Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure Virtual Desktop é um serviço de ambiente de trabalho virtual gerido que inclui muitas capacidades de segurança para manter a sua organização segura. A arquitetura do Azure Virtual Desktop é composta por muitos componentes que compõem o serviço que liga os utilizadores aos respetivos ambientes de trabalho e aplicações.
O Azure Virtual Desktop tem muitas funcionalidades de segurança avançadas incorporadas, como o Reverse Connect, onde não é necessário abrir portas de rede de entrada, o que reduz o risco de ter ambientes de trabalho remotos acessíveis a partir de qualquer lugar. O serviço também beneficia de muitas outras funcionalidades de segurança do Azure, como a autenticação multifator e o acesso condicional. Este artigo descreve os passos que pode seguir como administrador para manter as suas implementações do Azure Virtual Desktop seguras, quer forneça ambientes de trabalho e aplicações aos utilizadores na sua organização ou a utilizadores externos.
Responsabilidades de segurança partilhadas
Antes do Azure Virtual Desktop, as soluções de virtualização no local, como os Serviços de Ambiente de Trabalho Remoto, necessitam de conceder aos utilizadores acesso a funções como Gateway, Mediador, Acesso Web, entre outros. Estas funções tinham de ser totalmente redundantes e capazes de lidar com a capacidade máxima. Os administradores instalariam estas funções como parte do sistema operativo Windows Server e tinham de estar associados a um domínio com portas específicas acessíveis a ligações públicas. Para manter as implementações seguras, os administradores tinham de garantir constantemente que tudo na infraestrutura era mantido e atualizado.
No entanto, na maioria dos serviços cloud, existe um conjunto partilhado de responsabilidades de segurança entre a Microsoft e o cliente ou parceiro. Para o Azure Virtual Desktop, a maioria dos componentes são geridos pela Microsoft, mas os anfitriões de sessão e alguns serviços e componentes de suporte são geridos pelo cliente ou geridos por parceiros. Para saber mais sobre os componentes geridos pela Microsoft do Azure Virtual Desktop, veja Arquitetura e resiliência do serviço Azure Virtual Desktop.
Embora alguns componentes já estejam protegidos para o seu ambiente, terá de configurar outras áreas de acordo com as necessidades de segurança da sua organização ou do cliente. Eis os componentes dos quais é responsável pela segurança na implementação do Azure Virtual Desktop:
| Componente | Responsabilidade |
|---|---|
| Identidade | Cliente ou parceiro |
| Dispositivos de utilizador (dispositivos móveis e PC) | Cliente ou parceiro |
| Segurança de aplicações | Cliente ou parceiro |
| Sistema operativo anfitrião de sessões | Cliente ou parceiro |
| Configuração da implementação | Cliente ou parceiro |
| Controles de rede | Cliente ou parceiro |
| Plano de controlo de virtualização | Microsoft |
| Anfitriões físicos | Microsoft |
| Rede física | Microsoft |
| Datacenter físico | Microsoft |
Limites de segurança
Os limites de segurança separam o código e os dados dos domínios de segurança com diferentes níveis de confiança. Por exemplo, normalmente existe um limite de segurança entre o modo kernel e o modo de utilizador. A maioria dos serviços e software da Microsoft dependem de vários limites de segurança para isolar dispositivos em redes, máquinas virtuais (VMs) e aplicações em dispositivos. A tabela seguinte lista cada limite de segurança para o Windows e o que fazem para a segurança geral.
| Limite de segurança | Descrição |
|---|---|
| Limite de rede | Um ponto final de rede não autorizado não consegue aceder ou adulterar código e dados no dispositivo de um cliente. |
| Limite do kernel | Um processo de modo de utilizador não administrativo não consegue aceder ou adulterar o código e os dados do kernel. O administrador para kernel não é um limite de segurança. |
| Limite do processo | Um processo de modo de utilizador não autorizado não consegue aceder ou adulterar o código e os dados de outro processo. |
| Limite do sandbox do AppContainer | Um processo de sandbox baseado em AppContainer não consegue aceder ou adulterar código e dados fora do sandbox com base nas capacidades do contentor. |
| Limite do utilizador | Um utilizador não pode aceder ou adulterar o código e os dados de outro utilizador sem ser autorizado. |
| Limite da sessão | Uma sessão de utilizador não pode aceder ou adulterar outra sessão de utilizador sem ser autorizada. |
| Limite do browser | Um site não autorizado não pode violar a política da mesma origem, nem pode aceder ou adulterar o código nativo e os dados do sandbox do browser Microsoft Edge. |
| Limite da máquina virtual | Uma máquina virtual convidada do Hyper-V não autorizada não consegue aceder ou adulterar o código e os dados de outra máquina virtual convidada; isto inclui contentores isolados do Hyper-V. |
| Limite do Modo De Segurança Virtual (VSM) | O código em execução fora do processo ou enclave fidedigno do VSM não consegue aceder ou adulterar dados e código dentro do processo fidedigno. |
Limites de segurança recomendados para cenários do Azure Virtual Desktop
Também terá de fazer determinadas escolhas sobre os limites de segurança caso a caso. Por exemplo, se um utilizador na sua organização precisar de privilégios de administrador local para instalar aplicações, terá de lhes dar um ambiente de trabalho pessoal em vez de um anfitrião de sessão partilhado. Não recomendamos conceder aos utilizadores privilégios de administrador local em cenários de conjuntos de várias sessões, porque estes utilizadores podem ultrapassar os limites de segurança para sessões ou permissões de dados NTFS, encerrar VMs de várias sessões ou fazer outras coisas que possam interromper o serviço ou causar perdas de dados.
Os utilizadores da mesma organização, como os técnicos de conhecimento com aplicações que não necessitam de privilégios de administrador, são excelentes candidatos para anfitriões de várias sessões, como Windows 11 Enterprise várias sessões. Estes anfitriões de sessão reduzem os custos para a sua organização porque vários utilizadores podem partilhar uma única VM, com apenas os custos gerais de uma VM por utilizador. Com produtos de gestão de perfis de utilizador como o FSLogix, os utilizadores podem ser atribuídos a qualquer VM num conjunto de anfitriões sem se repararem em interrupções de serviço. Esta funcionalidade também lhe permite otimizar os custos ao fazer coisas como encerrar VMs fora das horas de ponta.
Se a sua situação exigir que os utilizadores de diferentes organizações se liguem à sua implementação, recomendamos que tenha um inquilino separado para serviços de identidade, como o Active Directory e Microsoft Entra ID. Também recomendamos que tenha uma subscrição separada para esses utilizadores para alojar recursos do Azure, como o Azure Virtual Desktop e VMs.
Em muitos casos, a utilização de várias sessões é uma forma aceitável de reduzir os custos, mas se recomendamos que dependa do nível de confiança entre utilizadores com acesso simultâneo a uma instância de várias sessões partilhadas. Normalmente, os utilizadores que pertencem à mesma organização têm uma relação de confiança suficiente e acordada. Por exemplo, um departamento ou grupo de trabalho onde as pessoas colaboram e podem aceder às informações pessoais uns dos outros é uma organização com um nível de confiança elevado.
O Windows utiliza limites de segurança e controlos para garantir que os processos e os dados dos utilizadores estão isolados entre sessões. No entanto, o Windows ainda fornece acesso à instância em que o utilizador está a trabalhar.
As implementações de várias sessões beneficiariam de uma estratégia de segurança em profundidade que adiciona mais limites de segurança que impedem os utilizadores dentro e fora da organização de obter acesso não autorizado às informações pessoais de outros utilizadores. O acesso a dados não autorizados ocorre devido a um erro no processo de configuração pelo administrador do sistema, como uma vulnerabilidade de segurança não revelada ou uma vulnerabilidade conhecida que ainda não foi corrigida.
Não recomendamos que concedam aos utilizadores que trabalham para empresas diferentes ou concorrentes acesso ao mesmo ambiente de várias sessões. Estes cenários têm vários limites de segurança que podem ser atacados ou abusados, como rede, kernel, processo, utilizador ou sessões. Uma única vulnerabilidade de segurança pode causar dados não autorizados e roubo de credenciais, fugas de informações pessoais, roubo de identidade e outros problemas. Os fornecedores de ambiente virtualizado são responsáveis por oferecer sistemas bem concebidos com vários limites de segurança fortes e funcionalidades de segurança adicionais ativadas sempre que possível.
A redução destas potenciais ameaças requer uma configuração à prova de falhas, um processo de conceção de gestão de patches e agendamentos regulares de implementação de patches. É melhor seguir os princípios da defesa em profundidade e manter os ambientes separados.
A tabela seguinte resume as nossas recomendações para cada cenário.
| Cenário de nível de confiança | Solução recomendada |
|---|---|
| Utilizadores de uma organização com privilégios padrão | Utilize um sistema operativo (SO) de várias sessões do Windows Enterprise. |
| Os utilizadores necessitam de privilégios administrativos | Utilize um conjunto de anfitriões pessoal e atribua a cada utilizador o seu próprio anfitrião de sessão. |
| Utilizadores de diferentes organizações que se ligam | Separar o inquilino do Azure e a subscrição do Azure |
Melhores práticas de segurança do Azure
O Azure Virtual Desktop é um serviço no Azure. Para maximizar a segurança da sua implementação do Azure Virtual Desktop, deve certificar-se de que também protege a infraestrutura e o plano de gestão do Azure adjacentes. Para proteger a sua infraestrutura, considere como o Azure Virtual Desktop se encaixa no seu ecossistema maior do Azure. Para saber mais sobre o ecossistema do Azure, veja Melhores práticas e padrões de segurança do Azure.
O cenário de ameaças de hoje requer designs com abordagens de segurança em mente. Idealmente, vai querer criar uma série de mecanismos de segurança e controlos em camadas em toda a rede do computador para proteger os seus dados e a sua rede de serem comprometidos ou atacados. Este tipo de design de segurança é o que a Estados Unidos Agência de Cibersegurança e Segurança de Infraestruturas (CISA) chama de defesa em profundidade.
As secções seguintes contêm recomendações para proteger uma implementação do Azure Virtual Desktop.
Ativar Microsoft Defender para a Cloud
Recomendamos que ative Microsoft Defender para as funcionalidades de segurança melhoradas da Cloud para:
- Gerir vulnerabilidades.
- Avalie a conformidade com estruturas comuns, como o Conselho de Normas de Segurança do PCI.
- Reforçar a segurança geral do seu ambiente.
Para saber mais, veja Ativar funcionalidades de segurança melhoradas.
Melhorar a Classificação de Segurança
A Classificação de Segurança fornece recomendações e conselhos de melhores práticas para melhorar a segurança geral. Estas recomendações têm prioridade para ajudá-lo a escolher quais são as mais importantes e as opções de Correção Rápida ajudam-no a resolver rapidamente potenciais vulnerabilidades. Estas recomendações também são atualizadas ao longo do tempo, mantendo-o atualizado sobre as melhores formas de manter a segurança do seu ambiente. Para saber mais, veja Melhorar a Classificação de Segurança no Microsoft Defender para a Cloud.
Requer autenticação multifator
Exigir a autenticação multifator para todos os utilizadores e administradores no Azure Virtual Desktop melhora a segurança de toda a implementação. Para saber mais, veja Ativar Microsoft Entra autenticação multifator para o Azure Virtual Desktop.
Habilitar Acesso Condicional
Ativar o Acesso Condicional permite-lhe gerir riscos antes de conceder aos utilizadores acesso ao seu ambiente do Azure Virtual Desktop. Ao decidir a que utilizadores conceder acesso, recomendamos que considere também quem é o utilizador, como iniciam sessão e que dispositivo estão a utilizar.
Coletar logs de auditoria
Ativar a recolha de registos de auditoria permite-lhe ver a atividade de utilizador e administrador relacionada com o Azure Virtual Desktop. Alguns exemplos de registos de auditoria principais são:
- Registo de Atividades do Azure
- Registo de Atividades do Microsoft Entra
- Microsoft Entra ID
- Hosts de sessão
- Key Vault registos
Monitorar o uso com o Azure Monitor
Monitorize a utilização e a disponibilidade do serviço Azure Virtual Desktop com o Azure Monitor. Considere criar alertas de estado de funcionamento do serviço para o serviço Azure Virtual Desktop para receber notificações sempre que existir um evento com impacto no serviço.
Encriptar os anfitriões de sessão
Encripte os anfitriões de sessão com opções de encriptação de discos geridos para proteger os dados armazenados contra o acesso não autorizado.
Melhores práticas de segurança do anfitrião de sessões
Os anfitriões de sessão são máquinas virtuais que são executadas dentro de uma subscrição do Azure e de uma rede virtual. A segurança geral da implementação do Azure Virtual Desktop depende dos controlos de segurança que colocar nos anfitriões de sessão. Esta secção descreve as melhores práticas para manter os anfitriões de sessão seguros.
Habilitar proteção do ponto de extremidade
Para proteger a sua implementação de software malicioso conhecido, recomendamos que ative a proteção de pontos finais em todos os anfitriões de sessão. Pode utilizar o Windows Defender Antivírus ou um programa de terceiros. Para obter mais informações, veja Guia de implementação do Windows Defender Antivírus num ambiente VDI.
Para soluções de perfil como o FSLogix ou outras soluções que montam ficheiros de disco rígido virtual, recomendamos excluir essas extensões de ficheiro. Para obter mais informações sobre exclusões do FSLogix, veja Configurar exclusões de ficheiros e pastas do Antivírus.
Instalar um produto de deteção e resposta de pontos finais
Recomendamos que instale um produto de deteção e resposta de pontos finais (EDR) para fornecer capacidades avançadas de deteção e resposta. Para sistemas operativos de servidor com Microsoft Defender para Cloud ativado, a instalação de um produto EDR irá implementar Microsoft Defender para Ponto de Extremidade. Para sistemas operativos cliente, pode implementar Microsoft Defender para Ponto de Extremidade ou um produto de terceiros nesses pontos finais.
Permitir avaliações de gerenciamento de ameaças e vulnerabilidades
Identificar vulnerabilidades de software existentes em sistemas operativos e aplicações é fundamental para manter o seu ambiente seguro. O Microsoft Defender para a Cloud pode ajudá-lo a identificar pontos problemáticos através da solução Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender para Ponto de Extremidade. Também pode utilizar produtos de terceiros se estiver tão inclinado, embora recomendemos a utilização de Microsoft Defender para a Cloud e Microsoft Defender para Ponto de Extremidade.
Corrigir vulnerabilidades de software no seu ambiente
Depois de identificar uma vulnerabilidade, tem de a corrigir. Isto aplica-se também a ambientes virtuais, que incluem os sistemas operativos em execução, as aplicações implementadas dentro dos mesmos e as imagens a partir das quais cria novas máquinas. Siga as comunicações de notificação de patch do fornecedor e aplique patches em tempo útil. Recomendamos a aplicação de patches mensais às suas imagens de base para garantir que as máquinas recentemente implementadas estão o mais seguras possível.
Estabeleça tempo máximo de inatividade e políticas de desconexão
A sessão dos utilizadores quando estão inativas preserva os recursos e impede o acesso de utilizadores não autorizados. Recomendamos que os tempos limite equilibrem a produtividade do utilizador, bem como a utilização de recursos. Para os utilizadores que interagem com aplicações sem estado, considere políticas mais agressivas que desativam as máquinas e preservam os recursos. Desligar aplicações de execução prolongada que continuam a ser executadas se um utilizador estiver inativo, como uma simulação ou composição CAD, pode interromper o trabalho do utilizador e pode mesmo exigir o reinício do computador.
Configurar bloqueios de ecrã para sessões inativas
Pode impedir o acesso indesejado ao sistema ao configurar o Azure Virtual Desktop para bloquear o ecrã de uma máquina durante o tempo de inatividade e exigir a autenticação para desbloqueá-lo.
Estabelecer acesso de administrador em camadas
Recomendamos que não conceda aos seus utilizadores acesso de administrador a ambientes de trabalho virtuais. Se precisar de pacotes de software, recomendamos que os disponibilize através de utilitários de gestão de configuração, como o Microsoft Intune. Num ambiente de várias sessões, recomendamos que não permita que os utilizadores instalem software diretamente.
Considere quais usuários devem acessar quais recursos
Considere os anfitriões de sessão como uma extensão da sua implementação de ambiente de trabalho existente. Recomendamos que controle o acesso aos recursos de rede da mesma forma que faria para outros ambientes de trabalho no seu ambiente, como a utilização de segmentação e filtragem de rede. Por predefinição, os anfitriões de sessão podem ligar-se a qualquer recurso na Internet. Existem várias formas de limitar o tráfego, incluindo a utilização de Firewall do Azure, Aplicações Virtuais de Rede ou proxies. Se precisar de limitar o tráfego, certifique-se de que adiciona as regras adequadas para que o Azure Virtual Desktop possa funcionar corretamente.
Gerir a segurança de aplicações do Microsoft 365
Além de proteger os anfitriões de sessão, é importante também proteger as aplicações em execução dentro dos mesmos. As aplicações do Microsoft 365 são algumas das aplicações mais comuns implementadas em anfitriões de sessões. Para melhorar a segurança de implementação do Microsoft 365, recomendamos que utilize o Assistente de Política de Segurança para Microsoft 365 Apps para Grandes Empresas. Esta ferramenta identifica políticas que podem ser aplicadas à sua implementação para obter mais segurança. O Assistente de Políticas de Segurança também recomenda políticas com base no respetivo impacto na sua segurança e produtividade.
Segurança do perfil de utilizador
Os perfis de utilizador podem conter informações confidenciais. Deve restringir quem tem acesso aos perfis de utilizador e aos métodos de acesso aos mesmos, especialmente se estiver a utilizar o Contentor de Perfis do FSLogix para armazenar perfis de utilizador num ficheiro de disco rígido virtual numa partilha SMB. Deve seguir as recomendações de segurança para o fornecedor da sua partilha SMB. Por exemplo, se estiver a utilizar Arquivos do Azure para armazenar estes ficheiros de disco rígido virtual, pode utilizar pontos finais privados para torná-los apenas acessíveis numa rede virtual do Azure.
Proteção de Tokens
Exigir a Proteção de Tokens no ponto final em execução Windows App ligar ao Azure Virtual Desktop. A Proteção de Tokens não se aplica ao anfitrião da sessão. Saiba mais sobre Windows App suporte para proteção de tokens por plataforma.
Acesso Seguro Global
Configure o Acesso Seguro Global (GSA) nos anfitriões de sessões do Azure Virtual Desktop para proteger o acesso às suas aplicações e recursos. Pode expandir os mesmos controlos de acesso para aplicações privadas, aplicações da Internet e aplicações M365 para identidades externas (pré-visualização). Saiba mais sobre o GSA e como configurar o GSA para acesso de convidado B2B.
Outras sugestões de segurança para anfitriões de sessão
Ao restringir as capacidades do sistema operativo, pode reforçar a segurança dos anfitriões de sessão. Eis algumas coisas que pode fazer:
Restringir o redirecionamento de dispositivos. As unidades, a área de transferência, a impressora e os dispositivos USB estão desativados por predefinição no dispositivo local de um utilizador numa sessão de ambiente de trabalho remoto. Recomendamos que avalie os seus requisitos de segurança e marcar se estes redirecionamentos devem ou não ser desativados.
Unidade: considere utilizar OneDrive for Business para substituir permitir o redirecionamento de unidades para transferências de ficheiros.
Área de transferência: considere a direção da transferência da área de transferência para substituir as transferências bidirecionais da área de transferência. Ao restringir o tipo de conteúdo, a área de transferência pode ser ativada sem o risco de os ficheiros serem transferidos.
Impressora: considere a Impressão Universal para substituir a necessidade de redirecionamento da impressora.
USB: esta opção não tem de ser ativada para muitos periféricos comuns, como o rato, o teclado e a câmara Web. Saiba mais em Redirecionamento de periféricos e recursos através do Protocolo de Ambiente de Trabalho Remoto em quando o redirecionamento USB deve ser ativado para redirecionamento opaco de baixo nível.
Restringir o acesso do Windows Explorer ocultando mapeamentos de unidades locais e remotas. Isto impede os utilizadores de detetarem informações indesejadas sobre a configuração do sistema e os utilizadores.
Evite o acesso RDP direto aos anfitriões de sessão no seu ambiente. Se precisar de acesso RDP direto para administração ou resolução de problemas, ative o acesso just-in-time para limitar a potencial superfície de ataque num anfitrião de sessão.
Conceda aos utilizadores permissões limitadas quando acedem a sistemas de ficheiros locais e remotos. Pode restringir as permissões ao certificar-se de que os seus sistemas de ficheiros locais e remotos utilizam listas de controlo de acesso com menos privilégios. Desta forma, os utilizadores só podem aceder ao que precisam e não podem alterar ou eliminar recursos críticos.
Impedir a execução de software indesejado em anfitriões de sessão. O RemoteApp não é uma funcionalidade de segurança e a sua utilização não impede o lançamento de aplicações para além dessas aplicações publicadas num grupo de aplicações. Para garantir que apenas as aplicações que permite podem ser executadas num anfitrião de sessões, pode utilizar o Controlo de Aplicações para funcionalidades do Windows, como o Controlo de Aplicações ou o AppLocker.
Lançamento fidedigno
O lançamento fidedigno são VMs do Azure com funcionalidades de segurança melhoradas destinadas a proteger contra técnicas de ataque persistentes, como ameaças de nível inferior da pilha através de vetores de ataque, como rootkits, kits de arranque e software maligno ao nível do kernel. Permite a implementação segura de VMs com carregadores de arranque verificados, kernels de SO e controladores e também protege chaves, certificados e segredos nas VMs. Saiba mais sobre o lançamento fidedigno em Lançamento fidedigno para máquinas virtuais do Azure.
Quando adiciona anfitriões de sessão com o portal do Azure, o tipo de segurança predefinido é Máquinas virtuais fidedignas. Isto garante que a VM cumpre os requisitos obrigatórios para Windows 11. Para obter mais informações sobre estes requisitos, veja Suporte de máquinas virtuais.
Máquinas virtuais de computação confidencial do Azure
O suporte do Azure Virtual Desktop para máquinas virtuais de computação confidencial do Azure garante que o ambiente de trabalho virtual de um utilizador é encriptado na memória, protegido em utilização e apoiado por uma raiz de confiança de hardware.
A implementação de máquinas virtuais confidenciais com o Azure Virtual Desktop dá aos utilizadores acesso ao Microsoft 365 e a outras aplicações em anfitriões de sessão que utilizam isolamento baseado em hardware, o que endurece o isolamento de outras máquinas virtuais, do hipervisor e do SO anfitrião. As chaves de encriptação de memória são geradas e salvaguardadas por um processador seguro dedicado dentro da CPU que não pode ser lido a partir do software. Para obter mais informações, incluindo os tamanhos de VM disponíveis, veja Descrição geral da computação confidencial do Azure.
Os seguintes sistemas operativos são suportados para utilização como anfitriões de sessão com máquinas virtuais confidenciais no Azure Virtual Desktop, para versões que estão em suporte ativo. Para datas de suporte, consulte Política de Ciclo de Vida da Microsoft.
- Windows 11 Enterprise
- Várias sessões do Windows 11 Enterprise
- Windows 10 Enterprise
- Windows 10 Enterprise com várias sessões
- Windows Server 2022
- Windows Server 2019
Pode criar anfitriões de sessão com máquinas virtuais confidenciais ao implementar o Azure Virtual Desktop ou adicionar anfitriões de sessão a um conjunto de anfitriões.
Encriptação de disco do sistema operativo
Encriptar o disco do sistema operativo é uma camada adicional de encriptação que vincula as chaves de encriptação do disco ao TPM (Trusted Platform Module) da VM de computação confidencial. Esta encriptação torna o conteúdo do disco acessível apenas à VM. A monitorização da integridade permite o atestado criptográfico e a verificação da integridade de arranque da VM e alertas de monitorização se a VM não arrancar porque o atestado falhou com a linha de base definida. Para obter mais informações sobre a monitorização da integridade, veja Microsoft Defender para a Integração na Cloud. Pode ativar a encriptação de computação confidencial quando cria anfitriões de sessão com VMs confidenciais quando cria um conjunto de anfitriões ou adiciona anfitriões de sessão a um conjunto de anfitriões.
Arranque Seguro
O Arranque Seguro é um modo que o firmware da plataforma suporta que protege o seu firmware de rootkits e kits de arranque baseados em software maligno. Este modo só permite o arranque de sistemas operativos e controladores assinados.
Monitorizar a integridade do arranque com o Atestado Remoto
O atestado remoto é uma excelente forma de marcar o estado de funcionamento das suas VMs. O atestado remoto verifica se os registos de Arranque Medido estão presentes, são genuínos e têm origem no Virtual Trusted Platform Module (vTPM). Como marcar de estado de funcionamento, fornece certeza criptográfica de que uma plataforma começou corretamente.
vTPM
Um vTPM é uma versão virtualizada de um Módulo de Plataforma Fidedigna (TPM) de hardware, com uma instância virtual de um TPM por VM. O vTPM permite o atestado remoto ao efetuar a medição da integridade de toda a cadeia de arranque da VM (UEFI, SO, sistema e controladores).
Recomendamos que ative o vTPM para utilizar o atestado remoto nas suas VMs. Com o vTPM ativado, também pode ativar a funcionalidade BitLocker com o Azure Disk Encryption, que fornece encriptação de volume completo para proteger dados inativos. Quaisquer funcionalidades que utilizem o vTPM resultarão em segredos vinculados à VM específica. Quando os utilizadores se ligam ao serviço Azure Virtual Desktop num cenário de conjunto, os utilizadores podem ser redirecionados para qualquer VM no conjunto de anfitriões. Consoante a forma como a funcionalidade foi concebida, isto pode ter um impacto.
Observação
O BitLocker não deve ser utilizado para encriptar o disco específico onde está a armazenar os seus dados de perfil do FSLogix.
Segurança baseada em virtualização
A Segurança Baseada em Virtualização (VBS) utiliza o hipervisor para criar e isolar uma região segura de memória inacessível ao SO. Hypervisor-Protected Integridade do Código (HVCI) e o Windows Defender Credential Guard utilizam o VBS para proporcionar uma maior proteção contra vulnerabilidades.
Integridade do Código Hypervisor-Protected
O HVCI é uma poderosa mitigação do sistema que utiliza VBS para proteger processos de modo kernel do Windows contra injeção e execução de código malicioso ou não verificado.
Windows Defender Credential Guard
Ative o Windows Defender Credential Guard. O Windows Defender Credential Guard utiliza o VBS para isolar e proteger segredos para que apenas o software de sistema privilegiado possa aceder aos mesmos. Isto impede o acesso não autorizado a estes segredos e ataques de roubo de credenciais, como ataques Pass-the-Hash. Para obter mais informações, veja Credential Guard overview (Descrição geral do Credential Guard).
Controle de Aplicativos do Windows Defender
Ative o Controlo de Aplicações do Windows Defender. O Controlo de Aplicações do Windows Defender foi concebido para proteger dispositivos contra software maligno e outro software não fidedigno. Impede a execução de código malicioso ao garantir que apenas o código aprovado, sabe, pode ser executado. Para obter mais informações, veja Controlo de Aplicações para Windows.
Observação
Ao utilizar o Windows Defender Controle de Acesso, recomendamos que direcione apenas as políticas ao nível do dispositivo. Embora seja possível direcionar políticas para utilizadores individuais, uma vez aplicada a política, afeta todos os utilizadores no dispositivo de forma igual.
Windows Update
Mantenha os anfitriões de sessão atualizados com atualizações de Windows Update. Windows Update fornece uma forma segura de manter os seus dispositivos atualizados. A proteção ponto a ponto impede a manipulação de trocas de protocolos e garante que as atualizações incluem apenas conteúdo aprovado. Poderá ter de atualizar as regras de firewall e proxy para alguns dos seus ambientes protegidos para obter o acesso adequado ao Windows Atualizações. Para obter mais informações, veja segurança Windows Update.
Windows App cliente e atualizações noutras plataformas de SO
As atualizações de software para os clientes Windows App que pode utilizar para aceder aos serviços do Azure Virtual Desktop noutras plataformas de SO são protegidas de acordo com as políticas de segurança das respetivas plataformas. Todas as atualizações de cliente são fornecidas diretamente pelas respetivas plataformas. Para obter mais informações, consulte as respetivas páginas da loja para cada aplicação: