Udostępnij przez

Windows Cloud IO Protection

Ważna

Usługa Windows Cloud IO Protection jest dostępna w publicznej wersji zapoznawczej. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczej microsoft Azure, aby zapoznać się z warunkami prawnymi dotyczącymi funkcji Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze udostępnione do ogólnej dostępności.

Omówienie: zabezpieczanie danych wejściowych dla komputerów w chmurze Windows 365

Windows 365 komputery w chmurze już szyfrują sesje i wymuszają metody uwierzytelniania oparte na tożsamościach, takie jak uwierzytelnianie wieloskładnikowe, aby zapobiec atakom typu man-in-the-middle. Jednak zagrożenia dotyczące urządzeń będących rezydentami punktów końcowych przeznaczone dla sesji w chmurze systemu Windows, takich jak kluczowe rejestratory, które mogą nadal naruszać poufne dane, co prowadzi do ryzyka zgodności i utraty finansowej.

Usługa Windows Cloud IO Protection rozwiązuje tę lukę za pomocą sterownika na poziomie jądra i szyfrowania na poziomie systemu, które bezpiecznie kieruje naciśnięcia bezpośrednio do komputera w chmurze, pomijając warstwy systemu operacyjnego narażone na złośliwe oprogramowanie. Gdy ta funkcja jest włączona na komputerze w chmurze lub Azure hosta sesji usługi Virtual Desktop, wymusza ścisły model zaufania:

  • Tylko chronione urządzenia fizyczne punktu końcowego mogą się łączyć.

  • Punkty końcowe muszą mieć zainstalowaną tożsamość msi usługi Windows Cloud IO Protect , aby była chroniona.

Jeśli brakuje tożsamości usługi zarządzanej, połączenie jest zablokowane i zostanie wyświetlony komunikat o błędzie. Zapewnia to bezpieczny kanał między aplikacją systemu Windows a hostem sesji usługi Cloud PC/Azure Virtual Desktop, zapewniając niezapoleconą ochronę danych wejściowych.

Kroki instalowania usługi Windows Cloud Input Protect MSI

Wymagania wstępne:

  • Punkt końcowy musi być urządzeniem fizycznym (maszyny wirtualne nie są obsługiwane) z Windows 11. Urządzenie punktu końcowego musi używać modułu TPM 2.0

  • Aby zainstalować interfejs MSI usługi Windows Cloud IO Protect, użytkownik musi mieć uprawnienia Administracja lokalnego.

  1.  Gdy użytkownik próbuje nawiązać połączenie z urządzenia fizycznego (bez usługi Windows Cloud Input Protect MSI) z hostem sesji usługi Komputer w chmurze Windows 365 lub Azure virtual desktop, zostanie wyświetlony następujący komunikat o błędzie.

    Zrzut ekranu przedstawiający komunikat o błędzie, ponieważ nie zainstalowano klienta ochrony klawiatury.

  2. Użytkownik może wybrać jeden z dwóch typów instalatora MSI, aby zainstalować msi usługi Windows Cloud Input Protect.

  • Windows x64

  • Windows ARM 64

    Wykonaj kroki kreatora instalacji msi, jak pokazano poniżej.

    Zrzut ekranu przedstawiający funkcję MSI welcome for Windows Cloud IO Protection driver (Obsługa operacji we/wy w chmurze systemu Windows) — zapraszamy!

    Zrzut ekranu przedstawiający sposób włączania rejestrowania ETW dla sterownika usługi Windows Cloud IO Protection.

    Zrzut ekranu przedstawiający ekran potwierdzający i rozpoczynający instalację sterownika usługi Windows Cloud IO Protection.

    Zrzut ekranu po pomyślnej instalacji sterownika usługi Windows Cloud IO Protection.

    Windows App wymagania wstępne

    Ta funkcja jest dostępna tylko w najnowszej wersji Windows App (wersja powinna być 2.0.704.0 lub nowsza). Można go zaktualizować do najnowszej wersji dostępnej na platformie Microsoft Market.

    Zrzut ekranu przedstawiający wersję Windows App.

Konfigurowanie usługi Windows Cloud Input Protection na hostach sesji usługi Cloud PC/Azure Virtual Desktop

Obecnie funkcję można włączyć tylko przy użyciu zasady grupy.

Uwaga

zasady grupy Kroki obiektu mają zastosowanie tylko do środowisk hybrydowych. Pomoc techniczna dla klientów dołączania do aplikacji Entra będzie dostępna wkrótce. Obecnie można włączyć tę funkcję dla klientów dołączania do platformy Entra, dodając klucze rejestru ręcznie, jak pokazano poniżej.

  1. Otwieranie aplikacji Edytor rejestru
  2. Przejdź do HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
  3. Utwórz nowy dword o nazwie fWCIOKeyboardInputProtection i wartości 1.

Kroki konfigurowania usługi Windows Cloud Input Protection

Aby włączyć ochronę danych wejściowych klawiatury w chmurze systemu Windows na hostach sesji (Azure Virtual Desktop i Windows 365) przy użyciu zasady grupy w domenie usługi Active Directory:

  1. Udostępnij szablon administracyjny dla Azure Virtual Desktop w domenie, wykonując kroki opisane w temacie Korzystanie z szablonu administracyjnego dla Azure Virtual Desktop.

  2. Otwórz konsolę zarządzania zasady grupy na urządzeniu używanym do zarządzania domeną usługi Active Directory.

  3. Utwórz lub edytuj zasady przeznaczone dla komputerów udostępniających sesję zdalną, którą chcesz skonfigurować.

  4. Przejdź dopozycji Zasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu Windows Hostsesji pulpitu zdalnego usług >pulpitu zdalnegoAzure pulpitu wirtualnego.>

    Zrzut ekranu edytora zasad grupy w węźle Azure Virtual Desktop.

  5. Kliknij dwukrotnie ustawienie zasad Włącz ochronę wprowadzania klawiatury , aby go otworzyć.

  6. Wybierz pozycję Włączone. Po zakończeniu wybierz przycisk OK.

    Zrzut ekranu przedstawiający edytor zasad grupy umożliwiający ochronę danych wejściowych klawiatury.

  7. Gdy zasady będą stosowane do komputerów udostępniających sesję zdalną, uruchom je ponownie, aby ustawienia zostały zastosowane.

Uwaga

Ta funkcja jest obsługiwana w następujących celach:

  • Host sesji usługi Windows Cloud PC/Azure Virtual Desktop z najnowszymi wersjami systemu operacyjnego klienta systemu windows obsługiwanymi przez firmę Microsoft
  • Obsługiwali klienci. Windows 11 urządzenia fizyczne z obsługiwanymi klientami natywnymi, na których zainstalowano msi usługi Windows Cloud IO Protect. 
  • Nieobsługiwane klientów.  Wirtualne urządzenie punktu końcowego (VM), system MAC OS, iOS, Android, Web i inne niż Windows Cloud IO chronią włączone urządzenia z systemem Windows, w tym urządzenia Windows 365 Link.
  • Last updated on