أفضل ممارسات الأمان
Azure Virtual Desktop هي خدمة سطح مكتب ظاهري مدارة تتضمن العديد من قدرات الأمان للحفاظ على أمان مؤسستك. في نشر Azure Virtual Desktop، تدير Microsoft أجزاء من الخدمات نيابة عن العميل. تحتوي الخدمة على العديد من ميزات الأمان المتقدمة المضمنة، مثل عكس الاتصال، والتي تقلل من المخاطر التي ينطوي عليها الوصول إلى أسطح المكتب البعيدة من أي مكان.
توضح هذه المقالة الخطوات الإضافية التي يمكنك اتخاذها كمسؤول للحفاظ على عمليات نشر Azure Virtual Desktop لعملائك آمنة.
المسؤوليات الأمنية
ما يجعل الخدمات السحابية مختلفة عن البنى التحتية التقليدية لسطح المكتب الظاهري المحلي (VDIs) هو كيفية تعاملها مع مسؤوليات الأمان. على سبيل المثال، في VDI محلي تقليدي، سيكون العميل مسؤولا عن جميع جوانب الأمان. ومع ذلك، في معظم الخدمات السحابية، تتم مشاركة هذه المسؤوليات بين العميل والشركة.
عند استخدام Azure Virtual Desktop، من المهم أن تدرك أنه في حين أن بعض المكونات قد تم تأمينها مسبقًا للبيئة الخاصة بك، ستحتاج إلى تكوين مناطق أخرى بنفسك لتناسب احتياجات الأمان الخاصة بالمؤسسة.
فيما يلي احتياجات الأمان التي تتحمل مسؤوليتها في نشر Azure Virtual Desktop:
| الحاجة الأمنية | هل العميل مسؤول عن هذا؟ |
|---|---|
| الهوية | نعم |
| أجهزة المستخدم (المحمول والكمبيوتر) | نعم |
| أمان التطبيق | نعم |
| نظام التشغيل المضيف للجلسة | نعم |
| تكوين التوزيع | نعم |
| عناصر التحكم في الشبكة | نعم |
| وحدة التحكم في الظاهرية | لا |
| المضيفين الفعليين | لا |
| الشبكة الفعلية | لا |
| مركز البيانات الفعلي | لا |
تتعامل Microsoft مع احتياجات الأمان التي لا يكون العميل مسؤولاً عنها.
أفضل ممارسات أمان Azure
Azure Virtual Desktop هي خدمة ضمن Azure. لزيادة أمان نشر Azure Virtual Desktop إلى أقصى حد، يجب عليك التأكد من تأمين البنية الأساسية المحيطة ل Azure ومستوى الإدارة أيضا. لتأمين البنية الأساسية الخاصة بك، ضع في اعتبارك كيفية ملاءمة Azure Virtual Desktop مع نظام Azure البنائي الأكبر. لمعرفة المزيد حول النظام البنائي ل Azure، راجع أفضل ممارسات وأنماط أمان Azure.
يصف هذا القسم أفضل الممارسات لتأمين نظام Azure البيئي الخاص بك.
تمكين Microsoft Defender للسحابة
نوصي بتمكين ميزات الأمان المحسنة ل Microsoft Defender for Cloud من أجل:
- إدارة الثغرات الأمنية.
- تقييم التوافق مع الأطر المشتركة مثل PCI.
- تعزيز الأمن العام للبيئة الخاصة بك.
لمعرفة المزيد، راجع تمكين ميزات الأمان المحسنة.
تحسين درجة الأمان
يوفر Secure Score توصيات ونصائح أفضل الممارسات لتحسين أمانك العام. يتم إعطاء الأولوية لهذه التوصيات لمساعدتك في اختيار التوصيات الأكثر أهمية، وتساعدك خيارات الإصلاح السريع على معالجة الثغرات الأمنية المحتملة بسرعة. يتم تحديث هذه التوصيات أيضا بمرور الوقت، مما يبقيك على اطلاع على أفضل الطرق للحفاظ على أمان بيئتك. لمعرفة المزيد، راجع تحسين درجة الأمان في Microsoft Defender for Cloud.
أفضل ممارسات أمان Azure Virtual Desktop
يحتوي Azure Virtual Desktop على العديد من عناصر التحكم في الأمان المضمنة. في هذا القسم، ستتعرف على عناصر التحكم في الأمان التي يمكنك استخدامها للحفاظ على أمان المستخدمين والبيانات.
طلب مصادقة متعددة العوامل
يؤدي طلب مصادقة متعددة العوامل لجميع المستخدمين والمسؤولين في Azure Virtual Desktop إلى تحسين أمان النشر بأكمله. لمعرفة المزيد، راجع تمكين المصادقة متعددة العوامل Azure AD ل Azure Virtual Desktop.
تمكين الوصول الشرطي
يتيح لك تمكين الوصول المشروط إدارة المخاطر قبل منح المستخدمين حق الوصول إلى بيئة Azure Virtual Desktop. عند تحديد المستخدمين الذين يجب منحهم حق الوصول، نوصيك أيضا بالتفكير في هوية المستخدم وكيفية تسجيل الدخول والجهاز الذي يستخدمه.
جمع سجلات التدقيق
يتيح لك تمكين مجموعة سجل التدقيق عرض نشاط المستخدم والمسؤول المرتبط ب Azure Virtual Desktop. بعض الأمثلة على سجلات التدقيق الرئيسية هي:
استخدام RemoteApps
عند اختيار نموذج توزيع، يمكنك إما توفير وصول المستخدمين عن بعد إلى أسطح المكتب الظاهرية بأكملها أو تحديد التطبيقات فقط. توفر التطبيقات البعيدة أو RemoteApps تجربة سلسة حيث يعمل المستخدم مع التطبيقات على سطح المكتب الظاهري الخاص به. يقلل RemoteApps من المخاطر عن طريق السماح للمستخدم فقط بالعمل مع مجموعة فرعية من الجهاز البعيد الذي يعرضه التطبيق.
مراقبة الاستخدام باستخدام Azure Monitor
راقب استخدام خدمة Azure Virtual Desktop وتوافرها باستخدام Azure Monitor. ضع في اعتبارك إنشاء تنبيهات حماية الخدمة لخدمة Azure Virtual Desktop لتلقي الإعلامات كلما كانت هناك خدمة تؤثر على الحدث.
أفضل ممارسات أمان مضيف الجلسة
مضيفو الجلسة هم أجهزة ظاهرية تعمل داخل اشتراك Azure وشبكة ظاهرية. يعتمد الأمان العام لنشر Azure Virtual Desktop على عناصر التحكم في الأمان التي تضعها على مضيفي جلسة العمل. يصف هذا القسم أفضل الممارسات للحفاظ على أمان مضيفي جلسة العمل.
تمكين endpoint protection
لحماية التوزيع من البرامج الضارة المعروفة، نوصي بتمكين حماية نقطة النهاية على جميع مضيفي الجلسة. يمكنك استخدام إما برنامج الحماية من الفيروسات لـ Windows Defender أو برنامج تابع لجهة خارجية. لمعرفة المزيد، راجع دليل النشر برنامج الحماية من الفيروسات لـ Windows Defender في بيئة VDI.
بالنسبة لحلول ملف التعريف مثل FSLogix أو الحلول الأخرى التي تقوم بتحميل ملفات VHD، نوصي باستبعاد ملحقات ملفات VHD.
تثبيت منتج الكشف عن تهديدات نقاط النهاية والرد عليها
نوصي بتثبيت منتج الكشف عن تهديدات نقاط النهاية والرد عليها (الكشف التلقائي والاستجابة على النقط النهائية) لتوفير قدرات متقدمة للكشف والاستجابة. بالنسبة لأنظمة تشغيل الخادم مع تمكين Microsoft Defender for Cloud، سيؤدي تثبيت منتج الكشف التلقائي والاستجابة على النقط النهائية إلى نشر Microsoft Defender لنقطة النهاية. بالنسبة لأنظمة تشغيل العميل، يمكنك نشر Microsoft Defender لنقطة النهاية أو منتج تابع لجهة خارجية إلى نقاط النهاية هذه.
تمكين التقييمات إدارة المخاطر والثغرات الأمنية
يعد تحديد نقاط الضعف في البرامج الموجودة في أنظمة التشغيل والتطبيقات أمرا بالغ الأهمية للحفاظ على أمان بيئتك. يمكن أن يساعدك Microsoft Defender for Cloud في تحديد نقاط المشكلة من خلال حل إدارة المخاطر والثغرات الأمنية Microsoft Defender لنقطة النهاية. يمكنك أيضا استخدام منتجات الجهات الخارجية إذا كنت تميل إلى ذلك، على الرغم من أننا نوصي باستخدام Microsoft Defender for Cloud Microsoft Defender لنقطة النهاية.
تصحيح الثغرات الأمنية للبرامج في بيئتك
بمجرد تحديد ثغرة أمنية، يجب تصحيحها. ينطبق هذا على البيئات الظاهرية أيضا، والتي تتضمن أنظمة التشغيل قيد التشغيل والتطبيقات التي يتم نشرها داخلها والصور التي تقوم بإنشاء أجهزة جديدة منها. اتبع اتصالات إعلامات تصحيح المورد وتطبيق التصحيحات في الوقت المناسب. نوصي بتصحيح الصور الأساسية شهريا للتأكد من أن الأجهزة المنشورة حديثا آمنة قدر الإمكان.
إنشاء الحد الأقصى للوقت غير النشط ونهج قطع الاتصال
يؤدي تسجيل خروج المستخدمين عندما يكونون غير نشطين إلى الاحتفاظ بالموارد ويمنع وصول المستخدمين غير المصرح لهم. نوصي بأن توازن المهلات إنتاجية المستخدم بالإضافة إلى استخدام الموارد. بالنسبة إلى المستخدمين الذين يتفاعلون مع التطبيقات عديمة الحالة، يمكن دراسة نُهج أكثر صرامة تعمل على إيقاف تشغيل الأجهزة والحفاظ على الموارد. يمكن أن يؤدي قطع اتصال التطبيقات طويلة الأمد التي تستمر في التشغيل إذا كان المستخدم تعطل، مثل المحاكاة أو عرض CAD، إلى مقاطعة عمل المستخدم وقد يتطلب إعادة تشغيل الكمبيوتر.
إعداد تأمين الشاشة لجلسات العمل الخاملة
يمكنك منع الوصول غير المرغوب فيه إلى النظام عن طريق تكوين Azure Virtual Desktop لتأمين شاشة الجهاز أثناء وقت الخمول والمطالبة بالمصادقة لإلغاء تأمينه.
إنشاء وصول مسؤول متدرج
نوصي بعدم منح المستخدمين حق الوصول إلى أسطح المكتب الظاهرية. إذا كنت بحاجة إلى حزم برامج، نوصي بتوفيرها من خلال أدوات إدارة التكوين مثل إدارة نقاط النهاية من Microsoft. في بيئة متعددة الجلسات، نوصي بعدم السماح للمستخدمين بتثبيت البرامج مباشرة.
ضع في اعتبارك المستخدمين الذين يجب عليهم الوصول إلى الموارد
ضع في اعتبارك مضيفي جلسة العمل كملحق لنشر سطح المكتب الحالي. نوصيك بالتحكم في الوصول إلى موارد الشبكة بنفس الطريقة التي تتحكم بها في أجهزة سطح المكتب الأخرى في بيئتك، مثل استخدام تجزئة الشبكة وتصفيتها. بشكل افتراضي، يمكن لمضيفي الجلسة الاتصال بأي مورد على الإنترنت. هناك عدة طرق يمكنك من خلالها الحد من نسبة استخدام الشبكة، بما في ذلك استخدام جدار حماية Azure أو الأجهزة الظاهرية للشبكة أو الوكلاء. إذا كنت بحاجة إلى الحد من نسبة استخدام الشبكة، فتأكد من إضافة القواعد المناسبة بحيث يمكن ل Azure Virtual Desktop العمل بشكل صحيح.
إدارة أمان Office Pro Plus
بالإضافة إلى تأمين مضيفي الجلسة، من المهم أيضا تأمين التطبيقات التي تعمل داخلهم. Office Pro Plus هو أحد التطبيقات الأكثر شيوعا التي تم نشرها في مضيفي الجلسة. لتحسين أمان نشر Office، نوصي باستخدام "مستشار نهج الأمان" Microsoft 365 Apps for enterprise. تحدد هذه الأداة النهج التي يمكنك تطبيقها على النشر لمزيد من الأمان. يوصي مستشار نهج الأمان أيضا بالنهج استنادا إلى تأثيرها على الأمان والإنتاجية.
تلميحات أمان أخرى لمضيفي الجلسة
من خلال تقييد قدرات نظام التشغيل، يمكنك تعزيز أمان مضيفي جلسة العمل. فيما يلي بعض الأشياء التي يمكنك القيام بها:
التحكم في إعادة توجيه الجهاز عن طريق إعادة توجيه محركات الأقراص والطابعات وأجهزة USB إلى الجهاز المحلي للمستخدم في جلسة عمل سطح مكتب بعيدة. نوصي بتقييم متطلبات الأمان الخاصة بك والتحقق مما إذا كان يجب تعطيل هذه الميزات أم لا.
تقييد وصول Windows Explorer عن طريق إخفاء تعيينات محركات الأقراص المحلية والنائية. يمنع هذا المستخدمين من اكتشاف معلومات غير مرغوب فيها حول تكوين النظام والمستخدمين.
تجنب الوصول المباشر إلى RDP إلى مضيفي الجلسة في بيئتك. إذا كنت بحاجة إلى وصول RDP مباشر للإدارة أو استكشاف الأخطاء وإصلاحها، فمكن الوصول في الوقت المناسب للحد من سطح الهجوم المحتمل على مضيف جلسة العمل.
منح المستخدمين أذونات محدودة عند الوصول إلى أنظمة الملفات المحلية والنائية. يمكنك تقييد الأذونات عن طريق التأكد من أن أنظمة الملفات المحلية والنائية تستخدم قوائم التحكم في الوصول بأقل امتياز. بهذه الطريقة، يمكن للمستخدمين الوصول إلى ما يحتاجونه فقط ولا يمكنهم تغيير الموارد الهامة أو حذفها.
منع تشغيل البرامج غير المرغوب فيها على مضيفي الجلسة. يمكنك تمكين App Locker للحصول على أمان إضافي على مضيفي جلسة العمل، مما يضمن أن التطبيقات التي تسمح بها فقط يمكن تشغيلها على المضيف.
دعم Azure Virtual Desktop للإطلاق الموثوق به
التشغيل الموثوق به هو أجهزة Azure الظاهرية من الجيل الثاني مع ميزات أمان محسنة تهدف إلى الحماية من تهديدات "أسفل المكدس" من خلال متجهات الهجوم مثل rootkits ومجموعات التمهيد والبرامج الضارة على مستوى النواة. فيما يلي ميزات الأمان المحسنة للاطلاق الموثوق به، وكلها مدعومة في Azure Virtual Desktop. لمعرفة المزيد حول التشغيل الموثوق به، تفضل بزيارة التشغيل الموثوق به لأجهزة Azure الظاهرية.
ملاحظة
لم يتم دعم إحضار الصورة المخصصة الخاصة بك ل Trusted Launch VM بعد. عند نشر تجمع مضيف AVD، ستقتصر على قائمة صور نظام التشغيل المعلبة مسبقا المدرجة في مربع التحرير والسرد "الصورة" المنسدلة.
التمهيد الآمن
التمهيد الآمن هو وضع يدعمه البرنامج الثابت للنظام الأساسي الذي يحمي البرنامج الثابت الخاص بك من rootkits المستندة إلى البرامج الضارة ومجموعات التمهيد. يسمح هذا الوضع فقط ل OSes وبرامج التشغيل الموقعة ببدء تشغيل الجهاز.
مراقبة تكامل التمهيد باستخدام Remote Attestation
يعد التصديق عن بعد طريقة رائعة للتحقق من صحة الأجهزة الظاهرية الخاصة بك. يتحقق التصديق عن بعد من أن سجلات "التمهيد المقاس" موجودة وحقيقية ومنشأة من الوحدة النمطية للنظام الأساسي الموثوق به الظاهري (vTPM). كفحص صحي، فإنه يوفر يقينا مشفرا بأن النظام الأساسي بدأ بشكل صحيح.
vTPM
vTPM هو إصدار ظاهري من وحدة النظام الأساسي الموثوق به (TPM)، مع مثيل ظاهري ل TPM لكل جهاز ظاهري. يتيح vTPM التصديق عن بعد عن طريق إجراء قياس تكامل سلسلة التمهيد بأكملها للجهاز الظاهري (UEFI ونظام التشغيل والنظام وبرامج التشغيل).
نوصي بتمكين vTPM لاستخدام التصديق عن بعد على الأجهزة الظاهرية الخاصة بك. مع تمكين vTPM، يمكنك أيضا تمكين وظيفة BitLocker، والتي توفر تشفيرا كاملا لحماية البيانات الثابتة. ستؤدي أي ميزات تستخدم vTPM إلى بيانات سرية مرتبطة بالجهاز الظاهري المحدد. عندما يتصل المستخدمون بخدمة Azure Virtual Desktop في سيناريو مجمع، يمكن إعادة توجيه المستخدمين إلى أي جهاز ظاهري في تجمع المضيف. اعتمادا على كيفية تصميم الميزة، قد يكون لهذا تأثير.
ملاحظة
يجب عدم استخدام BitLocker لتشفير القرص المحدد حيث تقوم بتخزين بيانات ملف تعريف FSLogix.
الأمان المستند إلى الظاهرية
يستخدم الأمان المستند إلى الظاهرية (VBS) برنامج تشغيل الآلة الافتراضية لإنشاء وعزل منطقة آمنة من الذاكرة لا يمكن الوصول إليها من قبل نظام التشغيل. يستخدم كل من Hypervisor-Protected Code Integrity (HVCI) و Windows Defender Credential Guard VBS لتوفير حماية متزايدة من الثغرات الأمنية.
تكامل التعليمات البرمجية Hypervisor-Protected
HVCI هو تخفيف فعال للنظام يستخدم VBS لحماية عمليات وضع kernel Windows من حقن وتنفيذ التعليمات البرمجية الضارة أو غير المتأكد منها.
حماية بيانات اعتماد Windows Defender
يستخدم Windows Defender Credential Guard VBS لعزل البيانات السرية وحمايتها بحيث يمكن لبرنامج النظام المتميز فقط الوصول إليها. يمنع هذا الوصول غير المصرح به إلى هذه الأسرار وهجمات سرقة بيانات الاعتماد، مثل هجمات Pass-the-Hash.
الظاهرية المتداخلة
تدعم أنظمة التشغيل التالية تشغيل الظاهرية المتداخلة على Azure Virtual Desktop:
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise
- Windows 10 Enterprise متعدد الجلسات
- Windows 11
التحكم في تطبيق Windows Defender
تدعم أنظمة التشغيل التالية استخدام Windows Defender Application Control مع Azure Virtual Desktop:
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise
- Windows 10 Enterprise متعدد الجلسات
- Windows 11
ملاحظة
عند استخدام Windows Defender Access Control، نوصي فقط باستهداف النهج على مستوى الجهاز. على الرغم من أنه من الممكن استهداف النهج للمستخدمين الفرديين، بمجرد تطبيق النهج، فإنه يؤثر على جميع المستخدمين على الجهاز بالتساوي.
الخطوات التالية
لمعرفة كيفية تمكين المصادقة متعددة العوامل، راجع إعداد المصادقة متعددة العوامل.