Recomendações de segurança para a Área de Trabalho Virtual do Azure
A Área de Trabalho Virtual do Azure é um serviço de área de trabalho virtual gerenciado que inclui várias funcionalidades de segurança para manter sua organização segura. A arquitetura da Área de Trabalho Virtual do Azure compreende muitos componentes que compõem o serviço que conecta os usuários a suas áreas de trabalho e aplicativos.
A Área de Trabalho Virtual do Azure tem muitos recursos de segurança avançados internos, como a Conexão Reversa, em que nenhuma porta de rede de entrada é necessária para ser aberta, o que reduz o risco envolvido em ter áreas de trabalho remotas acessíveis de qualquer lugar. O serviço também se beneficia de muitos outros recursos de segurança do Azure, como autenticação multifator e acesso condicional. Este artigo descreve as etapas que você pode seguir como administrador para manter suas implantações de Área de Trabalho Virtual do Azure seguras, independentemente de você fornecer áreas de trabalho e aplicativos para usuários em sua organização ou para usuários externos.
Responsabilidade compartilhada pela segurança
Antes da Área de Trabalho Virtual do Azure, soluções locais de virtualização como os Serviços de Área de Trabalho Remota exigiam que os usuários recebessem funções como Gateway, Broker, Acesso via Web e assim por diante. Essas funções tinham de ser totalmente redundantes e capazes de lidar com a capacidade de pico. Os administradores instalariam essas funções como parte do sistema operacional Windows Server e elas precisavam ser ingressadas no domínio com portas específicas acessíveis a conexões públicas. Para manter as implantações seguras, os administradores tinham que garantir constantemente que tudo na infraestrutura fosse mantido e atualizado.
Na maioria dos serviços de nuvem, no entanto, há um conjunto compartilhado de responsabilidades de segurança entre a Microsoft e o cliente ou parceiro. Para a Área de Trabalho Virtual do Azure, a maioria dos componentes é gerenciada pela Microsoft, mas os hosts de sessão e alguns serviços e componentes de suporte são gerenciados pelo cliente ou pelo parceiro. Para saber mais sobre os componentes gerenciados pela Microsoft da Área de Trabalho Virtual do Azure, consulte Arquitetura e resiliência do serviço de Área de Trabalho Virtual do Azure.
Embora alguns componentes já venham protegidos para seu ambiente, você mesmo precisará configurar outras áreas para atender às necessidades de segurança da sua organização ou do cliente. Aqui estão os componentes dos quais você é responsável pela segurança em sua implantação da Área de Trabalho Virtual do Azure:
| Componente | Capacidade de resposta |
|---|---|
| Identidade | Cliente ou parceiro |
| Dispositivos de usuário (móvel e PC) | Cliente ou parceiro |
| Segurança do aplicativo | Cliente ou parceiro |
| Sistema operacional do host da sessão | Cliente ou parceiro |
| Configuração de implantação | Cliente ou parceiro |
| Controles de rede | Cliente ou parceiro |
| Plano de controle de virtualização | Microsoft |
| Hosts físicos | Microsoft |
| Rede física | Microsoft |
| Datacenter físico | Microsoft |
Limites de segurança
Limites de segurança separam o código e os dados de domínios de segurança com diferentes níveis de confiança. Por exemplo, há geralmente um limite de segurança entre o modo kernel e o modo de usuário. A maioria dos softwares e serviços da Microsoft depende de vários limites de segurança para isolar dispositivos em redes, máquinas virtuais (VMs) e aplicativos em dispositivos. A tabela a seguir lista cada limite de segurança do Windows e o papel deles na segurança geral.
| Limite de segurança | Descrição |
|---|---|
| Limite de rede | Um ponto de extremidade de rede não autorizado não pode acessar nem adulterar o código e os dados no dispositivo de um cliente. |
| Limite de kernel | Um processo de modo de usuário não administrativo não pode acessar nem adulterar o código e os dados do kernel. A função de administrador de kernel não é um limite de segurança. |
| Limite de processo | Um processo de modo de usuário não autorizado não pode acessar nem adulterar o código e os dados de outro processo. |
| Limite de área restrita do AppContainer | Um processo de área restrita baseado no AppContainer não pode acessar nem adulterar o código e os dados fora da área restrita com base nos recursos do contêiner. |
| Limite de usuário | Um usuário não pode acessar nem adulterar o código e os dados de outro usuário sem autorização. |
| Limite de sessão | Uma sessão de usuário não pode acessar nem adulterar outra sessão de usuário sem autorização. |
| Limite de navegador da Web | Um site não autorizado não pode violar a política de mesma origem nem acessar/adulterar o código nativo e os dados da área restrita do navegador Web Microsoft Edge. |
| Limite de máquina virtual | Uma máquina virtual Hyper-V convidada não autorizada não pode acessar nem adulterar o código e os dados de outra máquina virtual convidada, o que inclui contêineres isolados do Hyper-V. |
| Limite do VSM (modo de segurança virtual) | Os códigos que são executados fora do enclave ou do processo confiável do VSM não podem acessar nem adulterar o código e os dados do processo confiável. |
Limites de segurança recomendados para cenários da Área de Trabalho Virtual do Azure
Também pode ser necessário escolher os limites de segurança caso a caso. Por exemplo, se um usuário em sua organização precisar de privilégios de administrador local para instalar aplicativos, você precisará dar a ele uma área de trabalho pessoal em vez de um host de sessão compartilhado. Não recomendamos conceder aos usuários privilégios de administrador local em cenários de pool de várias sessões, pois esses usuários podem cruzar os limites de segurança para sessões ou permissões de dados NTFS, desligar VMs de várias sessões ou fazer outras coisas que possam interromper o serviço ou causar perdas de dados.
Usuários da mesma organização, como profissionais de conhecimento com aplicativos que não exigem privilégios de administrador, são ótimos candidatos para hosts de sessão de várias sessões, como o Windows 11 Enterprise de várias sessões. Esses hosts de sessão reduzem os custos para sua organização porque vários usuários podem compartilhar uma única VM, com apenas os custos gerais de uma VM por usuário. Com produtos de gerenciamento de perfil de usuário, como o FSLogix, os usuários podem receber qualquer VM em um pool de hosts sem perceber interrupções de serviço. Esse recurso também permite otimizar os custos, como através do desligamento de VMs fora do horário de pico.
Se sua situação exigir que usuários de organizações diferentes se conectem à sua implantação, recomendamos que você tenha um locatário separado para serviços de identidade, como o Active Directory e o Microsoft Entra ID. Também recomendamos que você tenha uma assinatura separada para esses usuários para hospedar recursos do Azure, como a Área de Trabalho Virtual do Azure e VMs.
Em muitos casos, o uso de várias sessões é uma maneira aceitável de reduzir os custos, mas a recomendação dele depende do nível de confiança entre os usuários com acesso simultâneo a uma instância compartilhada de várias sessões. Normalmente, os usuários que pertencem à mesma organização têm uma relação de confiança suficiente e acordada. Por exemplo, um departamento ou grupo de trabalho em que as pessoas colaboram e podem acessar as informações pessoais umas das outras é uma organização com alto nível de confiança.
O Windows usa controles e limites de segurança para garantir que os processos e os dados do usuário sejam isolados entre as sessões. No entanto, ele ainda fornece acesso à instância em que o usuário está trabalhando.
As implantações de várias sessões se beneficiariam de uma estratégia de segurança aprofundada que adiciona mais limites de segurança que impedem que usuários dentro e fora da organização obtenham acesso não autorizado às informações pessoais de outros usuários. O acesso não autorizado a dados ocorre devido a um erro do administrador do sistema no processo de configuração, como uma vulnerabilidade de segurança não divulgada ou uma vulnerabilidade conhecida que ainda não foi corrigida.
Não recomendamos conceder aos usuários que trabalham para empresas diferentes ou concorrentes acesso ao mesmo ambiente de várias sessões. Esses cenários têm vários limites de segurança que podem ser atacados ou aproveitados, como redes, kernel, processos, usuários ou sessões. Uma única vulnerabilidade de segurança pode causar roubos de credenciais e dados não autorizados, vazamentos de informações pessoais, roubo de identidade, entre outros problemas. Os provedores de ambientes virtualizados são responsáveis por oferecer, sempre que possível, sistemas bem projetados com diversos limites de segurança sólidos e recursos adicionais de segurança habilitados.
Reduzir essas ameaças potenciais requer uma configuração à prova de falhas, um processo de design de gerenciamento de patches e agendas de implantação regular de patches. É recomendado seguir os princípios de defesa em profundidade e manter os ambientes separados.
A tabela a seguir resume nossas recomendações para cada cenário.
| Cenário de nível de confiança | Solução recomendada |
|---|---|
| Usuários de uma organização com privilégios padrão | Use um sistema operacional Windows Enterprise de várias sessões. |
| Os usuários exigem privilégios administrativos | Use um pool de hosts pessoal e atribua a cada usuário seu próprio host de sessão. |
| Usuários de diferentes organizações se conectam | Separar o locatário do Azure e a assinatura do Azure |
Melhores práticas de segurança do Azure
A Área de Trabalho Virtual do Azure é um serviço do Azure. Para maximizar a segurança de sua implantação de Área de Trabalho Virtual do Azure, você também deve garantir a proteção da infraestrutura e do plano de gerenciamento em torno do Azure. Para proteger sua infraestrutura, considere como a Área de Trabalho Virtual do Azure se adapta ao seu ecossistema maior do Azure. Para saber mais sobre o ecossistema do Azure, consulte Padrões e melhores práticas de segurança do Azure.
O panorama de ameaças de hoje exige designs que levem em conta abordagens de segurança. Idealmente, você cria uma série de controles e mecanismos de segurança dispostos em camadas por toda a rede de computadores para proteger tanto ela quanto os dados contra ataques ou falhas. Esse tipo de projeto de segurança é o que a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) chama de defesa em profundidade.
As seções a seguir contêm recomendações para proteger uma implantação da Área de Trabalho Virtual do Azure.
Habilitar o Microsoft Defender para Nuvem
Recomendamos habilitar recursos de segurança aprimorados do Microsoft Defender para Nuvem para:
- Gerenciar vulnerabilidades.
- Avalie a conformidade com estruturas comuns, como a do PCI Security Standards Council.
- Fortalecer a segurança geral do seu ambiente.
Para saber mais, consulte Habilitar recursos de segurança aprimorados.
Aprimorar sua classificação de segurança
A classificação segura fornece recomendações e conselhos de melhores práticas para melhorar sua segurança geral. Essas recomendações são priorizadas para ajudar você a escolher quais são as mais importantes, e as opções de Correção Rápida ajudam você a resolver vulnerabilidades potenciais rapidamente. Essas recomendações também são atualizadas com o passar do tempo, mantendo você atualizado sobre as melhores formas de manter a segurança do seu ambiente. Para saber mais, consulte Melhorar a Pontuação de Segurança no Microsoft Defender para Nuvem.
Exigir autenticação multifator
Exigir a autenticação multifator para todos os usuários e administradores na Área de Trabalho Virtual do Azure aprimora a segurança de toda a implantação. Para saber mais, confira Habilitar a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure.
Habilitar o Acesso Condicional
Habilitar o Acesso Condicional permite que você gerencie os riscos antes de conceder acesso ao seu ambiente de Área de Trabalho Virtual do Azure. Ao decidir a quais usuários conceder acesso, recomendamos que você também considere quem é o usuário, como eles se conectam e qual dispositivo ele está usando.
Coletar logs de auditoria
Habilitar a coleta de log de auditoria permite exibir a atividade de usuário e de administrador relacionada à Área de Trabalho Virtual do Azure. Alguns exemplos de logs de auditoria de chave são:
- Log de atividades do Azure
- Log de atividades do Microsoft Entra
- Microsoft Entra ID
- Hosts de sessão
- Logs do Key Vault
Usar RemoteApp
Ao escolher um modelo de implantação, você pode fornecer aos usuários remotos acesso a áreas de trabalho inteiras ou apenas selecionar aplicativos quando publicados como um RemoteApp. O RemoteApp fornece uma experiência perfeita à medida que o usuário trabalha com aplicativos em sua área de trabalho virtual. O RemoteApp reduz o risco ao permitir que o usuário trabalhe com um subconjunto do computador remoto exposto pelo aplicativo.
Monitorar o uso com o Azure Monitor
Monitore o uso e a disponibilidade do serviço de Área de Trabalho Virtual do Azure com o Azure Monitor. Cogite criar alertas de integridade do serviço para o serviço de Área de Trabalho Virtual do Azure para receber notificações sempre que houver um evento de impacto no serviço.
Criptografar seus hosts de sessão
Criptografe seus hosts de sessão com opções de criptografia de disco gerenciado para proteger os dados armazenados contra acesso não autorizado.
Melhores práticas de segurança do host da sessão
Os hosts de sessão são máquinas virtuais que são executadas dentro de uma assinatura e rede virtual do Azure. A segurança geral da implantação de Área de Trabalho Virtual do Azure depende dos controles de segurança que você colocou em seus hosts de sessão. Esta seção descreve as melhores práticas para manter seus hosts de sessão seguros.
Habilitar a proteção de ponto de extremidade
Para proteger sua implantação contra softwares mal-intencionados conhecidos, é recomendável habilitar a proteção de ponto de extremidade em todos os hosts de sessão. Você pode usar o Windows Defender Antivírus ou um programa de terceiros. Para saber mais, consulte Guia de implantação do Windows Defender Antivírus em um ambiente da VDI.
Para soluções de perfil como FSLogix ou outras soluções que montam arquivos de disco rígido virtual, recomendamos excluir essas extensões de arquivo.
Instalar um produto de detecção e resposta de ponto de extremidade
É recomendável que você instale um produto de EDR (detecção e resposta de ponto de extremidade) para fornecer recursos avançados de detecção e resposta. Para sistemas operacionais de servidor com o Microsoft Defender para Nuvem habilitado, a instalação de um produto de EDR implantará o Microsoft Defender para Ponto de Extremidade. Para sistemas operacionais cliente, você pode implantar o Microsoft Defender para Ponto de Extremidade ou um produto de terceiros para esses pontos de extremidade.
Habilitar avaliações de gerenciamento de ameaças e vulnerabilidades
A identificação de vulnerabilidades de software existentes em sistemas operacionais e aplicativos é essencial para manter seu ambiente seguro. o microsoft defender for Cloud pode ajudá-lo a identificar pontos de problemas por meio da solução de gerenciamento de ameaças e vulnerabilidades do Microsoft Defender para Ponto de Extremidade. Você também pode usar produtos de terceiros caso prefira, embora seja recomendável usar o Microsoft Defender para Nuvem e o Microsoft Defender para Ponto de Extremidade.
Corrigir vulnerabilidades de software no seu ambiente
Assim que identificar uma vulnerabilidade, você deve corrigi-la. Isso também se aplica a ambientes virtuais, que inclui os sistemas operacionais em execução, os aplicativos implantados dentro deles e as imagens usadas para cria novos computadores. Siga suas comunicações de notificação de patch do fornecedor e aplique patches em tempo oportuno. É recomendável aplicar patches de suas imagens base mensalmente para garantir que os computadores implantados recentemente estejam o mais seguro possível.
Estabelecer políticas de tempo máximo inativo e de desconexão
Ao desconectar usuários quando eles estão inativos, você preserva recursos e impede o acesso de usuários não autorizados. É recomendável que os tempos limite equilibrem a produtividade do usuário, bem como o uso de recursos. Para usuários que interagem com aplicativos sem estado, cogite usar políticas mais agressivas que desliguem computadores e preservem recursos. A desconexão de aplicativos de execução prolongada que continuam sendo executados caso um usuário esteja ocioso, como uma simulação ou renderização CAD, poderá interromper o trabalho do usuário e poderá até mesmo exigir a reinicialização do computador.
Configurar bloqueios de tela para sessões ociosas
Você pode impedir o acesso indesejado ao sistema configurando a Área de Trabalho Virtual do Azure para bloquear a tela de um computador durante o tempo ocioso e exigir autenticação para desbloqueá-la.
Estabelecer o acesso de administrador em camadas
É recomendável que você não conceda aos usuários o acesso de administrador a áreas de trabalho virtuais. Caso precise de pacotes de software, é recomendável torná-los disponíveis através de utilitários de gerenciamento de configuração, como o Microsoft Intune. Em um ambiente de várias sessões, é recomendável não permitir que os usuários instalem o software de modo direto.
Considere quais usuários devem acessar quais recursos
Pense nos hosts de sessão como uma extensão da implantação de área de trabalho existente. É recomendável que você controle o acesso a recursos de rede do mesmo modo que seria feito para outras áreas de trabalho do seu ambiente, como usar a segmentação e a filtragem de rede. Por padrão, os hosts de sessão podem ser conectados a qualquer recurso na Internet. Há várias maneiras de limitar o tráfego, incluindo o uso do Firewall do Azure, de proxies ou de soluções de virtualização de rede. Caso precise limitar o tráfego, adicione as regras apropriadas para que a Área de Trabalho Virtual do Azure possa funcionar adequadamente.
Gerenciar a segurança do aplicativo Microsoft 365
Além de proteger seus hosts de sessão, também é importante proteger os aplicativos em execução dentro deles. Os aplicativos do Microsoft 365 são alguns dos aplicativos mais comuns implantados em hosts de sessão. Para melhorar a segurança de implantação do Microsoft 365, recomendamos que você use o Security Policy Advisor for Microsoft 365 Apps for enterprise. Essa ferramenta identifica as políticas que podem ser aplicadas à sua implantação para obter mais segurança. O Assistente de Política de Segurança também recomenda políticas com base no impacto delas na sua segurança e produtividade.
Segurança de perfil do usuário:
Os perfis do usuário podem conter informações confidenciais. Você deve restringir quem tem acesso aos perfis de usuário e os métodos de acessá-los, especialmente se estiver usando o FSLogix Profile Container para armazenar perfis de usuário em um arquivo de disco rígido virtual em um compartilhamento SMB. Você deve seguir as recomendações de segurança para o provedor do compartilhamento SMB. Por exemplo, se você estiver usando os Arquivos do Azure para armazenar esses arquivos de disco rígido virtual, poderá usar pontos de extremidade privados para torná-los acessíveis apenas em uma rede virtual do Azure.
Outras dicas de segurança para hosts de sessão
Ao restringir recursos do sistema operacional, você pode reforçar a segurança dos seus hosts de sessão. Aqui estão algumas coisas que você pode fazer:
Controlar o redirecionamento de dispositivo ao redirecionar unidades, impressoras e dispositivos USB para o dispositivo local de um usuário em uma sessão de área de trabalho remota. É recomendável que você avalie os requisitos de segurança e verifique se esses recursos devam ser desabilitados ou não.
Restrinja o acesso ao Windows Explorer ocultando os mapeamentos de unidade locais e remotas. Isso impede que os usuários descubram informações indesejadas sobre a configuração do sistema e sobre os usuários.
Evite o acesso RDP direto a hosts de sessão no seu ambiente. Caso precise de acesso RDP direto para administração ou solução de problemas, habilite o acesso just-in-time para limitar a possível superfície de ataque em um host de sessão.
Conceda permissões limitadas aos usuários quando eles acessarem sistemas de arquivos locais e remotos. Você pode restringir as permissões ao fazer com que seus sistemas de arquivos locais e remotos usem listas de controle de acesso com privilégios mínimos. Dessa forma, os usuários só podem acessar aquilo de que precisam, não podendo alterar ou excluir recursos críticos.
Impedir que um software indesejado seja executado em hosts de sessão. Você pode habilitar o Bloqueador de Aplicativo para segurança adicional em hosts de sessão, garantindo que apenas aplicativos permitidos possam ser executados no host.
Inicialização confiável
O lançamento confiável são VMs do Azure Gen2 com recursos de segurança aprimorados destinados a proteger contra ameaças de fundo da pilha por meio de vetores de ataque, como rootkits, kits de inicialização e malware no nível do kernel. A seguir estão os recursos de segurança aprimorados de início confiável, todos com suporte na Área de Trabalho Virtual do Azure. Para saber mais sobre o início confiável, visite Início confiável para máquinas virtuais do Azure.
Habilitar o início confiável como padrão
O início confiável protege contra técnicas de ataque avançadas e persistentes. Esse recurso também permite a implantação segura de VMs com carregadores de inicialização verificados, kernels do SO e drivers. O Início confiável também protege chaves, certificados e segredos nas VMs. Saiba mais sobre o início confiável em Início confiável para máquinas virtuais do Azure.
Quando você adiciona hosts da sessão usando o portal do Azure, o tipo de segurança é alterado automaticamente para Máquinas virtuais confiáveis. Isso garante que sua VM atenda aos requisitos obrigatórios para o Windows 11. Para obter mais informações sobre esses requisitos, consulte Suporte a máquinas virtuais.
Computação Confidencial do Azure para máquinas virtuais
O suporte à Área de Trabalho Virtual do Azure para Computação Confidencial do Azure para máquinas virtuais garante que a área de trabalho virtual do usuário esteja criptografada na memória, protegida em uso e apoiada pela raiz de confiança baseada em hardware. A Computação Confidencial do Azure para VMs na Área de Trabalho Virtual do Azure são compatíveis com sistemas operacionais com suporte. A implantação de VMs confidenciais com a Área de Trabalho Virtual do Azure dá aos usuários acesso ao Microsoft 365 e a outros aplicativos em hosts de sessão que usam isolamento baseado em hardware, que protege o isolamento de outras máquinas virtuais, do hipervisor e do sistema operacional do host. Essas áreas de trabalho virtuais são alimentadas pelo processador EPYC™ de terceira geração (Gen 3) Advanced Micro Devices (AMD) com a tecnologia de Paginação Aninhada Segura de Virtualização Criptografada Segura (SEV-SNP) mais recente. As chaves de criptografia de memória são geradas e protegidas por um processador seguro dedicado dentro da CPU AMD que não pode ser lida do software. Para obter mais informações, consulte a Visão geral da Computação Confidencial do Azure.
Os seguintes sistemas operacionais têm suporte para uso como hosts da sessão com VMs confidenciais na Área de Trabalho Virtual do Azure:
- Windows 11 Enterprise, versão 22H2
- Windows 11 Enterprise multissessão, versão 22H2
- Windows Server 2022
- Windows Server 2019
Você pode criar hosts da sessão usando VMs confidenciais ao criar um pool de hosts ou adicionar hosts da sessão a um pool de hosts.
Criptografia de disco do SO
A Criptografia do disco do sistema operacional é uma camada extra de criptografia que associa as chaves de criptografia do disco ao múdulo de plataforma confiável (TPM) da VM de Computação confidencial. Essa criptografia torna o conteúdo do disco acessível somente à VM. O monitoramento da integridade permite o atestado criptográfico e a verificação da integridade da inicialização da VM, além de alertas de monitoramento se a VM não inicializar porque o atestado falhou com a linha de base definida. Para obter mais informações sobre o monitoramento de integridade, consulte Microsoft Defender para Cloud Integration. Você pode habilitar a criptografia de computação confidencial ao criar hosts da sessão usando VMs confidenciais ao criar um pool de host ou adicionar hosts da sessão a um pool de host.
Inicialização Segura
A Inicialização Segura é um modo compatível com o firmware de plataforma que protege seu firmware contra rootkits e kits de inicialização baseados em malware. Esse modo só permite que sistemas operacionais e drivers assinados sejam inicializados.
Monitorar a integridade da inicialização usando o Atestado Remoto
O atestado remoto é uma ótima maneira de verificar a integridade de suas VMs. O atestado remoto verifica se estão presentes registros da Inicialização Medida, e que são provenientes do vTPM (virtual Trusted Platform Module). Como uma verificação de integridade, ele fornece certeza criptográfica de que uma plataforma foi iniciada corretamente.
vTPM
Um vTPM é uma versão virtualizada de um TPM (hardware Trusted Platform Module), com uma instância virtual de um TPM por VM. O vTPM habilita o atestado remoto executando a medição de integridade de toda a cadeia de inicialização da VM (UEFI, SISTEMA, sistema e drivers).
É recomendável habilitar o vTPM para usar o atestado remoto em suas VMs. Com o vTPM habilitado, você também pode habilitar a funcionalidade do BitLocker com o Azure Disk Encryption, que fornece criptografia de volume completo para proteger os dados inativos. Todos os recursos que usam vTPM resultarão em segredos vinculados à VM específica. Quando os usuários se conectam ao serviço de Área de Trabalho Virtual do Azure em um cenário em pool, os usuários podem ser redirecionados para qualquer VM no pool de hosts. Dependendo de como o recurso foi projetado, isso pode ter um impacto.
Observação
O BitLocker não deve ser usado para criptografar o disco específico onde você está armazenando seus dados de perfil do FSLogix.
Segurança com base em virtualização
A VBS (Segurança com base em virtualização) usa o hipervisor para criar e isolar uma região segura de memória que fica inacessível ao sistema operacional. A HVCI (integridade de código de Hypervisor-Protected) e o Windows Defender Credential Guard usam a VBS para fornecer maior proteção contra vulnerabilidades.
Integridade de código de Hypervisor-Protected
A HVCI é uma poderosa mitigação de sistema que usa a VBS para proteger processos do modo kernel do Windows contra a injeção e execução de código mal-intencionado ou não verificado.
Windows Defender Credential Guard
Habilitar o Windows Defender Credential Guard. O Windows Defender Credential Guard usa a VBS para isolar e proteger segredos para que somente o software de sistema privilegiado possa acessá-los. Isso impede o acesso não autorizado a esses segredos e ataques de roubo de credenciais, como ataques Pass-the-Hash. Para obter mais informações, consulte Visão geral do Credential Guard.
Controle de Aplicativos do Windows Defender
Habilitar o Controle de Aplicativos do Windows Defender. O Controle de Aplicativo do Windows Defender foi projetado para proteger dispositivos contra malware e outros softwares não confiáveis. Ele impede que códigos mal-intencionados sejam executados, garantindo que apenas o código aprovado, que você sabe, possa ser executado. Para obter mais informações, consulte Controle de aplicativos para Windows.
Observação
Ao usar o Controle de Acesso do Windows Defender, recomendamos direcionar apenas políticas no nível do dispositivo. Embora seja possível direcionar políticas a usuários individuais, após a aplicação da política, isso afeta igualmente todos os usuários no dispositivo.
Windows Update
Mantenha seus hosts de sessão atualizados com as atualizações do Windows Update. O Windows Update fornece uma maneira segura de manter seus dispositivos atualizados. Sua proteção de ponta a ponta evita a manipulação de trocas de protocolo e garante que as atualizações incluam apenas conteúdo aprovado. Talvez seja necessário atualizar as regras de firewall e proxy para alguns de seus ambientes protegidos para obter acesso adequado às Atualizações do Windows. Para obter mais informações, confira Segurança do Windows Update.
Cliente de Área de Trabalho Remota e atualizações em outras plataformas de sistema operacional
As atualizações de software para os clientes de Área de Trabalho Remota que você usa para acessar os serviços de Área de Trabalho Virtual do Azure em outras plataformas de sistema operacional são protegidas de acordo com as políticas de segurança de suas respectivas plataformas. Todas as atualizações do cliente são entregues diretamente por suas plataformas. Para mais informações, confira as respectivas páginas da loja de cada aplicativo: