieczne.
Ustanawianie maksymalnego czasu nieaktywnego i zasad rozłączania
Wylogowywanie użytkowników, gdy są nieaktywni, zachowuje zasoby i uniemożliwia dostęp nieautoryzowanym użytkownikom. Zalecamy, aby limity czasu równoważyć produktywność użytkowników oraz użycie zasobów. W przypadku użytkowników, którzy wchodzą w interakcje z aplikacjami bezstanowymi, rozważ bardziej agresywne zasady, które wyłączają maszyny i zachowują zasoby. Odłączanie długotrwałych aplikacji, które są nadal uruchamiane, jeśli użytkownik jest bezczynny, taki jak symulacja lub renderowanie CAD, może przerwać pracę użytkownika, a nawet wymagać ponownego uruchomienia komputera.
Konfigurowanie blokad ekranu dla bezczynnych sesji
Niechcianemu dostępowi do systemu można zapobiec, konfigurując usługę Azure Virtual Desktop w celu zablokowania ekranu maszyny w czasie bezczynności i wymagając uwierzytelniania w celu jego odblokowania.
Ustanawianie dostępu administratora warstwowego
Nie zalecamy przyznawania użytkownikom dostępu administratora do pulpitów wirtualnych. Jeśli potrzebujesz pakietów oprogramowania, zalecamy udostępnienie ich za pośrednictwem narzędzi do zarządzania konfiguracją, takich jak Microsoft Intune. W środowisku z wieloma sesjami zalecamy, aby nie zezwalać użytkownikom na bezpośrednie instalowanie oprogramowania.
Zastanów się, którzy użytkownicy powinni uzyskiwać dostęp do zasobów
Rozważ hosty sesji jako rozszerzenie istniejącego wdrożenia pulpitu. Zalecamy kontrolowanie dostępu do zasobów sieciowych w taki sam sposób jak w przypadku innych pulpitów w środowisku, na przykład przy użyciu segmentacji sieci i filtrowania. Domyślnie hosty sesji mogą łączyć się z dowolnym zasobem w Internecie. Istnieje kilka sposobów ograniczania ruchu, w tym używanie Azure Firewall, wirtualnych urządzeń sieciowych lub serwerów proxy. Jeśli chcesz ograniczyć ruch, upewnij się, że dodano odpowiednie reguły, aby usługa Azure Virtual Desktop mogła działać prawidłowo.
Zarządzanie zabezpieczeniami aplikacji platformy Microsoft 365
Oprócz zabezpieczania hostów sesji należy również zabezpieczyć działające w nich aplikacje. Aplikacje platformy Microsoft 365 to jedne z najpopularniejszych aplikacji wdrożonych na hostach sesji. Aby zwiększyć bezpieczeństwo wdrażania platformy Microsoft 365, zalecamy użycie usługi Security Policy Advisor dla Aplikacje Microsoft 365 dla przedsiębiorstw. To narzędzie identyfikuje zasady, które można zastosować do wdrożenia w celu zwiększenia bezpieczeństwa. Usługa Security Policy Advisor zaleca również stosowanie zasad w oparciu o ich wpływ na bezpieczeństwo i produktywność.
Zabezpieczenia profilu użytkownika
Profile użytkowników mogą zawierać informacje poufne. Należy ograniczyć, kto ma dostęp do profilów użytkowników i metod uzyskiwania do nich dostępu, zwłaszcza jeśli używasz kontenera profilu FSLogix do przechowywania profilów użytkowników w wirtualnym pliku dysku twardego w udziale SMB. Należy postępować zgodnie z zaleceniami dotyczącymi zabezpieczeń dla dostawcy udziału SMB. Jeśli na przykład używasz Azure Files do przechowywania tych plików wirtualnych dysków twardych, możesz użyć prywatnych punktów końcowych, aby udostępnić je tylko w sieci wirtualnej platformy Azure.
Ochrona tokenów
Wymagaj ochrony tokenu w punkcie końcowym uruchomionym Windows App nawiązywaniu połączenia z usługą Azure Virtual Desktop. Usługa Token Protection nie ma zastosowania do hosta sesji. Dowiedz się więcej na temat Windows App obsługi ochrony tokenów według platformy.
Globalny bezpieczny dostęp
Skonfiguruj globalny bezpieczny dostęp (GSA) na hostach sesji usługi Azure Virtual Desktop, aby zabezpieczyć dostęp do aplikacji i zasobów. Te same mechanizmy kontroli dostępu można rozszerzyć na aplikacje prywatne, aplikacje internetowe i aplikacje M365 na tożsamości zewnętrzne (wersja zapoznawcza). Dowiedz się więcej o usłudze GSA i sposobie konfigurowania usługi GSA pod kątem dostępu gościA B2B.
Inne wskazówki dotyczące zabezpieczeń dla hostów sesji
Ograniczając możliwości systemu operacyjnego, można zwiększyć bezpieczeństwo hostów sesji. Oto kilka rzeczy, które możesz zrobić:
Ogranicz przekierowanie urządzenia. Dyski, schowek, drukarka i urządzenia USB są domyślnie wyłączone dla urządzenia lokalnego użytkownika w sesji pulpitu zdalnego. Zalecamy ocenę wymagań dotyczących zabezpieczeń i sprawdzenie, czy te przekierowania powinny zostać wyłączone.
Dysk: rozważ użycie OneDrive dla Firm w celu zastąpienia zezwalania na przekierowywanie dysków na potrzeby transferów plików.
Schowek: rozważ kierunek transferu schowka , aby zastąpić dwukierunkowe transfery schowka. Ograniczając typ zawartości, schowek można włączyć bez ryzyka przeniesienia plików.
Drukarka: rozważ użycie funkcji Universal Print , aby zastąpić potrzebę przekierowania drukarki.
USB: Nie musi to być włączone dla wielu typowych urządzeń peryferyjnych, takich jak mysz, klawiatura i kamera internetowa. Dowiedz się więcej na temat przekierowywania urządzeń peryferyjnych i przekierowywania zasobów za pośrednictwem protokołu pulpitu zdalnego , gdy należy włączyć przekierowanie USB na potrzeby nieprzejrzystego przekierowywania niskiego poziomu.
Ogranicz dostęp do Eksploratora Windows, ukrywając mapowania dysków lokalnych i zdalnych. Uniemożliwia to użytkownikom odnajdywanie niechcianych informacji o konfiguracji systemu i użytkownikach.
Unikaj bezpośredniego dostępu RDP do hostów sesji w środowisku. Jeśli potrzebujesz bezpośredniego dostępu rdp do administrowania lub rozwiązywania problemów, włącz dostęp just in time, aby ograniczyć potencjalną powierzchnię ataku na hoście sesji.
Przyznaj użytkownikom ograniczone uprawnienia, gdy uzyskują dostęp do lokalnych i zdalnych systemów plików. Uprawnienia można ograniczyć, upewniając się, że lokalne i zdalne systemy plików używają list kontroli dostępu z najniższymi uprawnieniami. Dzięki temu użytkownicy mogą uzyskiwać dostęp tylko do potrzebnych zasobów i nie mogą zmieniać ani usuwać krytycznych zasobów.
Zapobiegaj uruchamianiu niechcianego oprogramowania na hostach sesji. Aplikacja RemoteApp nie jest funkcją zabezpieczeń, a jej użycie nie uniemożliwia uruchamiania aplikacji poza aplikacjami publikowanymi w grupie aplikacji. Aby upewnić się, że na hoście sesji można uruchamiać tylko dozwolone aplikacje, możesz użyć funkcji Application Control dla funkcji systemu Windows , takich jak App Control lub AppLocker.
Zaufane uruchamianie
Zaufane uruchamianie to maszyny wirtualne platformy Azure z rozszerzonymi funkcjami zabezpieczeń, które mają na celu ochronę przed trwałymi technikami ataków, takimi jak zagrożenia na dole stosu poprzez wektory ataków, takie jak zestawy rootkit, zestawy rozruchowe i złośliwe oprogramowanie na poziomie jądra. Umożliwia bezpieczne wdrażanie maszyn wirtualnych ze zweryfikowanych modułów ładujących rozruch, jądra systemu operacyjnego i sterowników, a także chroni klucze, certyfikaty i wpisy tajne na maszynach wirtualnych. Dowiedz się więcej o zaufanym uruchomieniu na stronie Trusted launch for Azure virtual machines (Zaufane uruchamianie maszyn wirtualnych platformy Azure).
Podczas dodawania hostów sesji przy użyciu Azure Portal domyślnym typem zabezpieczeń są zaufane maszyny wirtualne. Dzięki temu maszyna wirtualna spełnia obowiązkowe wymagania dotyczące Windows 11. Aby uzyskać więcej informacji na temat tych wymagań, zobacz Obsługa maszyn wirtualnych.
Poufne maszyny wirtualne obliczeniowe platformy Azure
Obsługa usługi Azure Virtual Desktop dla maszyn wirtualnych z poufnym przetwarzaniem na platformie Azure zapewnia, że pulpit wirtualny użytkownika jest szyfrowany w pamięci, chroniony w użyciu i wspierany przez sprzętowy katalog główny zaufania.
Wdrażanie poufnych maszyn wirtualnych za pomocą usługi Azure Virtual Desktop zapewnia użytkownikom dostęp do platformy Microsoft 365 i innych aplikacji na hostach sesji korzystających z izolacji sprzętowej, która wzmacnia izolację od innych maszyn wirtualnych, funkcji hypervisor i systemu operacyjnego hosta. Klucze szyfrowania pamięci są generowane i chronione przez dedykowany bezpieczny procesor wewnątrz procesora CPU, który nie może być odczytywany z oprogramowania. Aby uzyskać więcej informacji, w tym dostępne rozmiary maszyn wirtualnych, zobacz Omówienie poufnego przetwarzania na platformie Azure.
Następujące systemy operacyjne są obsługiwane jako hosty sesji z poufnymi maszynami wirtualnymi w usłudze Azure Virtual Desktop w przypadku wersji, które są w aktywnej obsłudze. Aby uzyskać informacje o datach pomocy technicznej, zobacz Zasady cyklu życia firmy Microsoft.
- System Windows 11 dla firm
- Windows 11 Enterprise multi-session
- System Windows10 dla firm
- Windows 10 Enterprise multi-session
- Windows Server 2022
- Windows Server 2019
Hosty sesji można tworzyć przy użyciu poufnych maszyn wirtualnych podczas wdrażania usługi Azure Virtual Desktop lub dodawania hostów sesji do puli hostów.
Szyfrowanie dysków systemu operacyjnego
Szyfrowanie dysku systemu operacyjnego to dodatkowa warstwa szyfrowania, która wiąże klucze szyfrowania dysku z modułem TPM (Trusted Platform Module) poufnej obliczeniowej maszyny wirtualnej. To szyfrowanie sprawia, że zawartość dysku jest dostępna tylko dla maszyny wirtualnej. Monitorowanie integralności umożliwia zaświadczanie kryptograficzne i weryfikację integralności rozruchu maszyny wirtualnej i alertów monitorowania, jeśli maszyna wirtualna nie została uruchomiona z powodu niepowodzenia zaświadczania ze zdefiniowanym punktem odniesienia. Aby uzyskać więcej informacji na temat monitorowania integralności, zobacz Microsoft Defender for Cloud Integration (Microsoft Defender na potrzeby integracji z chmurą). Poufne szyfrowanie obliczeniowe można włączyć podczas tworzenia hostów sesji przy użyciu poufnych maszyn wirtualnych podczas tworzenia puli hostów lub dodawania hostów sesji do puli hostów.
Bezpieczny rozruch
Bezpieczny rozruch to tryb obsługiwany przez oprogramowanie układowe platformy, który chroni oprogramowanie układowe przed zestawami rootkit i zestawami rozruchowymi opartymi na złośliwym oprogramowaniu. Ten tryb umożliwia rozruch tylko podpisanych systemów operacyjnych i sterowników.
Monitorowanie integralności rozruchu przy użyciu zdalnego zaświadczania
Zdalne zaświadczanie to doskonały sposób sprawdzania kondycji maszyn wirtualnych. Zdalne zaświadczanie sprawdza, czy rekordy mierzonego rozruchu są obecne, oryginalne i pochodzą z modułu wirtualnej zaufanej platformy (vTPM). W ramach kontroli kondycji zapewnia ona kryptograficzną pewność, że platforma została prawidłowo uruchomiona.
vTPM
VTPM to zwirtualizowana wersja sprzętowego modułu TPM (Trusted Platform Module) z wirtualnym wystąpieniem modułu TPM na maszynę wirtualną. Program vTPM umożliwia zdalne zaświadczanie przez wykonanie pomiaru integralności całego łańcucha rozruchowego maszyny wirtualnej (UEFI, systemu operacyjnego, systemu i sterowników).
Zalecamy włączenie programu vTPM do używania zdalnego zaświadczania na maszynach wirtualnych. Po włączeniu programu vTPM można również włączyć funkcję BitLocker za pomocą usługi Azure Disk Encryption, która zapewnia szyfrowanie na pełnym woluminie w celu ochrony danych magazynowanych. Wszystkie funkcje korzystające z programu vTPM spowodują powiązanie wpisów tajnych z określoną maszyną wirtualną. Gdy użytkownicy nawiązują połączenie z usługą Azure Virtual Desktop w scenariuszu w puli, użytkownicy mogą być przekierowywani do dowolnej maszyny wirtualnej w puli hostów. W zależności od sposobu projektowania funkcji może to mieć wpływ.
Uwaga
Funkcja BitLocker nie powinna służyć do szyfrowania określonego dysku, na którym przechowujesz dane profilu FSLogix.
Zabezpieczenia oparte na wirtualizacji
Zabezpieczenia oparte na wirtualizacji (VBS) używają funkcji hypervisor do tworzenia i izolowania bezpiecznego regionu pamięci, który jest niedostępny dla systemu operacyjnego. Hypervisor-Protected integralności kodu (HVCI) i funkcji Windows Defender Credential Guard używają usługi VBS w celu zapewnienia zwiększonej ochrony przed lukami w zabezpieczeniach.
integralność kodu Hypervisor-Protected
HVCI to zaawansowane środki zaradcze systemu, które używają VBS do ochrony procesów trybu jądra systemu Windows przed iniekcją i wykonywaniem złośliwego lub niezweryfikowanego kodu.
Windows Defender Credential Guard
Włącz funkcję Windows Defender Credential Guard. Funkcja Windows Defender Credential Guard używa usługi VBS do izolowania i ochrony wpisów tajnych, dzięki czemu tylko uprzywilejowane oprogramowanie systemowe może uzyskiwać do nich dostęp. Zapobiega to nieautoryzowanemu dostępowi do tych wpisów tajnych i atakom kradzieży poświadczeń, takim jak ataki typu Pass-the-Hash. Aby uzyskać więcej informacji, zobacz Omówienie funkcji Credential Guard.
Kontrola aplikacji usługi Windows Defender
Włącz kontrolkę aplikacji usługi Windows Defender. Usługa Windows Defender Application Control została zaprojektowana w celu ochrony urządzeń przed złośliwym oprogramowaniem i innym niezaufanym oprogramowaniem. Zapobiega on uruchamianiu złośliwego kodu, zapewniając, że można uruchamiać tylko zatwierdzony kod. Aby uzyskać więcej informacji, zobacz Application Control for Windows (Kontrola aplikacji dla systemu Windows).
Uwaga
W przypadku korzystania z usługi Windows Defender Access Control zalecamy określanie wartości docelowej tylko na poziomie urządzenia. Mimo że można kierować zasady do poszczególnych użytkowników, po zastosowaniu zasad mają one jednakowe wpływy na wszystkich użytkowników na urządzeniu.
Windows Update
Aktualizowanie hostów sesji przy użyciu aktualizacji z Windows Update. Windows Update zapewnia bezpieczny sposób na aktualizowanie urządzeń. Kompleksowa ochrona zapobiega manipulowaniu wymianami protokołów i zapewnia, że aktualizacje obejmują tylko zatwierdzoną zawartość. W celu uzyskania odpowiedniego dostępu do systemu Windows Aktualizacje może być konieczne zaktualizowanie reguł zapory i serwera proxy dla niektórych chronionych środowisk. Aby uzyskać więcej informacji, zobacz zabezpieczenia Windows Update.
Windows App klienta i aktualizacje na innych platformach systemu operacyjnego
Aktualizacje oprogramowania dla klientów Windows App, których można użyć do uzyskiwania dostępu do usług Azure Virtual Desktop na innych platformach systemu operacyjnego, są zabezpieczone zgodnie z zasadami zabezpieczeń odpowiednich platform. Wszystkie aktualizacje klienta są dostarczane bezpośrednio przez ich platformy. Aby uzyskać więcej informacji, zobacz odpowiednie strony sklepu dla każdej aplikacji: