Zalecenia dotyczące zabezpieczeń usługi Azure Virtual Desktop
Azure Virtual Desktop to zarządzana usługa pulpitu wirtualnego, która obejmuje wiele funkcji zabezpieczeń umożliwiających zapewnienie bezpieczeństwa organizacji. Architektura usługi Azure Virtual Desktop składa się z wielu składników tworzących usługę łączącą użytkowników z pulpitami i aplikacjami.
Usługa Azure Virtual Desktop ma wiele wbudowanych zaawansowanych funkcji zabezpieczeń, takich jak odwrotna Połączenie, w której nie trzeba otwierać portów sieciowych dla ruchu przychodzącego, co zmniejsza ryzyko związane z dostępem pulpitów zdalnych z dowolnego miejsca. Usługa korzysta również z wielu innych funkcji zabezpieczeń platformy Azure, takich jak uwierzytelnianie wieloskładnikowe i dostęp warunkowy. W tym artykule opisano kroki, które można wykonać jako administrator, aby zapewnić bezpieczeństwo wdrożeń usługi Azure Virtual Desktop, niezależnie od tego, czy udostępniasz pulpity i aplikacje użytkownikom w organizacji, czy użytkownikom zewnętrznym.
Wspólna odpowiedzialność za bezpieczeństwo
Przed usługą Azure Virtual Desktop lokalne rozwiązania wirtualizacji, takie jak usługi pulpitu zdalnego, wymagają udzielenia użytkownikom dostępu do ról, takich jak Brama, Broker, Dostęp internetowy itd. Te role musiały być w pełni nadmiarowe i mogły obsługiwać szczytową pojemność. Administracja istratory zainstalują te role w ramach systemu operacyjnego Windows Server i musiały zostać przyłączone do domeny z określonymi portami dostępnymi dla połączeń publicznych. Aby zapewnić bezpieczeństwo wdrożeń, administratorzy musieli stale upewnić się, że wszystko w infrastrukturze zostało utrzymane i aktualne.
Jednak w większości usług w chmurze istnieje wspólny zestaw obowiązków dotyczących zabezpieczeń między firmą Microsoft a klientem lub partnerem. W przypadku usługi Azure Virtual Desktop większość składników jest zarządzanych przez firmę Microsoft, ale hosty sesji i niektóre usługi i składniki pomocnicze są zarządzane przez klienta lub zarządzane przez partnera. Aby dowiedzieć się więcej na temat składników zarządzanych przez firmę Microsoft usługi Azure Virtual Desktop, zobacz Architektura i odporność usługi Azure Virtual Desktop.
Chociaż niektóre składniki są już zabezpieczone dla środowiska, należy skonfigurować inne obszary, aby dopasować je do potrzeb organizacji lub klientów w zakresie zabezpieczeń. Poniżej przedstawiono składniki, które są odpowiedzialne za zabezpieczenia we wdrożeniu usługi Azure Virtual Desktop:
| Składnik | Odpowiedzialność |
|---|---|
| Tożsamość | Klient lub partner |
| Urządzenia użytkownika (urządzenia przenośne i komputery) | Klient lub partner |
| Zabezpieczenia aplikacji | Klient lub partner |
| System operacyjny hosta sesji | Klient lub partner |
| Konfiguracja wdrożenia | Klient lub partner |
| Formanty sieciowe | Klient lub partner |
| Płaszczyzna sterowania wirtualizacji | Microsoft |
| Fizyczne hosty | Microsoft |
| Sieć fizyczna | Microsoft |
| Fizyczne centrum danych | Microsoft |
Granice zabezpieczeń
Granice zabezpieczeń oddzielają kod i dane domen zabezpieczeń o różnych poziomach zaufania. Zazwyczaj istnieje granica zabezpieczeń między trybem jądra a trybem użytkownika. Większość oprogramowania i usług firmy Microsoft zależy od wielu granic zabezpieczeń, aby odizolować urządzenia od sieci, maszyn wirtualnych i aplikacji na urządzeniach. W poniższej tabeli wymieniono każdą granicę zabezpieczeń dla systemu Windows i ich działania w celu zapewnienia ogólnych zabezpieczeń.
| Granica zabezpieczeń | opis |
|---|---|
| Granica sieci | Nieautoryzowany punkt końcowy sieci nie może uzyskać dostępu lub manipulować kodem i danymi na urządzeniu klienta. |
| Granica jądra | Proces trybu użytkownika innego niż administracyjny nie może uzyskać dostępu do kodu jądra i danych ani nie może go modyfikować. Administracja istrator-jądro nie jest granicą zabezpieczeń. |
| Granica procesu | Nieautoryzowany proces trybu użytkownika nie może uzyskać dostępu do kodu i danych innego procesu ani manipulować nimi. |
| Granica piaskownicy appContainer | Proces piaskownicy opartej na usłudze AppContainer nie może uzyskać dostępu do kodu i danych poza piaskownicą ani nie może modyfikować ich w oparciu o możliwości kontenera. |
| Granica użytkownika | Użytkownik nie może uzyskać dostępu lub manipulować kodem i danymi innego użytkownika bez autoryzacji. |
| Granica sesji | Sesja użytkownika nie może uzyskać dostępu do innej sesji użytkownika ani manipulować bez autoryzacji. |
| Granica przeglądarki internetowej | Nieautoryzowana witryna internetowa nie może naruszać zasad tego samego źródła ani nie może uzyskać do niej dostępu ani manipulować kodem natywnym i danymi piaskownicy przeglądarki internetowej Microsoft Edge. |
| Granica maszyny wirtualnej | Nieautoryzowana maszyna wirtualna gościa funkcji Hyper-V nie może uzyskać dostępu ani manipulować kodem i danymi innej maszyny wirtualnej gościa; Obejmuje to kontenery izolowane funkcji Hyper-V. |
| Granica wirtualnego trybu bezpiecznego (VSM) | Kod działający poza zaufanym procesem lub enklawą programu VSM nie może uzyskać dostępu do danych i kodu ani go modyfikować w ramach zaufanego procesu. |
Zalecane granice zabezpieczeń dla scenariuszy usługi Azure Virtual Desktop
Należy również dokonać pewnych wyborów dotyczących granic zabezpieczeń na podstawie wielkości liter. Jeśli na przykład użytkownik w organizacji potrzebuje uprawnień administratora lokalnego do instalowania aplikacji, musisz nadać im pulpit osobisty zamiast hosta sesji udostępnionej. Nie zalecamy nadawania użytkownikom uprawnień administratora lokalnego w scenariuszach obejmujących wiele sesji, ponieważ ci użytkownicy mogą przekraczać granice zabezpieczeń dla sesji lub uprawnień danych NTFS, zamknąć maszyny wirtualne z wieloma sesjami lub wykonywać inne czynności, które mogą przerwać usługę lub spowodować utratę danych.
Użytkownicy z tej samej organizacji, tacy jak pracownicy wiedzy z aplikacjami, którzy nie wymagają uprawnień administratora, są doskonałymi kandydatami do hostów sesji wielosesyjnej, takich jak wiele sesji systemu Windows 11 Enterprise. Te hosty sesji obniżają koszty organizacji, ponieważ wielu użytkowników może współdzielić jedną maszynę wirtualną tylko z kosztami obciążenia maszyny wirtualnej na użytkownika. Dzięki produktom do zarządzania profilami użytkowników, takimi jak FSLogix, użytkownicy mogą mieć przypisaną dowolną maszynę wirtualną w puli hostów bez konieczności zauważenia żadnych przerw w działaniu usługi. Ta funkcja umożliwia również optymalizowanie kosztów przez wykonywanie takich czynności, jak zamykanie maszyn wirtualnych poza godzinami szczytu.
Jeśli twoja sytuacja wymaga od użytkowników z różnych organizacji nawiązania połączenia z wdrożeniem, zalecamy posiadanie oddzielnej dzierżawy dla usług tożsamości, takich jak Active Directory i Microsoft Entra ID. Zalecamy również posiadanie oddzielnej subskrypcji dla tych użytkowników do hostowania zasobów platformy Azure, takich jak usługa Azure Virtual Desktop i maszyny wirtualne.
W wielu przypadkach użycie wielu sesji jest akceptowalnym sposobem obniżenia kosztów, ale to, czy zalecamy, zależy to od poziomu zaufania między użytkownikami z równoczesnym dostępem do współużytkowanego wystąpienia wielu sesji. Zazwyczaj użytkownicy należący do tej samej organizacji mają wystarczającą i uzgodnioną relację zaufania. Na przykład dział lub grupa robocza, w której ludzie współpracują i mogą uzyskiwać dostęp do danych osobowych, jest organizacją o wysokim poziomie zaufania.
System Windows używa granic zabezpieczeń i mechanizmów kontroli w celu zapewnienia, że procesy użytkownika i dane są izolowane między sesjami. Jednak system Windows nadal zapewnia dostęp do wystąpienia, nad którymi pracuje użytkownik.
Wdrożenia obejmujące wiele sesji korzystają ze strategii zabezpieczeń w głębi systemu, która zwiększa granice zabezpieczeń, które uniemożliwiają użytkownikom w organizacji i poza organizacją uzyskanie nieautoryzowanego dostępu do danych osobowych innych użytkowników. Nieautoryzowany dostęp do danych występuje z powodu błędu w procesie konfiguracji przez administratora systemu, takiego jak nieujawniona luka w zabezpieczeniach lub znana luka w zabezpieczeniach, która nie została jeszcze poprawiona.
Nie zalecamy udzielania użytkownikom, którzy pracują dla różnych lub konkurencyjnych firm dostępu do tego samego środowiska wielosesyjnego. Te scenariusze mają kilka granic zabezpieczeń, które mogą być atakowane lub nadużywane, takie jak sieć, jądro, proces, użytkownik lub sesje. Jedna luka w zabezpieczeniach może spowodować nieautoryzowane dane i kradzież poświadczeń, wycieki informacji osobistych, kradzież tożsamości i inne problemy. Dostawcy zwirtualizowanych środowisk są odpowiedzialni za oferowanie dobrze zaprojektowanych systemów z wieloma silnymi granicami zabezpieczeń i dodatkowymi funkcjami bezpieczeństwa, które są dostępne wszędzie tam, gdzie to możliwe.
Zmniejszenie tych potencjalnych zagrożeń wymaga konfiguracji sprawdzającej błędy, procesu projektowania zarządzania poprawkami i regularnych harmonogramów wdrażania poprawek. Lepiej jest przestrzegać zasad ochrony w głębi systemu i zachować oddzielne środowiska.
Poniższa tabela zawiera podsumowanie naszych zaleceń dotyczących każdego scenariusza.
| Scenariusz poziomu zaufania | Zalecane rozwiązanie |
|---|---|
| Użytkownicy z jednej organizacji z uprawnieniami standardowymi | Użyj systemu operacyjnego z wieloma sesjami systemu operacyjnego Windows Enterprise. |
| Użytkownicy wymagają uprawnień administracyjnych | Użyj osobistej puli hostów i przypisz każdemu użytkownikowi własnego hosta sesji. |
| Użytkownicy z różnych organizacji łączących się | Oddzielna dzierżawa platformy Azure i subskrypcja platformy Azure |
Najlepsze rozwiązania dotyczące zabezpieczeń platformy Azure
Azure Virtual Desktop to usługa na platformie Azure. Aby zmaksymalizować bezpieczeństwo wdrożenia usługi Azure Virtual Desktop, należy również zabezpieczyć otaczającą infrastrukturę platformy Azure i płaszczyznę zarządzania. Aby zabezpieczyć infrastrukturę, rozważ, jak usługa Azure Virtual Desktop pasuje do większego ekosystemu platformy Azure. Aby dowiedzieć się więcej na temat ekosystemu platformy Azure, zobacz Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure.
Dzisiejszy krajobraz zagrożeń wymaga projektowania z myślą o podejściach do zabezpieczeń. W idealnym przypadku należy utworzyć szereg mechanizmów zabezpieczeń i mechanizmów kontroli warstwowych w całej sieci komputerowej, aby chronić dane i sieć przed naruszeniem lub atakiem. Ten typ projektu zabezpieczeń jest tym, co Stany Zjednoczone Cybersecurity and Infrastructure Security Agency (CISA) nazywa ochronę w głębi systemu.
Poniższe sekcje zawierają zalecenia dotyczące zabezpieczania wdrożenia usługi Azure Virtual Desktop.
Włączanie Microsoft Defender dla Chmury
Zalecamy włączenie rozszerzonych funkcji zabezpieczeń Microsoft Defender dla Chmury w celu:
- Zarządzanie lukami w zabezpieczeniach.
- Ocena zgodności z typowymi strukturami, takimi jak w Radzie Standardów Bezpieczeństwa PCI.
- Wzmocnienie ogólnego bezpieczeństwa środowiska.
Aby dowiedzieć się więcej, zobacz Włączanie rozszerzonych funkcji zabezpieczeń.
Poprawianie wskaźnika bezpieczeństwa
Wskaźnik bezpieczeństwa zawiera zalecenia i porady dotyczące najlepszych rozwiązań w zakresie poprawy ogólnego bezpieczeństwa. Te zalecenia mają priorytet, aby ułatwić wybranie najważniejszych opcji, a opcje szybkiej poprawki ułatwiają szybkie rozwiązywanie potencjalnych luk w zabezpieczeniach. Te zalecenia są również aktualizowane w miarę upływu czasu, zapewniając aktualną aktualną datę utrzymania bezpieczeństwa środowiska. Aby dowiedzieć się więcej, zobacz Ulepszanie wskaźnika bezpieczeństwa w Microsoft Defender dla Chmury.
Wymaganie uwierzytelniania wieloskładnikowego
Wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników i administratorów w usłudze Azure Virtual Desktop zwiększa bezpieczeństwo całego wdrożenia. Aby dowiedzieć się więcej, zobacz Włączanie uwierzytelniania wieloskładnikowego firmy Microsoft dla usługi Azure Virtual Desktop.
Włączanie dostępu warunkowego
Włączenie dostępu warunkowego umożliwia zarządzanie ryzykiem przed udzieleniem użytkownikom dostępu do środowiska usługi Azure Virtual Desktop. Podczas podejmowania decyzji o tym, którzy użytkownicy mają udzielić dostępu, zalecamy również rozważenie, kim jest użytkownik, jak się logują i jakiego urządzenia używają.
Zbieranie dzienników inspekcji
Włączenie zbierania dzienników inspekcji umożliwia wyświetlanie aktywności użytkowników i administratorów związanych z usługą Azure Virtual Desktop. Oto kilka przykładów kluczowych dzienników inspekcji:
- Dziennik aktywności platformy Azure
- Dziennik aktywności firmy Microsoft Entra
- Tożsamość Microsoft Entra
- Hosty sesji
- Dzienniki usługi Key Vault
Korzystanie z usługi RemoteApp
Podczas wybierania modelu wdrażania można zapewnić użytkownikom zdalnym dostęp do całych komputerów stacjonarnych lub wybrać aplikacje tylko po opublikowaniu jako usługa RemoteApp. Usługa RemoteApp zapewnia bezproblemowe środowisko pracy użytkownika z aplikacjami z pulpitu wirtualnego. Usługa RemoteApp zmniejsza ryzyko, pozwalając użytkownikowi na pracę tylko z podzbiorem maszyny zdalnej uwidocznionej przez aplikację.
Monitorowanie użycia za pomocą usługi Azure Monitor
Monitorowanie użycia i dostępności usługi Azure Virtual Desktop za pomocą usługi Azure Monitor. Rozważ utworzenie alertów kondycji usługi dla usługi Azure Virtual Desktop, aby otrzymywać powiadomienia za każdym razem, gdy wystąpi zdarzenie wpływające na usługę.
Szyfrowanie hostów sesji
Szyfruj hosty sesji za pomocą opcji szyfrowania dysków zarządzanych, aby chronić przechowywane dane przed nieautoryzowanym dostępem.
Najlepsze rozwiązania dotyczące zabezpieczeń hosta sesji
Hosty sesji to maszyny wirtualne, które działają w ramach subskrypcji platformy Azure i sieci wirtualnej. Ogólne zabezpieczenia wdrożenia usługi Azure Virtual Desktop zależą od mechanizmów kontroli zabezpieczeń umieszczonych na hostach sesji. W tej sekcji opisano najlepsze rozwiązania dotyczące zabezpieczania hostów sesji.
Włączanie ochrony punktu końcowego
Aby chronić wdrożenie przed znanym złośliwym oprogramowaniem, zalecamy włączenie ochrony punktu końcowego na wszystkich hostach sesji. Można użyć programu antywirusowego Windows Defender lub programu innej firmy. Aby dowiedzieć się więcej, zobacz Przewodnik wdrażania programu antywirusowego Windows Defender w środowisku VDI.
W przypadku rozwiązań profilowych, takich jak FSLogix lub inne rozwiązania, które zainstalują pliki wirtualnego dysku twardego, zalecamy wyłączenie tych rozszerzeń plików.
Instalowanie produktu wykrywanie i reagowanie w punktach końcowych
Zalecamy zainstalowanie produktu wykrywanie i reagowanie w punktach końcowych (EDR) w celu zapewnienia zaawansowanych funkcji wykrywania i reagowania. W przypadku systemów operacyjnych serwera z włączonym Microsoft Defender dla Chmury instalowanie produktu EDR spowoduje wdrożenie Ochrona punktu końcowego w usłudze Microsoft Defender. W przypadku systemów operacyjnych klienta można wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender lub produkt innej firmy w tych punktach końcowych.
Włączanie ocen Zarządzanie zagrożeniami i lukami
Identyfikowanie luk w zabezpieczeniach oprogramowania istniejących w systemach operacyjnych i aplikacjach ma kluczowe znaczenie dla zapewnienia bezpieczeństwa środowiska. Microsoft Defender dla Chmury może pomóc w zidentyfikowaniu punktów problemów za pośrednictwem rozwiązania Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender. Możesz również używać produktów innych firm, jeśli jesteś tak skłonny, chociaż zalecamy używanie Microsoft Defender dla Chmury i Ochrona punktu końcowego w usłudze Microsoft Defender.
Stosowanie luk w zabezpieczeniach oprogramowania w środowisku
Po zidentyfikowaniu luki w zabezpieczeniach należy ją zastosować. Dotyczy to również środowisk wirtualnych, w tym działających systemów operacyjnych, aplikacji wdrożonych w nich oraz obrazów tworzonych na podstawie nowych maszyn. Postępuj zgodnie z komunikacją z powiadomieniami dotyczącymi poprawek dostawcy i stosuj poprawki w odpowiednim czasie. Zalecamy stosowanie poprawek obrazów podstawowych co miesiąc, aby upewnić się, że nowo wdrożone maszyny są tak bezpieczne, jak to możliwe.
Ustanawianie maksymalnego czasu nieaktywnego i zasad rozłączania
Wylogowywanie użytkowników, gdy są nieaktywni, zachowuje zasoby i uniemożliwia dostęp nieautoryzowanym użytkownikom. Zalecamy, aby limity czasu równoważyły produktywność użytkowników, a także użycie zasobów. W przypadku użytkowników korzystających z aplikacji bezstanowych rozważ bardziej agresywne zasady wyłączające maszyny i zachowujące zasoby. Odłączanie długotrwałych aplikacji, które nadal działają, jeśli użytkownik jest bezczynny, taki jak symulacja lub renderowanie CAD, może przerwać pracę użytkownika i nawet wymagać ponownego uruchomienia komputera.
Konfigurowanie blokad ekranu dla bezczynnych sesji
Możesz zapobiec niepożądanemu dostępowi do systemu, konfigurując usługę Azure Virtual Desktop, aby zablokować ekran maszyny w czasie bezczynności i wymagać uwierzytelnienia w celu jego odblokowania.
Ustanawianie dostępu administratora warstwowego
Zalecamy, aby nie udzielać użytkownikom dostępu administratora do pulpitów wirtualnych. Jeśli potrzebujesz pakietów oprogramowania, zalecamy udostępnienie ich za pomocą narzędzi do zarządzania konfiguracją, takich jak Microsoft Intune. W środowisku obejmującym wiele sesji zalecamy nie zezwalanie użytkownikom na bezpośrednie instalowanie oprogramowania.
Rozważ, którzy użytkownicy powinni uzyskiwać dostęp do zasobów
Rozważ hosty sesji jako rozszerzenie istniejącego wdrożenia pulpitu. Zalecamy kontrolowanie dostępu do zasobów sieciowych w taki sam sposób, jak w przypadku innych komputerów stacjonarnych w danym środowisku, takich jak segmentacja sieci i filtrowanie. Domyślnie hosty sesji mogą łączyć się z dowolnym zasobem w Internecie. Istnieje kilka sposobów ograniczania ruchu, w tym przy użyciu usługi Azure Firewall, wirtualnych urządzeń sieciowych lub serwerów proxy. Jeśli musisz ograniczyć ruch, upewnij się, że dodano odpowiednie reguły, aby usługa Azure Virtual Desktop mogła działać prawidłowo.
Zarządzanie zabezpieczeniami aplikacji platformy Microsoft 365
Oprócz zabezpieczania hostów sesji ważne jest również zabezpieczenie aplikacji działających wewnątrz nich. Aplikacje platformy Microsoft 365 to niektóre z najpopularniejszych aplikacji wdrożonych na hostach sesji. Aby zwiększyć bezpieczeństwo wdrożenia platformy Microsoft 365, zalecamy użycie doradcy zasad zabezpieczeń dla Aplikacje Microsoft 365 dla przedsiębiorstw. To narzędzie identyfikuje zasady, które można zastosować do wdrożenia w celu zwiększenia bezpieczeństwa. Doradca zasad zabezpieczeń zaleca również zasady w oparciu o ich wpływ na bezpieczeństwo i produktywność.
Zabezpieczenia profilu użytkownika
Profile użytkowników mogą zawierać poufne informacje. Należy ograniczyć, kto ma dostęp do profilów użytkowników i metod uzyskiwania do nich dostępu, zwłaszcza jeśli używasz kontenera profilów FSLogix do przechowywania profilów użytkowników w pliku wirtualnego dysku twardego w udziale SMB. Należy postępować zgodnie z zaleceniami dotyczącymi zabezpieczeń dostawcy udziału SMB. Jeśli na przykład używasz usługi Azure Files do przechowywania tych wirtualnych plików dysków twardych, możesz użyć prywatnych punktów końcowych, aby były dostępne tylko w sieci wirtualnej platformy Azure.
Inne porady dotyczące zabezpieczeń dla hostów sesji
Ograniczając możliwości systemu operacyjnego, można zwiększyć bezpieczeństwo hostów sesji. Oto kilka czynności, które można wykonać:
Sterowanie przekierowywaniem urządzeń przez przekierowywanie dysków, drukarek i urządzeń USB do urządzenia lokalnego użytkownika w sesji pulpitu zdalnego. Zalecamy ocenę wymagań dotyczących zabezpieczeń i sprawdzenie, czy te funkcje powinny być wyłączone, czy nie.
Ogranicz dostęp do Eksploratora Windows, ukrywając mapowania dysków lokalnych i zdalnych. Uniemożliwia to użytkownikom odnajdywanie niechcianych informacji o konfiguracji systemu i użytkownikach.
Unikaj bezpośredniego dostępu RDP do hostów sesji w danym środowisku. Jeśli potrzebujesz bezpośredniego dostępu RDP do administrowania lub rozwiązywania problemów, włącz dostęp just in time , aby ograniczyć potencjalną powierzchnię ataków na hoście sesji.
Udziel użytkownikom ograniczonych uprawnień podczas uzyskiwania dostępu do lokalnych i zdalnych systemów plików. Uprawnienia można ograniczyć, upewniając się, że lokalne i zdalne systemy plików używają list kontroli dostępu z najniższymi uprawnieniami. Dzięki temu użytkownicy mogą uzyskiwać dostęp tylko do potrzebnych zasobów i nie mogą zmieniać ani usuwać krytycznych zasobów.
Zapobiegaj uruchamianiu niechcianego oprogramowania na hostach sesji. Funkcję App Locker można włączyć w celu zapewnienia dodatkowych zabezpieczeń na hostach sesji, zapewniając, że tylko dozwolone aplikacje mogą być uruchamiane na hoście.
Zaufane uruchamianie
Zaufane uruchamianie to maszyny wirtualne platformy Azure Gen2 z rozszerzonymi funkcjami zabezpieczeń, które mają na celu ochronę przed zagrożeniami na dole stosu za pośrednictwem wektorów ataków, takich jak rootkits, zestawy rozruchowe i złośliwe oprogramowanie na poziomie jądra. Poniżej przedstawiono ulepszone funkcje zabezpieczeń zaufanego uruchamiania, z których wszystkie są obsługiwane w usłudze Azure Virtual Desktop. Aby dowiedzieć się więcej na temat zaufanego uruchamiania, odwiedź stronę Zaufane uruchamianie maszyn wirtualnych platformy Azure.
Włącz zaufane uruchamianie jako domyślne
Zaufane uruchamianie chroni przed zaawansowanymi i trwałymi technikami ataków. Ta funkcja umożliwia również bezpieczne wdrażanie maszyn wirtualnych przy użyciu zweryfikowanych modułów ładujących rozruchu, jądra systemu operacyjnego i sterowników. Zaufane uruchamianie chroni również klucze, certyfikaty i wpisy tajne na maszynach wirtualnych. Dowiedz się więcej na temat zaufanego uruchamiania na stronie Zaufane uruchamianie maszyn wirtualnych platformy Azure.
Podczas dodawania hostów sesji przy użyciu witryny Azure Portal typ zabezpieczeń automatycznie zmienia się na Zaufane maszyny wirtualne. Dzięki temu maszyna wirtualna spełnia obowiązkowe wymagania dotyczące systemu Windows 11. Aby uzyskać więcej informacji na temat tych wymagań, zobacz Obsługa maszyn wirtualnych.
Maszyny wirtualne do przetwarzania poufnego platformy Azure
Obsługa usługi Azure Virtual Desktop dla maszyn wirtualnych przetwarzania poufnego platformy Azure zapewnia, że pulpit wirtualny użytkownika jest szyfrowany w pamięci, chroniony w użyciu i wspierany przez główny element główny zaufania sprzętu. Maszyny wirtualne do przetwarzania poufnego platformy Azure dla usługi Azure Virtual Desktop są zgodne z obsługiwanymi systemami operacyjnymi. Wdrażanie poufnych maszyn wirtualnych za pomocą usługi Azure Virtual Desktop zapewnia użytkownikom dostęp do platformy Microsoft 365 i innych aplikacji na hostach sesji korzystających z izolacji opartej na sprzęcie, co wzmacnia izolację od innych maszyn wirtualnych, funkcji hypervisor i systemu operacyjnego hosta. Te pulpity wirtualne są obsługiwane przez najnowszą wersję procesora EPYC™ (Gen 3) Advanced Micro Devices (AMD) z technologią Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP). Klucze szyfrowania pamięci są generowane i chronione przez dedykowany bezpieczny procesor wewnątrz procesora AMD, którego nie można odczytać z oprogramowania. Aby uzyskać więcej informacji, zobacz Omówienie poufnego przetwarzania na platformie Azure.
Następujące systemy operacyjne są obsługiwane jako hosty sesji z poufnymi maszynami wirtualnymi w usłudze Azure Virtual Desktop:
- Windows 11 Enterprise, wersja 22H2
- Wiele sesji systemu Windows 11 Enterprise w wersji 22H2
- Windows Server 2022
- Windows Server 2019
Hosty sesji można tworzyć przy użyciu poufnych maszyn wirtualnych podczas tworzenia puli hostów lub dodawania hostów sesji do puli hostów.
Szyfrowanie dysków systemu operacyjnego
Szyfrowanie dysku systemu operacyjnego to dodatkowa warstwa szyfrowania, która wiąże klucze szyfrowania dysku z modułem TPM (Trusted Platform Module) maszyny wirtualnej poufnego przetwarzania. To szyfrowanie sprawia, że zawartość dysku jest dostępna tylko dla maszyny wirtualnej. Monitorowanie integralności umożliwia zaświadczenie kryptograficzne i weryfikację integralności rozruchu maszyny wirtualnej oraz alerty monitorowania, jeśli maszyna wirtualna nie została uruchomiony, ponieważ zaświadczenie nie powiodło się ze zdefiniowanym punktem odniesienia. Aby uzyskać więcej informacji na temat monitorowania integralności, zobacz Microsoft Defender dla Chmury Integracja. Poufne szyfrowanie obliczeniowe można włączyć podczas tworzenia hostów sesji przy użyciu poufnych maszyn wirtualnych podczas tworzenia puli hostów lub dodawania hostów sesji do puli hostów.
Bezpieczny rozruch
Bezpieczny rozruch to tryb obsługiwany przez oprogramowanie układowe platformy, który chroni oprogramowanie układowe przed złośliwym oprogramowaniem rootkits i zestawami rozruchowymi. Ten tryb umożliwia rozruch tylko podpisanych systemów operacyjnych i sterowników.
Monitorowanie integralności rozruchu przy użyciu zdalnego zaświadczania
Zdalne zaświadczanie to doskonały sposób na sprawdzenie kondycji maszyn wirtualnych. Zdalne zaświadczanie sprawdza, czy mierzone rekordy rozruchu są obecne, prawdziwe i pochodzą z wirtualnego modułu zaufanej platformy (vTPM). W ramach kontroli kondycji zapewnia pewność kryptograficzną, że platforma została prawidłowo uruchomiona.
VTPM
VTPM to zwirtualizowana wersja sprzętowego modułu TPM (Trusted Platform Module) z wirtualnym wystąpieniem modułu TPM na maszynę wirtualną. Program vTPM umożliwia zdalne zaświadczanie, wykonując pomiar integralności całego łańcucha rozruchu maszyny wirtualnej (UEFI, OS, system i sterowniki).
Zalecamy włączenie funkcji vTPM do używania zdalnego zaświadczania na maszynach wirtualnych. Po włączeniu funkcji vTPM można również włączyć funkcję BitLocker za pomocą usługi Azure Disk Encryption, która zapewnia szyfrowanie pełnego woluminu w celu ochrony danych magazynowanych. Wszystkie funkcje korzystające z maszyny wirtualnej vTPM spowodują powiązanie wpisów tajnych z określoną maszyną wirtualną. Gdy użytkownicy łączą się z usługą Azure Virtual Desktop w scenariuszu w puli, użytkownicy mogą być przekierowywani do dowolnej maszyny wirtualnej w puli hostów. W zależności od tego, jak zaprojektowano tę funkcję, może to mieć wpływ.
Uwaga
Funkcja BitLocker nie powinna służyć do szyfrowania określonego dysku, na którym są przechowywane dane profilu FSLogix.
Zabezpieczenia oparte na wirtualizacji
Zabezpieczenia oparte na wirtualizacji (VBS) używają funkcji hypervisor do tworzenia i izolowania bezpiecznego regionu pamięci, który jest niedostępny dla systemu operacyjnego. Funkcja Hypervisor-Protected Code Integrity (HVCI) i funkcja Windows Defender Credential Guard używają języka VBS w celu zapewnienia zwiększonej ochrony przed lukami w zabezpieczeniach.
Integralność kodu chronionego przez funkcję Hypervisor
HVCI to zaawansowane środki zaradcze systemu, które używają języka VBS do ochrony procesów trybu jądra systemu Windows przed wstrzyknięciem i wykonaniem złośliwego lub niezweryfikowanego kodu.
Windows Defender Credential Guard
Włącz funkcję Windows Defender Credential Guard. Funkcja Windows Defender Credential Guard używa języka VBS do izolowania i ochrony wpisów tajnych, dzięki czemu tylko uprzywilejowane oprogramowanie systemowe może uzyskiwać do nich dostęp. Zapobiega to nieautoryzowanemu dostępowi do tych wpisów tajnych i ataków kradzieży poświadczeń, takich jak ataki typu Pass-the-Hash. Aby uzyskać więcej informacji, zobacz Omówienie funkcji Credential Guard.
Kontrola aplikacji usługi Windows Defender
Włącz kontrolę aplikacji w usłudze Windows Defender. Funkcja Windows Defender Application Control została zaprojektowana w celu ochrony urządzeń przed złośliwym oprogramowaniem i innym niezaufanym oprogramowaniem. Zapobiega to uruchamianiu złośliwego kodu, upewniając się, że można uruchomić tylko zatwierdzony kod. Aby uzyskać więcej informacji, zobacz Kontrola aplikacji dla systemu Windows.
Uwaga
W przypadku korzystania z kontroli dostępu w usłudze Windows Defender zalecamy stosowanie zasad tylko na poziomie urządzenia. Chociaż można kierować zasady do poszczególnych użytkowników, po zastosowaniu zasad ma to wpływ na wszystkich użytkowników na urządzeniu.
Windows Update
Zachowaj aktualność hostów sesji dzięki aktualizacjom z usługi Windows Update. Usługa Windows Update zapewnia bezpieczny sposób aktualizowania urządzeń. Jego kompleksowa ochrona uniemożliwia manipulowanie wymianami protokołów i gwarantuje, że aktualizacje obejmują tylko zatwierdzoną zawartość. W celu uzyskania odpowiedniego dostępu do systemu Windows Aktualizacje może być konieczne zaktualizowanie reguł zapory i serwera proxy dla niektórych środowisk chronionych. Aby uzyskać więcej informacji, zobacz Zabezpieczenia usługi Windows Update.
Klient pulpitu zdalnego i aktualizacje na innych platformach systemu operacyjnego
Aktualizacje oprogramowania dla klientów usług pulpitu zdalnego, których można używać do uzyskiwania dostępu do usług usługi Azure Virtual Desktop na innych platformach systemu operacyjnego, są zabezpieczone zgodnie z zasadami zabezpieczeń odpowiednich platform. Wszystkie aktualizacje klienta są dostarczane bezpośrednio przez ich platformy. Aby uzyskać więcej informacji, zobacz odpowiednie strony sklepu dla każdej aplikacji:
Następne kroki
- Dowiedz się, jak skonfigurować uwierzytelnianie wieloskładnikowe.
- Stosowanie zasad zero trust dla wdrożenia usługi Azure Virtual Desktop.