Säkerhetsrekommendationer för Azure Virtual Desktop
Azure Virtual Desktop är en hanterad tjänst för virtuellt skrivbord som innehåller många säkerhetsfunktioner för att skydda din organisation. Arkitekturen för Azure Virtual Desktop består av många komponenter som utgör tjänsten som ansluter användare till deras skrivbord och appar.
Azure Virtual Desktop har många inbyggda avancerade säkerhetsfunktioner, till exempel Omvänd Anslut där inga inkommande nätverksportar krävs för att vara öppna, vilket minskar risken med att fjärrskrivbord är tillgängliga var som helst. Tjänsten drar också nytta av många andra säkerhetsfunktioner i Azure, till exempel multifaktorautentisering och villkorlig åtkomst. Den här artikeln beskriver de steg du kan vidta som administratör för att skydda dina Azure Virtual Desktop-distributioner, oavsett om du tillhandahåller skrivbord och appar till användare i din organisation eller till externa användare.
Delade ansvarsområden för säkerhet
Före Azure Virtual Desktop kräver lokala virtualiseringslösningar som Fjärrskrivbordstjänster att användarna får åtkomst till roller som Gateway, Broker, Web Access och så vidare. De här rollerna måste vara helt redundanta och kunna hantera toppkapacitet. Administratörer skulle installera dessa roller som en del av Windows Server-operativsystemet och de var tvungna att vara domänanslutna med specifika portar som är tillgängliga för offentliga anslutningar. För att skydda distributionerna var administratörerna tvungna att hela tiden se till att allt i infrastrukturen underhålls och är uppdaterat.
I de flesta molntjänster finns det dock en delad uppsättning säkerhetsansvar mellan Microsoft och kunden eller partnern. För Azure Virtual Desktop är de flesta komponenter Microsoft-hanterade, men sessionsvärdar och vissa stödtjänster och komponenter är kundhanterade eller partnerhanterade. Mer information om Microsoft-hanterade komponenter i Azure Virtual Desktop finns i Azure Virtual Desktop-tjänstens arkitektur och motståndskraft.
Vissa komponenter är redan skyddade för din miljö, men du måste konfigurera andra områden själv så att de passar organisationens eller kundens säkerhetsbehov. Här är de komponenter som du ansvarar för säkerheten i din Azure Virtual Desktop-distribution:
| Komponent | Ansvar |
|---|---|
| Identitet | Kund eller partner |
| Användarenheter (mobil och dator) | Kund eller partner |
| Appsäkerhet | Kund eller partner |
| Sessionsvärdoperativsystem | Kund eller partner |
| Distributionskonfiguration | Kund eller partner |
| Nätverkskontroller | Kund eller partner |
| Virtualiseringskontrollplan | Microsoft |
| Fysiska värdar | Microsoft |
| Fysiskt nätverk | Microsoft |
| Fysiska datacentra | Microsoft |
Säkerhetsgränser
Säkerhetsgränser separerar kod och data för säkerhetsdomäner med olika förtroendenivåer. Det finns till exempel vanligtvis en säkerhetsgräns mellan kernelläge och användarläge. De flesta Microsoft-program och -tjänster är beroende av flera säkerhetsgränser för att isolera enheter på nätverk, virtuella datorer och program på enheter. I följande tabell visas varje säkerhetsgräns för Windows och vad de gör för övergripande säkerhet.
| Säkerhetsgräns | beskrivning |
|---|---|
| Nätverksgräns | En obehörig nätverksslutpunkt kan inte komma åt eller manipulera kod och data på en kunds enhet. |
| Kernelgräns | En icke-administrativ användarlägesprocess kan inte komma åt eller manipulera kernelkod och data. Administratör till kernel är inte en säkerhetsgräns. |
| Processgräns | En process för obehörigt användarläge kan inte komma åt eller manipulera kod och data i en annan process. |
| AppContainer-sandbox-gräns | En AppContainer-baserad sandbox-process kan inte komma åt eller manipulera kod och data utanför sandbox-miljön baserat på containerfunktionerna. |
| Användargräns | En användare kan inte komma åt eller manipulera kod och data för en annan användare utan att ha behörighet. |
| Sessionsgräns | En användarsession kan inte komma åt eller manipulera en annan användarsession utan att ha behörighet. |
| Webbläsargräns | En obehörig webbplats kan inte bryta mot principen för samma ursprung, och den kan inte heller komma åt eller manipulera den interna koden och data i microsoft Edge-webbläsarens sandbox-miljö. |
| Gräns för virtuell dator | En obehörig virtuell Hyper-V-gästdator kan inte komma åt eller manipulera kod och data för en annan virtuell gästdator. Detta inkluderar isolerade Hyper-V-containrar. |
| Gränsen för virtuellt säkert läge (VSM) | Kod som körs utanför den betrodda VSM-processen eller enklaven kan inte komma åt eller manipulera data och kod i den betrodda processen. |
Rekommenderade säkerhetsgränser för Azure Virtual Desktop-scenarier
Du måste också göra vissa val om säkerhetsgränser från fall till fall. Om en användare i din organisation till exempel behöver lokal administratörsbehörighet för att installera appar måste du ge dem ett personligt skrivbord i stället för en delad sessionsvärd. Vi rekommenderar inte att du ger användarna lokal administratörsbehörighet i poolscenarier med flera sessioner eftersom dessa användare kan korsa säkerhetsgränser för sessioner eller NTFS-databehörigheter, stänga av virtuella datorer med flera sessioner eller göra andra saker som kan störa tjänsten eller orsaka dataförluster.
Användare från samma organisation, till exempel kunskapsarbetare med appar som inte kräver administratörsbehörighet, är bra kandidater för sessionsvärdar med flera sessioner, till exempel Windows 11 Enterprise multi-session. Dessa sessionsvärdar minskar kostnaderna för din organisation eftersom flera användare kan dela en enskild virtuell dator, med endast omkostnader för en virtuell dator per användare. Med användarprofilhanteringsprodukter som FSLogix kan användare tilldelas valfri virtuell dator i en värdpool utan att märka några tjänstavbrott. Med den här funktionen kan du också optimera kostnaderna genom att stänga av virtuella datorer under låg belastning.
Om din situation kräver att användare från olika organisationer ansluter till distributionen rekommenderar vi att du har en separat klientorganisation för identitetstjänster som Active Directory och Microsoft Entra-ID. Vi rekommenderar också att du har en separat prenumeration för de användare som är värdar för Azure-resurser som Azure Virtual Desktop och virtuella datorer.
I många fall är användning av flera sessioner ett acceptabelt sätt att minska kostnaderna, men om vi rekommenderar det beror på förtroendenivån mellan användare med samtidig åtkomst till en delad instans med flera sessioner. Användare som tillhör samma organisation har vanligtvis en tillräcklig och överenskommen förtroenderelation. Till exempel är en avdelning eller arbetsgrupp där personer samarbetar och kan komma åt varandras personliga information en organisation med hög förtroendenivå.
Windows använder säkerhetsgränser och kontroller för att säkerställa att användarprocesser och data isoleras mellan sessioner. Windows ger dock fortfarande åtkomst till den instans som användaren arbetar med.
Distributioner med flera sessioner skulle dra nytta av en djupgående säkerhetsstrategi som lägger till fler säkerhetsgränser som hindrar användare inom och utanför organisationen från att få obehörig åtkomst till andra användares personliga information. Obehörig dataåtkomst inträffar på grund av ett fel i konfigurationsprocessen av systemadministratören, till exempel en hemlig säkerhetsrisk eller en känd sårbarhet som inte har korrigerats ännu.
Vi rekommenderar inte att du ger användare som arbetar för olika eller konkurrerande företag åtkomst till samma miljö med flera sessioner. Dessa scenarier har flera säkerhetsgränser som kan attackeras eller missbrukas, till exempel nätverk, kernel, process, användare eller sessioner. En enda säkerhetsrisk kan orsaka obehöriga data och stöld av autentiseringsuppgifter, läckage av personlig information, identitetsstöld och andra problem. Virtualiserade miljöleverantörer ansvarar för att erbjuda väl utformade system med flera starka säkerhetsgränser och extra säkerhetsfunktioner aktiverade där det är möjligt.
För att minska dessa potentiella hot krävs en felsäker konfiguration, designprocess för korrigeringshantering och regelbundna uppdateringsdistributionsscheman. Det är bättre att följa principerna för skydd på djupet och hålla miljöer åtskilda.
I följande tabell sammanfattas våra rekommendationer för varje scenario.
| Scenario på förtroendenivå | Rekommenderad lösning |
|---|---|
| Användare från en organisation med standardprivilegier | Använd ett Windows Enterprise-operativsystem med flera sessioner. |
| Användare kräver administratörsbehörighet | Använd en personlig värdpool och tilldela varje användare en egen sessionsvärd. |
| Användare från olika organisationer som ansluter | Separera Azure-klientorganisation och Azure-prenumeration |
Metodtips för Azure Security
Azure Virtual Desktop är en tjänst under Azure. För att maximera säkerheten för din Azure Virtual Desktop-distribution bör du även skydda den omgivande Azure-infrastrukturen och hanteringsplanet. Du kan skydda infrastrukturen genom att tänka på hur Azure Virtual Desktop passar in i ditt större Azure-ekosystem. Mer information om Azure-ekosystemet finns i Metodtips och mönster för Säkerhet i Azure.
Dagens hotlandskap kräver design med säkerhetsstrategier i åtanke. Vi rekommenderar att du skapar en serie säkerhetsmekanismer och kontroller i hela datornätverket för att skydda dina data och nätverk från att komprometteras eller attackeras. Den här typen av säkerhetsdesign är vad USA Cybersecurity and Infrastructure Security Agency (CISA) kallar försvar på djupet.
Följande avsnitt innehåller rekommendationer för att skydda en Azure Virtual Desktop-distribution.
Aktivera Microsoft Defender för molnet
Vi rekommenderar att du aktiverar Microsoft Defender för molnet förbättrade säkerhetsfunktioner för att:
- Hantera säkerhetsrisker.
- Utvärdera efterlevnaden av vanliga ramverk som från PCI Security Standards Council.
- Stärka den övergripande säkerheten i din miljö.
Mer information finns i Aktivera förbättrade säkerhetsfunktioner.
Förbättra dina säkerhetspoäng
Säker poäng ger rekommendationer och bästa praxis råd för att förbättra din övergripande säkerhet. De här rekommendationerna prioriteras för att hjälpa dig att välja vilka som är viktigast, och snabbkorrigeringsalternativen hjälper dig att snabbt åtgärda potentiella säkerhetsrisker. Dessa rekommendationer uppdateras också med tiden, vilket håller dig uppdaterad om de bästa sätten att upprätthålla din miljös säkerhet. Mer information finns i Förbättra din säkerhetspoäng i Microsoft Defender för molnet.
Kräv multifaktorautentisering
Att kräva multifaktorautentisering för alla användare och administratörer i Azure Virtual Desktop förbättrar säkerheten för hela distributionen. Mer information finns i Aktivera Microsoft Entra multifaktorautentisering för Azure Virtual Desktop.
Aktivera villkorlig åtkomst
Genom att aktivera villkorlig åtkomst kan du hantera risker innan du ger användarna åtkomst till din Azure Virtual Desktop-miljö. När du bestämmer vilka användare som ska bevilja åtkomst till rekommenderar vi att du även överväger vem användaren är, hur de loggar in och vilken enhet de använder.
Samla in granskningsloggar
När du aktiverar insamling av granskningsloggar kan du visa användar- och administratörsaktiviteter relaterade till Azure Virtual Desktop. Några exempel på viktiga granskningsloggar är:
- Azure-aktivitetslogg
- Microsoft Entra-aktivitetslogg
- Microsoft Entra ID
- Sessionsvärdar
- Key Vault-loggar
Använda RemoteApp
När du väljer en distributionsmodell kan du antingen ge fjärranvändare åtkomst till hela skrivbord eller bara välja program när de publiceras som en RemoteApp. RemoteApp ger en sömlös upplevelse eftersom användaren arbetar med appar från sitt virtuella skrivbord. RemoteApp minskar risken genom att endast låta användaren arbeta med en delmängd av fjärrdatorn som exponeras av programmet.
Övervaka användning med Azure Monitor
Övervaka din Azure Virtual Desktop-tjänsts användning och tillgänglighet med Azure Monitor. Överväg att skapa tjänsthälsoaviseringar för Azure Virtual Desktop-tjänsten för att ta emot meddelanden när det finns en tjänst som påverkar händelsen.
Kryptera dina sessionsvärdar
Kryptera sessionsvärdarna med krypteringsalternativ för hanterade diskar för att skydda lagrade data från obehörig åtkomst.
Metodtips för sessionsvärdsäkerhet
Sessionsvärdar är virtuella datorer som körs i en Azure-prenumeration och ett virtuellt nätverk. Azure Virtual Desktop-distributionens övergripande säkerhet beror på de säkerhetskontroller som du sätter på sessionsvärdarna. I det här avsnittet beskrivs metodtips för att skydda dina sessionsvärdar.
Aktivera slutpunktsskydd
För att skydda distributionen från känd skadlig programvara rekommenderar vi att du aktiverar slutpunktsskydd på alla sessionsvärdar. Du kan använda antingen Windows Defender Antivirus eller ett program från tredje part. Mer information finns i Distributionsguide för Windows Defender Antivirus i en VDI-miljö.
För profillösningar som FSLogix eller andra lösningar som monterar virtuella hårddiskfiler rekommenderar vi att du undantar dessa filnamnstillägg.
Installera en identifiering och åtgärd på slutpunkt produkt
Vi rekommenderar att du installerar en identifiering och åtgärd på slutpunkt -produkt (Identifiering och åtgärd på slutpunkt) för att tillhandahålla avancerade identifierings- och svarsfunktioner. För serveroperativsystem med Microsoft Defender för molnet aktiverat distribuerar installation av en Identifiering och åtgärd på slutpunkt produkt Microsoft Defender för Endpoint. För klientoperativsystem kan du distribuera Microsoft Defender för Endpoint eller en produkt från tredje part till dessa slutpunkter.
Aktivera Hantering av hot och säkerhetsrisker utvärderingar
Att identifiera sårbarheter i programvara som finns i operativsystem och program är viktigt för att skydda din miljö. Microsoft Defender för molnet kan hjälpa dig att identifiera problempunkter genom Microsoft Defender för Endpoints Hantering av hot och säkerhetsrisker lösning. Du kan också använda produkter från tredje part om du är så benägen, även om vi rekommenderar att du använder Microsoft Defender för molnet och Microsoft Defender för Endpoint.
Korrigera sårbarheter för programvara i din miljö
När du har identifierat en säkerhetsrisk måste du korrigera den. Detta gäller även för virtuella miljöer, som omfattar de operativsystem som körs, de program som distribueras inuti dem och de avbildningar som du skapar nya datorer från. Följ meddelandekommunikationen för leverantörskorrigeringar och tillämpa korrigeringar i tid. Vi rekommenderar att du korrigerar dina basavbildningar varje månad för att säkerställa att nyligen distribuerade datorer är så säkra som möjligt.
Upprätta principer för maximal inaktiv tid och frånkoppling
Att logga ut användare när de är inaktiva bevarar resurser och förhindrar åtkomst av obehöriga användare. Vi rekommenderar att tidsgränser balanserar användarproduktivitet och resursanvändning. För användare som interagerar med tillståndslösa program bör du överväga mer aggressiva principer som inaktiverar datorer och bevarar resurser. Om du kopplar från tidskrävande program som fortsätter att köras om en användare är inaktiv, till exempel en simulering eller CAD-rendering, kan det avbryta användarens arbete och kan till och med kräva att datorn startas om.
Konfigurera skärmlås för inaktiva sessioner
Du kan förhindra oönskad systemåtkomst genom att konfigurera Azure Virtual Desktop för att låsa en dators skärm under inaktiv tid och kräva autentisering för att låsa upp den.
Upprätta nivåindelad administratörsåtkomst
Vi rekommenderar att du inte ger användarna administratörsåtkomst till virtuella skrivbord. Om du behöver programvarupaket rekommenderar vi att du gör dem tillgängliga via konfigurationshanteringsverktyg som Microsoft Intune. I en miljö med flera sessioner rekommenderar vi att du inte låter användarna installera programvara direkt.
Överväg vilka användare som ska komma åt vilka resurser
Överväg sessionsvärdar som ett tillägg för din befintliga skrivbordsdistribution. Vi rekommenderar att du styr åtkomsten till nätverksresurser på samma sätt som för andra skrivbord i din miljö, till exempel genom att använda nätverkssegmentering och filtrering. Som standard kan sessionsvärdar ansluta till valfri resurs på Internet. Det finns flera sätt att begränsa trafiken, till exempel att använda Azure Firewall, Virtuella nätverksinstallationer eller proxyservrar. Om du behöver begränsa trafiken måste du lägga till rätt regler så att Azure Virtual Desktop kan fungera korrekt.
Hantera Microsoft 365-appsäkerhet
Förutom att skydda dina sessionsvärdar är det viktigt att även skydda de program som körs i dem. Microsoft 365-appar är några av de vanligaste programmen som distribueras i sessionsvärdar. För att förbättra distributionssäkerheten i Microsoft 365 rekommenderar vi att du använder Security Policy Advisor för Microsoft 365-appar för företag. Det här verktyget identifierar principer som du kan använda för distributionen för mer säkerhet. Security Policy Advisor rekommenderar också principer baserat på deras inverkan på din säkerhet och produktivitet.
Säkerhet för användarprofil
Användarprofiler kan innehålla känslig information. Du bör begränsa vem som har åtkomst till användarprofiler och metoderna för att komma åt dem, särskilt om du använder FSLogix-profilcontainern för att lagra användarprofiler i en virtuell hårddiskfil på en SMB-resurs. Du bör följa säkerhetsrekommendationerna för providern av din SMB-resurs. Om du till exempel använder Azure Files för att lagra dessa virtuella hårddiskfiler kan du använda privata slutpunkter för att göra dem endast tillgängliga i ett virtuellt Azure-nätverk.
Andra säkerhetstips för sessionsvärdar
Genom att begränsa operativsystemets funktioner kan du stärka säkerheten för dina sessionsvärdar. Här är några saker du kan göra:
Kontrollera omdirigering av enheter genom att omdirigera enheter, skrivare och USB-enheter till en användares lokala enhet i en fjärrskrivbordssession. Vi rekommenderar att du utvärderar dina säkerhetskrav och kontrollerar om dessa funktioner bör inaktiveras eller inte.
Begränsa åtkomsten till Utforskaren genom att dölja lokala mappningar och fjärrenhetsmappningar. Detta hindrar användare från att identifiera oönskad information om systemkonfiguration och användare.
Undvik direkt RDP-åtkomst till sessionsvärdar i din miljö. Om du behöver direkt RDP-åtkomst för administration eller felsökning aktiverar du just-in-time-åtkomst för att begränsa den potentiella attackytan på en sessionsvärd.
Ge användarna begränsade behörigheter när de får åtkomst till lokala och fjärranslutna filsystem. Du kan begränsa behörigheter genom att se till att dina lokala och fjärranslutna filsystem använder åtkomstkontrollistor med minst behörighet. På så sätt kan användarna bara komma åt det de behöver och kan inte ändra eller ta bort kritiska resurser.
Förhindra att oönskad programvara körs på sessionsvärdar. Du kan aktivera App Locker för ytterligare säkerhet på sessionsvärdar, så att endast de appar som du tillåter kan köras på värden.
Betrodd start
Betrodd start är virtuella Gen2 Azure-datorer med förbättrade säkerhetsfunktioner som syftar till att skydda mot hot i botten av stacken via attackvektorer som rootkits, startpaket och skadlig kod på kernelnivå. Följande är de förbättrade säkerhetsfunktionerna för betrodd start, som alla stöds i Azure Virtual Desktop. Mer information om betrodd start finns i Betrodd start för virtuella Azure-datorer.
Aktivera betrodd start som standard
Betrodd start skyddar mot avancerade och beständiga attacktekniker. Den här funktionen möjliggör även säker distribution av virtuella datorer med verifierade startinläsare, OS-kernels och drivrutiner. Betrodd start skyddar även nycklar, certifikat och hemligheter på de virtuella datorerna. Läs mer om betrodd start vid betrodd start för virtuella Azure-datorer.
När du lägger till sessionsvärdar med hjälp av Azure-portalen ändras säkerhetstypen automatiskt till betrodda virtuella datorer. Detta säkerställer att den virtuella datorn uppfyller de obligatoriska kraven för Windows 11. Mer information om dessa krav finns i Stöd för virtuella datorer.
Virtuella datorer för azure-konfidentiell databehandling
Azure Virtual Desktop-stöd för virtuella Datorer med Azure Confidential-databehandling säkerställer att en användares virtuella skrivbord krypteras i minnet, skyddas i användning och backas upp av maskinvaruroten för förtroende. Virtuella Datorer för azure konfidentiell databehandling för Azure Virtual Desktop är kompatibla med operativsystem som stöds. Om du distribuerar konfidentiella virtuella datorer med Azure Virtual Desktop får användarna åtkomst till Microsoft 365 och andra program på sessionsvärdar som använder maskinvarubaserad isolering, vilket härdar isoleringen från andra virtuella datorer, hypervisor-programmet och värdoperativsystemet. Dessa virtuella skrivbord drivs av den senaste EPYC-processorn™ för tredje generationen (Gen 3) Advanced Micro Devices (AMD) med SEV-SNP-teknik (Secure Encrypted Virtualization Secure Nested Paging). Minneskrypteringsnycklar genereras och skyddas av en dedikerad säker processor i AMD-processorn som inte kan läsas från programvara. Mer information finns i översikten över azure konfidentiell databehandling.
Följande operativsystem stöds för användning som sessionsvärdar med konfidentiella virtuella datorer på Azure Virtual Desktop:
- Windows 11 Enterprise, version 22H2
- Windows 11 Enterprise multi-session, version 22H2
- Windows Server 2022
- Windows Server 2019
Du kan skapa sessionsvärdar med hjälp av konfidentiella virtuella datorer när du skapar en värdpool eller lägger till sessionsvärdar i en värdpool.
OS-diskkryptering
Kryptering av operativsystemdisken är ett extra krypteringslager som binder diskkrypteringsnycklar till den virtuella datormodulen trusted platform för konfidentiell databehandling (TPM). Den här krypteringen gör diskinnehållet endast tillgängligt för den virtuella datorn. Integritetsövervakning tillåter kryptografisk attestering och verifiering av vm-startintegritet och övervakningsaviseringar om den virtuella datorn inte startade eftersom attesteringen misslyckades med den definierade baslinjen. Mer information om integritetsövervakning finns i Microsoft Defender för molnet Integration. Du kan aktivera konfidentiell beräkningskryptering när du skapar sessionsvärdar med hjälp av konfidentiella virtuella datorer när du skapar en värdpool eller lägger till sessionsvärdar i en värdpool.
Säker start
Säker start är ett läge som plattformens inbyggda programvara stöder som skyddar din inbyggda programvara från rotkits och startpaket baserade på skadlig kod. Det här läget tillåter endast att signerade operativsystem och drivrutiner startas.
Övervaka startintegritet med fjärrattestering
Fjärrattestering är ett bra sätt att kontrollera hälsotillståndet för dina virtuella datorer. Fjärrattestering verifierar att uppmätta startposter finns, är äkta och kommer från virtual trusted platform module (vTPM). Som en hälsokontroll ger det kryptografisk säkerhet om att en plattform har startats korrekt.
vTPM
En vTPM är en virtualiserad version av en TPM (Hardware Trusted Platform Module) med en virtuell instans av en TPM per virtuell dator. vTPM möjliggör fjärrattestering genom att utföra integritetsmätning av hela startkedjan för den virtuella datorn (UEFI, OPERATIVSYSTEM, system och drivrutiner).
Vi rekommenderar att du aktiverar vTPM för att använda fjärrattestering på dina virtuella datorer. Med vTPM aktiverat kan du även aktivera BitLocker-funktioner med Azure Disk Encryption, som tillhandahåller fullvolymskryptering för att skydda vilande data. Alla funktioner som använder vTPM resulterar i hemligheter som är bundna till den specifika virtuella datorn. När användare ansluter till Azure Virtual Desktop-tjänsten i ett poolscenario kan användarna omdirigeras till valfri virtuell dator i värdpoolen. Beroende på hur funktionen är utformad kan detta påverka.
Kommentar
BitLocker ska inte användas för att kryptera den specifika disk där du lagrar dina FSLogix-profildata.
Virtualiseringsbaserad säkerhet
Virtualiseringsbaserad säkerhet (VBS) använder hypervisor-programmet för att skapa och isolera en säker minnesregion som inte är tillgänglig för operativsystemet. Hypervisor-Protected Code Integrity (HVCI) och Windows Defender Credential Guard använder båda VBS för att ge ökat skydd mot sårbarheter.
Hypervisor-skyddad kodintegritet
HVCI är en kraftfull systemreducering som använder VBS för att skydda Processer i Windows kernelläge mot inmatning och körning av skadlig eller overifierad kod.
Windows Defender Credential Guard
Aktivera Windows Defender Credential Guard. Windows Defender Credential Guard använder VBS för att isolera och skydda hemligheter så att endast privilegierad systemprogramvara kan komma åt dem. Detta förhindrar obehörig åtkomst till dessa hemligheter och stöld av autentiseringsuppgifter, till exempel Pass-the-Hash-attacker. Mer information finns i Översikt över Credential Guard.
Windows Defender Application Control
Aktivera Windows Defender-programkontroll. Windows Defender Application Control är utformat för att skydda enheter mot skadlig kod och annan opålitlig programvara. Det förhindrar att skadlig kod körs genom att se till att endast godkänd kod, som du vet, kan köras. Mer information finns i Programkontroll för Windows.
Kommentar
När du använder Windows Defender-åtkomstkontroll rekommenderar vi att du endast riktar in dig på principer på enhetsnivå. Även om det är möjligt att rikta principer till enskilda användare, så påverkar principen alla användare på enheten på samma sätt när principen tillämpas.
Windows Update
Håll sessionsvärdarna uppdaterade med uppdateringar från Windows Update. Windows Update är ett säkert sätt att hålla dina enheter uppdaterade. Dess skydd från slutpunkt till slutpunkt förhindrar manipulering av protokollutbyten och säkerställer att uppdateringar endast innehåller godkänt innehåll. Du kan behöva uppdatera brandväggs- och proxyregler för vissa av dina skyddade miljöer för att få korrekt åtkomst till Windows Uppdateringar. Mer information finns i Windows Update-säkerhet.
Fjärrskrivbordsklient och uppdateringar på andra operativsystemplattformar
Programuppdateringar för fjärrskrivbordsklienter som du kan använda för att komma åt Azure Virtual Desktop-tjänster på andra OS-plattformar skyddas enligt säkerhetsprinciperna för respektive plattformar. Alla klientuppdateringar levereras direkt av deras plattformar. Mer information finns på respektive butikssida för varje app: