Compartilhar via

Proteção de E/S do Windows Cloud

Importante

O Windows Cloud IO Protection está em pré-visualização pública. Consulte os Termos suplementares de Utilização para Pré-visualizações do Microsoft Azure para obter os termos legais aplicáveis às funcionalidades Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Descrição geral: Proteger a Entrada para PCs na Cloud Windows 365

Windows 365 os PCs cloud já encriptam sessões e impõem métodos de autenticação baseados em identidade, como a MFA, para impedir o sequestro e ataques man-in-the-middle. No entanto, as ameaças residentes de dispositivos de ponto final visam sessões na cloud do Windows, como os principais loggers, que ainda podem comprometer dados confidenciais, o que leva a riscos de conformidade e perdas financeiras.

A Proteção de E/S do Windows Cloud resolve esta lacuna com um controlador ao nível do kernel e encriptação ao nível do sistema que encaminha de forma segura batimentos de teclas diretamente para o PC na Cloud, ignorando camadas de SO vulneráveis a software maligno. Quando esta funcionalidade está ativada num PC na Cloud ou Azure anfitrião de sessões do Virtual Desktop, impõe um modelo de fidedignidade rigoroso:

  • Apenas os dispositivos físicos de pontos finais protegidos podem estabelecer ligação.

  • Os pontos finais têm de ter o WINDOWS Cloud IO Protect MSI instalado para serem protegidos.

Se o MSI estiver em falta, a ligação será bloqueada e será apresentada uma mensagem de erro. Isto garante um canal seguro entre a aplicação Windows e o anfitrião de sessões do Cloud PC/Azure Virtual Desktop, fornecendo proteção de entrada não prometida.

Passos para instalar o Windows Cloud Input Protect MSI

Pré-requisitos:

  • O ponto final tem de ser um dispositivo físico (as máquinas virtuais não são suportadas) com Windows 11. O dispositivo de ponto final tem de utilizar o TPM 2.0

  • Para instalar o WINDOWS Cloud IO Protect MSI, o utilizador tem de ter direitos de Administração Local.

  1.  Quando o utilizador tenta ligar-se a partir de um dispositivo físico (sem o Windows Cloud Input Protect MSI) a um PC na nuvem do Windows 365 ou Azure anfitrião de sessões do Virtual Desktop, é apresentada a seguinte mensagem de erro.

    Captura de ecrã da mensagem de erro porque o cliente de proteção de teclado não está instalado.

  2. O utilizador pode escolher entre dois tipos de instalador MSI para instalar o Windows Cloud Input Protect msi.

  • Windows x64

  • Windows ARM 64

    Siga os passos do assistente de instalação msi, conforme mostrado abaixo.

    Captura de ecrã a mostrar as boas-vindas da MSI para o controlador windows Cloud IO Protection.

    Captura de ecrã a mostrar como ativar o registo ETW para o controlador Windows Cloud IO Protection.

    Captura de ecrã a mostrar o ecrã para confirmar e iniciar a instalação do controlador windows Cloud IO Protection.

    Captura de ecrã após uma instalação bem-sucedida do controlador windows Cloud IO Protection.

    Pré-requisitos do Windows App

    Esta funcionalidade só está disponível na versão Windows App mais recente (a versão deve ser a 2.0.704.0 ou mais recente). Pode atualizar para as versões mais recentes disponíveis no Microsoft Market.

    Captura de ecrã a mostrar a versão Windows App.

Configurar a Proteção de Entrada na Cloud do Windows em anfitriões de sessão do Cloud PC/Azure Virtual Desktop

Atualmente, a funcionalidade só pode ser ativada com Política de Grupo.

Observação

Política de Grupo os passos do Objeto só são aplicáveis a ambientes híbridos. O suporte para clientes entra join estará disponível em breve. Atualmente, pode-se ativar a funcionalidade para os clientes associados à Entra ao adicionar manualmente as chaves de registo, conforme indicado abaixo.

  1. Abrir a aplicação Editor de Registo
  2. Navegue para HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
  3. Crie um novo DWORD com o nome fWCIOKeyboardInputProtection e o valor 1.

Passos para configurar o Windows Cloud Input Protection

Para ativar o Windows Cloud Keyboard Input Protection nos anfitriões de sessão (Azure Virtual Desktop e Windows 365) com Política de Grupo num domínio do Active Directory:

  1. Disponibilize o modelo administrativo do Azure Virtual Desktop no seu domínio ao seguir os passos em Utilizar o modelo administrativo para Azure Virtual Desktop.

  2. Abra a consola de Gestão de Política de Grupo num dispositivo que utiliza para gerir o domínio do Active Directory.

  3. Crie ou edite uma política destinada aos computadores que fornecem uma sessão remota que pretende configurar.

  4. Navegue para Políticas de Configuração> do ComputadorModelos>Administrativos Componentes> do WindowsAnfitrião> de Sessões deAmbiente de Trabalho Remoto dos Serviços>> de Ambiente de Trabalho Remoto Azure Ambiente de Trabalho Virtual.

    Captura de ecrã do editor de políticas de grupo no nó Azure Virtual Desktop.

  5. Faça duplo clique na definição de política Ativar Proteção de Introdução de Teclado para abri-la.

  6. Selecione Habilitado. Quando terminar, selecione OK.

    Captura de ecrã do editor de políticas de grupo a ativar a proteção de entrada de teclado.

  7. Assim que a política se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as definições entrem em vigor.

Observação

Esta funcionalidade é suportada para o seguinte:

  • Windows Cloud PC/Azure anfitrião de sessões do Virtual Desktop com as versões mais recentes do SO do cliente Windows suportadas pela Microsoft
  • Clientes suportados. Windows 11 dispositivos físicos com clientes nativos suportados que tenham o Windows Cloud IO Protect msi instalado nos mesmos. 
  • Clientes não suportados.  Dispositivo de ponto final virtual (VM), MAC OS, iOS, Android, Web e dispositivos windows com proteção contra E/S da Cloud não Windows, incluindo dispositivos Windows 365 Link.
  • Last updated on