Biztonsági javaslatok az Azure Virtual Desktophoz
Az Azure Virtual Desktop egy felügyelt virtuális asztali szolgáltatás, amely számos biztonsági funkciót tartalmaz a szervezet biztonságának megőrzéséhez. Az Azure Virtual Desktop architektúrája számos összetevőből áll, amelyek alkotják azt a szolgáltatást, amely összeköti a felhasználókat az asztalukkal és alkalmazásukkal.
Az Azure Virtual Desktop számos beépített speciális biztonsági funkcióval rendelkezik, például fordított Csatlakozás, ahol nincs szükség bejövő hálózati portok megnyitására, ami csökkenti annak kockázatát, hogy a távoli asztalok bárhonnan elérhetők legyenek. A szolgáltatás az Azure számos egyéb biztonsági funkcióját is kihasználja, például a többtényezős hitelesítést és a feltételes hozzáférést. Ez a cikk azt ismerteti, hogy rendszergazdaként hogyan teheti biztonságossá az Azure Virtual Desktop üzemelő példányait, akár a szervezet felhasználóinak, akár külső felhasználóknak biztosít asztalokat és alkalmazásokat.
Közös biztonsági felelősség
Az Azure Virtual Desktop előtt a helyszíni virtualizálási megoldásoknak, például a Távoli asztali szolgáltatásoknak hozzáférést kell biztosítaniuk a felhasználóknak olyan szerepkörökhöz, mint az Átjáró, a Közvetítő, a Webes hozzáférés stb. Ezeknek a szerepköröknek teljesen redundánsnak kellett lenniük, és képeseknek kellett lenniük a csúcskapacitás kezelésére. Rendszergazda istratorok a Windows Server operációs rendszer részeként telepítenék ezeket a szerepköröket, és tartományhoz kellett csatlakozniuk a nyilvános kapcsolatokhoz elérhető meghatározott portokkal. Az üzemelő példányok biztonságának megőrzése érdekében a rendszergazdáknak folyamatosan gondoskodniuk kellett arról, hogy az infrastruktúrában minden rendben legyen és naprakész legyen.
A legtöbb felhőszolgáltatásban azonban a Microsoft és az ügyfél vagy partner közös biztonsági feladatai vannak. Az Azure Virtual Desktop esetében a legtöbb összetevő a Microsoft által felügyelt, de a munkamenet-gazdagépek és egyes támogató szolgáltatások és összetevők ügyfél által felügyelt vagy partner által felügyeltek. Az Azure Virtual Desktop Microsoft által felügyelt összetevőiről az Azure Virtual Desktop szolgáltatás architektúrája és rugalmassága című témakörben olvashat bővebben.
Bár egyes összetevők már védettek a környezet számára, más területeket is konfigurálnia kell a szervezet vagy az ügyfél biztonsági igényeinek megfelelően. Az alábbiakban az Azure Virtual Desktop üzembe helyezésének biztonságáért felelős összetevőket találja:
| Összetevő | Feladatkörök |
|---|---|
| Identity | Ügyfél vagy partner |
| Felhasználói eszközök (mobil és PC) | Ügyfél vagy partner |
| Alkalmazásbiztonság | Ügyfél vagy partner |
| Munkamenet-gazdagép operációs rendszere | Ügyfél vagy partner |
| Üzembehelyezési konfiguráció | Ügyfél vagy partner |
| Hálózati vezérlők | Ügyfél vagy partner |
| Virtualizálás vezérlősíkja | Microsoft |
| Fizikai gazdagépek | Microsoft |
| Fizikai hálózat | Microsoft |
| Fizikai adatközpont | Microsoft |
Biztonsági határok
A biztonsági határok különböző megbízhatósági szintekkel választják el a biztonsági tartományok kódját és adatait. Például általában biztonsági határ van a kernel mód és a felhasználói mód között. A Microsoft legtöbb szoftvere és szolgáltatása több biztonsági határtól függ, hogy elkülönítse az eszközöket a hálózatokon, a virtuális gépeken és az eszközökön futó alkalmazásokon. Az alábbi táblázat felsorolja a Windows egyes biztonsági határait, és azt, hogy mit tesznek az általános biztonság érdekében.
| Biztonsági határ | Leírás |
|---|---|
| Hálózati határ | A jogosulatlan hálózati végpontok nem férhetnek hozzá vagy nem módosíthatják a kódot és az adatokat az ügyfél eszközén. |
| Kernelhatár | A nem rendszergazdai felhasználói módú folyamatok nem férhetnek hozzá a kernelkódhoz és az adatokhoz, és nem módosíthatják azokat. Rendszergazda istrator-to-kernel nem biztonsági határ. |
| Folyamathatár | Egy jogosulatlan felhasználói módú folyamat nem férhet hozzá vagy nem módosíthatja egy másik folyamat kódját és adatait. |
| AppContainer tesztkörnyezet határa | Az AppContainer-alapú tesztkörnyezeti folyamatok a tároló képességei alapján nem férhetnek hozzá a kódhoz és az adatokhoz a tesztkörnyezeten kívül. |
| Felhasználói határ | A felhasználó nem férhet hozzá vagy nem módosíthatja egy másik felhasználó kódját és adatait engedély nélkül. |
| Munkamenet határa | A felhasználói munkamenetek nem férhetnek hozzá vagy nem módosíthatnak egy másik felhasználói munkamenetet anélkül, hogy engedélyezve lett volna. |
| Böngészőhatár | A jogosulatlan webhelyek nem sérthetik meg az azonos eredetű szabályzatot, és nem férhetnek hozzá és nem módosíthatják a Microsoft Edge böngésző tesztkörnyezetének natív kódját és adatait. |
| Virtuális gép határa | Egy jogosulatlan Hyper-V vendég virtuális gép nem férhet hozzá vagy nem módosíthatja egy másik vendég virtuális gép kódját és adatait; Ez magában foglalja a Hyper-V izolált tárolókat. |
| Virtuális biztonsági mód (VSM) határa | A VSM megbízható folyamaton vagy enklávén kívül futó kód nem fér hozzá vagy nem módosíthat adatokat és kódot a megbízható folyamaton belül. |
Ajánlott biztonsági határok az Azure Virtual Desktop-forgatókönyvekhez
A biztonsági határokkal kapcsolatban is szükség lesz bizonyos döntésekre eseti alapon. Ha például a szervezet egy felhasználójának helyi rendszergazdai jogosultságokra van szüksége az alkalmazások telepítéséhez, akkor a megosztott munkamenet-gazdagép helyett személyes asztalt kell adnia nekik. Nem javasoljuk, hogy helyi rendszergazdai jogosultságokat adjon a felhasználóknak több munkamenetben összevont forgatókönyvekben, mert ezek a felhasználók átléphetik a munkamenetek vagy NTFS-adatengedélyek biztonsági határait, leállíthatják a több munkamenetes virtuális gépeket, vagy egyéb műveleteket hajthatnak végre, amelyek megszakíthatják a szolgáltatást, vagy adatvesztést okozhatnak.
Az ugyanahhoz a szervezethez tartozó felhasználók, például a rendszergazdai jogosultságot nem igénylő alkalmazásokkal rendelkező tudásmunkások kiváló jelöltek a több munkamenetes munkamenet-gazdagépekhez, például Windows 11 Nagyvállalati verzió több munkamenethez. Ezek a munkamenet-gazdagépek csökkentik a szervezet költségeit, mivel több felhasználó is megoszthat egyetlen virtuális gépet, és csak a felhasználónkénti virtuális gép többletköltségei. Az olyan felhasználóiprofil-kezelési termékek, mint az FSLogix, a felhasználók a gazdagépkészlet bármely virtuális gépéhez hozzárendelhetők anélkül, hogy a szolgáltatás megszakadását észlelnék. Ez a funkció lehetővé teszi a költségek optimalizálását olyan műveletek elvégzésével is, mint a virtuális gépek leállítása csúcsidőn kívül.
Ha a helyzet megköveteli, hogy a különböző szervezetek felhasználói csatlakozzanak az üzemelő példányhoz, javasoljuk, hogy rendelkezzen külön bérlővel az identitásszolgáltatásokhoz, például az Active Directoryhoz és a Microsoft Entra-azonosítóhoz. Azt is javasoljuk, hogy külön előfizetéssel rendelkezzen azokhoz a felhasználókhoz, akik Azure-erőforrásokat, például Azure Virtual Desktopot és virtuális gépeket üzemeltetnek.
Sok esetben a több munkamenet használata elfogadható módszer a költségek csökkentésére, de az, hogy azt javasoljuk-e, a megosztott több munkamenetes példányhoz való egyidejű hozzáféréssel rendelkező felhasználók megbízhatósági szintjétől függ. Az ugyanahhoz a szervezethez tartozó felhasználók általában megfelelő és elfogadott megbízhatósági kapcsolattal rendelkeznek. Egy olyan részleg vagy munkacsoport például, ahol a személyek együttműködnek, és hozzáférhetnek egymás személyes adataihoz, magas megbízhatósági szintű szervezet.
A Windows biztonsági határokat és vezérlőket használ annak biztosítására, hogy a felhasználói folyamatok és adatok elkülönítve legyenek a munkamenetek között. A Windows azonban továbbra is hozzáférést biztosít ahhoz a példányhoz, amelyen a felhasználó dolgozik.
A több munkamenetes üzemelő példányok számára előnyös lenne egy olyan részletes biztonsági stratégia, amely további biztonsági határokat ad hozzá, amelyek megakadályozzák, hogy a szervezeten belüli és kívüli felhasználók jogosulatlan hozzáférést kapjanak más felhasználók személyes adataihoz. Az illetéktelen adathozzáférés a rendszergazda konfigurációs folyamatának hibája miatt történik, például egy nem nyilvánosságra hozott biztonsági rés vagy egy ismert biztonsági rés miatt, amelyet még nem javítottak ki.
Nem javasoljuk, hogy a különböző vagy versengő vállalatoknál dolgozó felhasználók számára hozzáférést biztosítsunk ugyanahhoz a több munkamenetes környezethez. Ezek a forgatókönyvek több biztonsági határt is tartalmazhatnak, amelyek megtámadhatók vagy visszaélhetnek, például a hálózat, a kernel, a folyamat, a felhasználó vagy a munkamenetek. Egyetlen biztonsági rés jogosulatlan adatok és hitelesítő adatok ellopását, személyes adatok kiszivárgását, identitáslopást és egyéb problémákat okozhat. A virtualizált környezetszolgáltatók felelősek azért, hogy olyan jól megtervezett rendszereket kínáljanak, amelyek több erős biztonsági határral rendelkeznek, és ahol csak lehetséges, további biztonsági funkciókkal rendelkeznek.
Ezeknek a potenciális fenyegetéseknek a csökkentéséhez hibabiztos konfigurációra, javításkezelési tervezési folyamatra és rendszeres javítástelepítési ütemezésre van szükség. Jobb, ha alaposan követi a védelem alapelveit, és elkülöníti a környezeteket.
Az alábbi táblázat összefoglalja az egyes forgatókönyvekre vonatkozó javaslatainkat.
| Megbízhatósági szint forgatókönyve | Recommended solution |
|---|---|
| Egy szervezet felhasználói standard jogosultságokkal | Windows Enterprise több munkamenetes operációs rendszer használata. |
| A felhasználók rendszergazdai jogosultságokat igényelnek | Használjon személyes gazdagépkészletet, és rendelje hozzá minden felhasználóhoz a saját munkamenet-gazdagépét. |
| Különböző szervezetekből származó felhasználók, | Az Azure-bérlő és az Azure-előfizetés elkülönítése |
Az Azure ajánlott biztonsági eljárásai
Az Azure Virtual Desktop egy azure-beli szolgáltatás. Az Azure Virtual Desktop üzembe helyezésének biztonságának maximalizálása érdekében gondoskodnia kell arról, hogy a környező Azure-infrastruktúra és felügyeleti sík is biztonságos legyen. Az infrastruktúra védelme érdekében gondolja át, hogyan illeszkedik az Azure Virtual Desktop a nagyobb Azure-ökoszisztémába. Az Azure-ökoszisztémával kapcsolatos további információkért tekintse meg az Azure biztonsági ajánlott eljárásait és mintáit.
A mai veszélyforrás-környezethez biztonsági megközelítéseket szem előtt tartva kell tervezni. Ideális esetben számos biztonsági mechanizmust és vezérlőt érdemes létrehoznia a számítógép-hálózaton rétegzetten, hogy megvédje az adatokat és a hálózatot a sérüléstől vagy a támadástól. Az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökség (CISA) ezt a biztonsági kialakítást hívja mélységi védelemnek.
Az alábbi szakaszok javaslatokat tartalmaznak az Azure Virtual Desktop üzembe helyezésének biztonságossá tételéhez.
Felhőhöz készült Microsoft Defender engedélyezése
Javasoljuk, hogy engedélyezze Felhőhöz készült Microsoft Defender továbbfejlesztett biztonsági funkcióit:
- Biztonsági rések kezelése.
- Értékelje a közös keretrendszereknek való megfelelést, például a PCI Biztonsági Szabványok Tanácsától.
- A környezet általános biztonságának megerősítése.
További információ: Fokozott biztonsági funkciók engedélyezése.
A biztonsági pontszám javítása
A Biztonságos pontszám javaslatokat és ajánlott gyakorlati tanácsokat nyújt az általános biztonság javításához. Ezek a javaslatok rangsorolással segítenek kiválasztani a legfontosabbakat, a gyorsjavítási lehetőségek pedig segítenek a potenciális biztonsági rések gyors elhárításában. Ezek a javaslatok idővel frissülnek is, így naprakészen tarthatja a környezet biztonságának megőrzésének legjobb módjait. További információ: A biztonságos pontszám javítása Felhőhöz készült Microsoft Defender.
Többtényezős hitelesítés megkövetelése
A többtényezős hitelesítés megkövetelése az Azure Virtual Desktop összes felhasználója és rendszergazdája számára javítja a teljes üzembe helyezés biztonságát. További információ: A Microsoft Entra többtényezős hitelesítésének engedélyezése az Azure Virtual Desktophoz.
Feltételes hozzáférés engedélyezése
A feltételes hozzáférés engedélyezése lehetővé teszi a kockázatok kezelését, mielőtt hozzáférést ad a felhasználóknak az Azure Virtual Desktop-környezethez. Amikor eldönti, hogy mely felhasználók számára biztosít hozzáférést, azt javasoljuk, hogy fontolja meg azt is, hogy ki a felhasználó, hogyan jelentkeznek be, és milyen eszközt használnak.
Naplók gyűjtése
Az auditnapló-gyűjtemény engedélyezésével megtekintheti az Azure Virtual Desktophoz kapcsolódó felhasználói és rendszergazdai tevékenységeket. Néhány példa a kulcsnaplókra:
- Azure-tevékenységnapló
- Microsoft Entra tevékenységnapló
- Microsoft Entra ID
- Munkamenet-gazdagépek
- Key Vault-naplók
A RemoteApp használata
Az üzembehelyezési modell kiválasztásakor biztosíthatja a távoli felhasználók számára a teljes asztalhoz való hozzáférést, vagy csak a RemoteAppként közzétett alkalmazásokat. A RemoteApp zökkenőmentes felhasználói élményt nyújt, mivel a felhasználó a virtuális asztalról származó alkalmazásokkal dolgozik. A RemoteApp azzal csökkenti a kockázatot, hogy a felhasználó csak az alkalmazás által közzétett távoli gép egy részhalmazával dolgozik.
Használat monitorozása az Azure Monitorral
Az Azure Virtual Desktop szolgáltatás használatának és rendelkezésre állásának monitorozása az Azure Monitorral. Érdemes lehet szolgáltatásállapot-riasztásokat létrehozni az Azure Virtual Desktop szolgáltatáshoz, hogy értesítéseket kapjon, amikor egy szolgáltatás hatással van az eseményre.
A munkamenet-gazdagépek titkosítása
A munkamenet-gazdagépek titkosítása felügyelt lemeztitkosítási beállításokkal a tárolt adatok jogosulatlan hozzáférés elleni védelme érdekében.
A munkamenet-gazdagép biztonsági ajánlott eljárásai
A munkamenet-gazdagépek olyan virtuális gépek, amelyek egy Azure-előfizetésen és virtuális hálózaton belül futnak. Az Azure Virtual Desktop központi telepítésének általános biztonsága a munkamenet-gazdagépeken elhelyezett biztonsági vezérlőktől függ. Ez a szakasz a munkamenet-gazdagépek biztonságának megőrzésére vonatkozó ajánlott eljárásokat ismerteti.
Végpontvédelem engedélyezése
Az üzembe helyezés ismert kártevő szoftverekkel szembeni védelme érdekében javasoljuk, hogy engedélyezze a végpontvédelmet az összes munkamenet-gazdagépen. Használhatja a Windows Defender víruskeresőt vagy egy harmadik féltől származó programot. További információkért tekintse meg a Windows Defender víruskereső üzembe helyezési útmutatóit VDI-környezetben.
Az olyan profilmegoldások esetében, mint az FSLogix vagy más, virtuális merevlemez-fájlokat csatlakoztató megoldások, javasoljuk, hogy kizárja ezeket a fájlkiterjesztéseket.
Végponti észlelés és reagálás-termék telepítése
Javasoljuk, hogy telepítsen egy végponti észlelés és reagálás (Végponti észlelés és reagálás) terméket a speciális észlelési és válaszképességek biztosításához. Az Felhőhöz készült Microsoft Defender engedélyezett kiszolgálói operációs rendszerek esetében egy Végponti észlelés és reagálás-termék telepítése Végponthoz készült Microsoft Defender fog üzembe helyezni. Ügyfél operációs rendszerek esetén Végponthoz készült Microsoft Defender vagy külső gyártótól származó terméket helyezhet üzembe ezeken a végpontokon.
Veszélyforrás- és biztonságirés-kezelés értékelések engedélyezése
Az operációs rendszerekben és alkalmazásokban található szoftveres biztonsági rések azonosítása kritikus fontosságú a környezet biztonsága szempontjából. Felhőhöz készült Microsoft Defender segíthet azonosítani a problémákat Végponthoz készült Microsoft Defender Veszélyforrás- és biztonságirés-kezelés megoldásán keresztül. Külső termékeket is használhat, ha ennyire hajlott rá, bár javasoljuk, hogy Felhőhöz készült Microsoft Defender és Végponthoz készült Microsoft Defender használjon.
Szoftveres biztonsági rések javítása a környezetben
Miután azonosított egy biztonsági rést, ki kell javítania. Ez a virtuális környezetekre is vonatkozik, beleértve a futó operációs rendszereket, a bennük üzembe helyezett alkalmazásokat és az új gépeket létrehozó rendszerképeket. Kövesse a szállítói javításokkal kapcsolatos értesítési kommunikációt, és időben alkalmazza a javításokat. Javasoljuk, hogy havonta frissítse az alaprendszerképeket, hogy az újonnan üzembe helyezett gépek a lehető legnagyobb biztonságban legyenek.
Maximális inaktív idő és leválasztási szabályzatok létrehozása
Az inaktív felhasználók kijelentkeztetése megőrzi az erőforrásokat, és megakadályozza a jogosulatlan felhasználók hozzáférését. Javasoljuk, hogy az időtúllépések egyensúlyt teremtsen a felhasználók termelékenysége és az erőforrás-használat között. Az állapot nélküli alkalmazásokat használó felhasználók számára fontolja meg a gépek kikapcsolását és az erőforrások megőrzését célzó agresszívebb szabályzatokat. A hosszú ideig futó alkalmazások leválasztása, amelyek továbbra is futnak, ha egy felhasználó tétlen, például szimuláció vagy CAD-renderelés, megszakíthatja a felhasználó munkáját, és akár a számítógép újraindítását is szükségessé teheti.
Képernyőzárak beállítása tétlen munkamenetekhez
Megakadályozhatja a nem kívánt rendszerhozzáférést, ha konfigurálja az Azure Virtual Desktopot, hogy inaktív idő alatt zárolja a gép képernyőjét, és hitelesítést igényel a zárolás feloldásához.
Rétegzett rendszergazdai hozzáférés létrehozása
Javasoljuk, hogy ne adjon rendszergazdai hozzáférést a felhasználóknak a virtuális asztalokhoz. Ha szoftvercsomagra van szüksége, javasoljuk, hogy azokat olyan konfigurációkezelési segédprogramokkal tegye elérhetővé, mint a Microsoft Intune. Több munkamenetes környezetben azt javasoljuk, hogy ne hagyja, hogy a felhasználók közvetlenül telepítsenek szoftvereket.
Fontolja meg, hogy mely felhasználók férhetnek hozzá az erőforrásokhoz
Vegye figyelembe a munkamenet-gazdagépeket a meglévő asztali telepítés kiterjesztéseként. Javasoljuk, hogy ugyanúgy szabályozza a hálózati erőforrásokhoz való hozzáférést, mint a környezet többi asztala esetében, például a hálózati szegmentálást és a szűrést. Alapértelmezés szerint a munkamenet-gazdagépek bármilyen internetes erőforráshoz csatlakozhatnak. A forgalom korlátozásának számos módja van, például az Azure Firewall, a hálózati virtuális berendezések vagy a proxyk használata. Ha korlátoznia kell a forgalmat, adja hozzá a megfelelő szabályokat, hogy az Azure Virtual Desktop megfelelően működjön.
A Microsoft 365 alkalmazásbiztonságának kezelése
A munkamenet-gazdagépek védelme mellett fontos a bennük futó alkalmazások védelme is. A Microsoft 365-alkalmazások a munkamenet-gazdagépeken üzembe helyezett leggyakoribb alkalmazások egyike. A Microsoft 365 üzembehelyezési biztonságának javítása érdekében javasoljuk, hogy használja a biztonsági házirend-tanácsadót Nagyvállalati Microsoft 365-alkalmazások. Ez az eszköz azonosítja azokat a szabályzatokat, amelyek a nagyobb biztonság érdekében alkalmazhatók az üzemelő példányra. A Security Policy Advisor a biztonságra és a termelékenységre gyakorolt hatásuk alapján is javasol szabályzatokat.
Felhasználói profil biztonsága
A felhasználói profilok bizalmas információkat tartalmazhatnak. Korlátoznia kell, hogy kik férhetnek hozzá a felhasználói profilokhoz és az azok elérésének módszereihez, különösen akkor, ha az FSLogix-profiltárolót használja a felhasználói profilok SMB-megosztáson lévő virtuális merevlemez-fájlban való tárolására. Kövesse az SMB-megosztás szolgáltatójára vonatkozó biztonsági javaslatokat. Ha például az Azure Files használatával tárolja ezeket a virtuális merevlemez-fájlokat, privát végpontokkal csak egy Azure-beli virtuális hálózaton belül teheti elérhetővé őket.
Egyéb biztonsági tippek munkamenet-gazdagépekhez
Az operációs rendszer képességeinek korlátozásával megerősítheti a munkamenet-gazdagépek biztonságát. Íme néhány dolog, amit tehet:
Vezérelheti az eszközök átirányítását úgy, hogy átirányítja a meghajtókat, nyomtatókat és USB-eszközöket a felhasználó helyi eszközére egy távoli asztali munkamenetben. Javasoljuk, hogy értékelje ki a biztonsági követelményeket, és ellenőrizze, hogy le kell-e tiltani ezeket a funkciókat.
A Windows Explorer hozzáférésének korlátozása helyi és távoli meghajtóleképezések elrejtésével. Ez megakadályozza a felhasználókat abban, hogy nemkívánatos információkat találjanak a rendszerkonfigurációról és a felhasználókról.
Kerülje a környezet munkamenet-gazdagépeihez való közvetlen RDP-hozzáférést. Ha közvetlen RDP-hozzáférésre van szüksége a felügyelethez vagy a hibaelhárításhoz, engedélyezze az igény szerinti hozzáférést a munkamenet-gazdagép potenciális támadási felületének korlátozásához.
Korlátozott engedélyeket adhat a felhasználóknak, amikor helyi és távoli fájlrendszerekhez férnek hozzá. Az engedélyek korlátozásához győződjön meg arról, hogy a helyi és távoli fájlrendszerek hozzáférés-vezérlési listákat használnak a legkevésbé jogosultsággal. Így a felhasználók csak azt érhetik el, amire szükségük van, és nem tudják módosítani vagy törölni a kritikus erőforrásokat.
Megakadályozza, hogy a nemkívánatos szoftverek munkamenet-gazdagépeken fussanak. Engedélyezheti az App Lockert a munkamenet-gazdagépek további biztonsága érdekében, biztosítva, hogy csak az ön által engedélyezett alkalmazások fussanak a gazdagépen.
Megbízható indítás
A megbízható indítás olyan Gen2 Azure-beli virtuális gépek, amelyek fokozott biztonsági funkciókkal rendelkeznek, amelyek a támadási vektorok, például a rootkits, a rendszerindító készletek és a kernelszintű kártevők elleni védelemre szolgálnak. Az alábbiakban a megbízható indítás továbbfejlesztett biztonsági funkcióit íme, amelyek mindegyike támogatott az Azure Virtual Desktopban. Ha többet szeretne megtudni a megbízható indításról, látogasson el az Azure-beli virtuális gépek megbízható indítási webhelyére.
A megbízható indítás engedélyezése alapértelmezettként
A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen. Ez a funkció lehetővé teszi a virtuális gépek biztonságos üzembe helyezését ellenőrzött rendszertöltőkkel, operációsrendszer-kernelekkel és illesztőprogramokkal. A megbízható indítás emellett a virtuális gépek kulcsait, tanúsítványait és titkos kulcsait is védi. További információ az Azure-beli virtuális gépek megbízható indításakor történő megbízható indításról.
Amikor munkamenet-gazdagépeket ad hozzá az Azure Portalon, a biztonsági típus automatikusan megbízható virtuális gépekre változik. Ez biztosítja, hogy a virtuális gép megfeleljen a Windows 11 kötelező követelményeinek. Ezekről a követelményekről további információt a virtuális gépek támogatásával kapcsolatban talál.
Azure Bizalmas számítástechnikai virtuális gépek
Az Azure Virtual Desktop azure-beli bizalmas számítási virtuális gépek támogatása biztosítja, hogy a felhasználó virtuális asztala titkosítva legyen a memóriában, védve legyen a használatban, és a megbízhatósági kapcsolat hardveres gyökerével legyen alátámasztva. Az Azure Virtual Desktophoz készült Azure Confidential Computing virtuális gépek kompatibilisek a támogatott operációs rendszerekkel. A bizalmas virtuális gépek Azure Virtual Desktoppal való üzembe helyezése hozzáférést biztosít a felhasználóknak a Microsoft 365-höz és más alkalmazásokhoz a hardveralapú elkülönítést használó munkamenet-gazdagépeken, ami megkeményíti az elkülönítést más virtuális gépektől, a hipervizortól és a gazdagép operációs rendszerétől. Ezeket a virtuális asztalokat a legújabb harmadik generációs (Gen 3) Advanced Micro Devices (AMD) EPYC™ processzor működteti a Secure Encrypted Virtualization Secure Nested Paging (Standard kiadás V-SNP) technológiával. A memóriatitkosítási kulcsokat egy dedikált, biztonságos processzor hozza létre és védi az AMD CPU-ban, amely nem olvasható a szoftverből. További információkért tekintse meg az Azure Confidential Computing áttekintését.
Az alábbi operációs rendszerek támogatottak munkamenet-gazdagépként, bizalmas virtuális gépekkel az Azure Virtual Desktopon:
- Windows 11 Nagyvállalati verzió, 22H2-es verzió
- Windows 11 Nagyvállalati verzió több munkamenetes, 22H2-es verzió
- Windows Server 2022
- Windows Server 2019
A gazdagépkészlet létrehozásakor vagy munkamenet-gazdagépek gazdagépkészlethez való hozzáadásakor bizalmas virtuális gépek használatával hozhat létre munkamenet-gazdagépeket.
Operációsrendszer-lemeztitkosítás
Az operációsrendszer-lemez titkosítása egy további titkosítási réteg, amely a lemeztitkosítási kulcsokat a bizalmas számítási virtuális gép megbízható platformmodulhoz (TPM) köti. Ez a titkosítás csak a virtuális gép számára teszi elérhetővé a lemez tartalmát. Az integritásmonitorozás lehetővé teszi a virtuális gép rendszerindítási integritásának titkosítási igazolását és ellenőrzését, valamint a figyelési riasztásokat, ha a virtuális gép nem indult el, mert az igazolás a megadott alapkonfigurációval meghiúsult. Az integritás monitorozásáról további információt Felhőhöz készült Microsoft Defender Integráció című témakörben talál. A bizalmas számítási titkosítást akkor engedélyezheti, ha bizalmas virtuális gépek használatával hoz létre munkamenet-gazdagépeket, amikor gazdagépkészletet hoz létre, vagy munkamenet-gazdagépeket ad hozzá egy gazdagépkészlethez.
Biztonságos rendszerindítás
A Secure Boot egy olyan mód, amelyet a platform belső vezérlőprogramja támogat, amely megvédi a belső vezérlőprogramot a kártevőalapú rootkitektől és a rendszerindító készletektől. Ez a mód csak az aláírt operációs rendszerek és illesztőprogramok indítását teszi lehetővé.
Rendszerindítási integritás monitorozása távoli igazolással
A távoli igazolás nagyszerű módszer a virtuális gépek állapotának ellenőrzésére. A távoli igazolás ellenőrzi, hogy a mért rendszerindítási rekordok jelen vannak-e, valódiak-e, és a virtuális megbízható platform modulból (vTPM) származnak-e. Állapot-ellenőrzésként titkosítási bizonyosságot biztosít arról, hogy egy platform megfelelően indult-e el.
vTPM
A vTPM egy hardveres megbízható platformmodul (TPM) virtualizált verziója, virtuális gépenként egy TPM virtuális példányával. A vTPM a virtuális gép teljes rendszerindítási láncának (UEFI, operációs rendszer, rendszer és illesztőprogramok) integritásmérésével teszi lehetővé a távoli igazolást.
Javasoljuk, hogy engedélyezze a vTPM számára a távoli igazolás használatát a virtuális gépeken. Ha a vTPM engedélyezve van, a BitLocker funkciót az Azure Disk Encryption használatával is engedélyezheti, amely teljes kötetes titkosítást biztosít az inaktív adatok védelméhez. A vTPM-et használó funkciók az adott virtuális géphez kötött titkos kódokat eredményeznek. Amikor a felhasználók készletezett forgatókönyvben csatlakoznak az Azure Virtual Desktop szolgáltatáshoz, a felhasználók a gazdagépkészlet bármely virtuális gépére átirányíthatók. A funkció kialakításától függően ennek hatása lehet.
Megjegyzés:
A BitLocker nem használható az FSLogix-profiladatok tárolására szolgáló lemez titkosítására.
Virtualizációalapú biztonság
A virtualizációalapú biztonság (VBS) a hipervizor használatával hoz létre és különít el egy biztonságos memóriaterületet, amely nem érhető el az operációs rendszer számára. A Hypervisor által védett kódintegritás (HVCI) és a Windows Defender Credential Guard egyaránt VBS-t használ a biztonsági rések elleni fokozott védelem érdekében.
Hipervizor által védett kódintegritás
A HVCI egy hatékony rendszercsökkentés, amely A VBS használatával védi a Windows kernel módú folyamatait a rosszindulatú vagy nem ellenőrzött kódok injektálása és végrehajtása ellen.
Windows Defender Credential Guard
Engedélyezze a Windows Defender Hitelesítőadat-őrt. A Windows Defender Credential Guard VBS-t használ a titkos kódok elkülönítésére és védelmére, hogy csak a kiemelt rendszerszoftverek férhessenek hozzá. Ez megakadályozza a titkos kódokhoz és a hitelesítő adatok ellopására irányuló támadásokhoz, például a Pass-the-Hash támadásokhoz való jogosulatlan hozzáférést. További információ: Credential Guard – áttekintés.
Windows Defender Alkalmazásvezérlés
Engedélyezze a Windows Defender alkalmazásvezérlőt. A Windows Defender alkalmazásvezérlőt úgy tervezték, hogy megvédje az eszközöket a kártevők és más nem megbízható szoftverek ellen. Megakadályozza a rosszindulatú kódok futtatását, mivel biztosítja, hogy csak a jóváhagyott kód futtatható legyen. További információ: Application Control for Windows.
Megjegyzés:
A Windows Defender hozzáférés-vezérlés használata esetén azt javasoljuk, hogy csak az eszköz szintjén célozza meg a szabályzatokat. Bár egyéni felhasználókra is meg lehet célozni a szabályzatokat, a szabályzat alkalmazása után az az eszköz összes felhasználóját egyformán érinti.
Windows Update
Tartsa naprakészen a munkamenet-gazdagépeket a Windows Update frissítéseivel. A Windows Update biztonságos módot biztosít az eszközök naprakészen tartására. A végpontok közötti védelem megakadályozza a protokollcserék manipulálását, és biztosítja, hogy a frissítések csak jóváhagyott tartalmakat tartalmazzanak. Előfordulhat, hogy frissítenie kell néhány védett környezet tűzfal- és proxyszabályait a Windows Frissítések megfelelő eléréséhez. További információ: Windows Update security.
Távoli asztali ügyfél és frissítések más operációsrendszer-platformokon
Az Azure Virtual Desktop-szolgáltatások más operációsrendszer-platformokon való eléréséhez használható távoli asztali ügyfelek szoftverfrissítései a megfelelő platformok biztonsági szabályzatainak megfelelően vannak biztosítva. Minden ügyfélfrissítést közvetlenül a platformjaik kézbesítenek. További információkért tekintse meg az egyes alkalmazásokhoz tartozó áruházoldalakat: