توصيات الأمان ل Azure Virtual Desktop
Azure Virtual Desktop هي خدمة سطح مكتب ظاهري مُدارة تتضمن العديد من إمكانات الأمان للحفاظ على أمان مؤسستك. تتضمن بنية Azure Virtual Desktop العديد من المكونات التي تشكل الخدمة التي تربط المستخدمين بأسطح المكتب والتطبيقات الخاصة بهم.
يحتوي Azure Virtual Desktop على العديد من ميزات الأمان المتقدمة المضمنة، مثل عكس الاتصال حيث لا يلزم فتح منافذ الشبكة الواردة، ما يقلل من المخاطر التي ينطوي عليها الوصول إلى أسطح المكتب البعيدة من أي مكان. تستفيد الخدمة أيضا من العديد من ميزات الأمان الأخرى ل Azure، مثل المصادقة متعددة العوامل والوصول المشروط. توضح هذه المقالة الخطوات التي يمكنك اتخاذها كمسؤول للحفاظ على عمليات نشر Azure Virtual Desktop آمنة، سواء قمت بتوفير أسطح المكتب والتطبيقات للمستخدمين في مؤسستك أو للمستخدمين الخارجيين.
المسؤوليات الأمنية المشتركة
قبل Azure Virtual Desktop، تتطلب الحلول الظاهرية المحلية مثل خدمات سطح المَكتب البعيد منح المستخدمين حق الوصول إلى أدوار مثل Gateway وBroker وWeb Access وما إلى ذلك. وينبغي أن تكون هذه الأدوار زائدة عن الحاجة تمامًا وأن تكون قادرة على التعامل مع ذروة السعة. سيقوم مسؤول istrators بتثبيت هذه الأدوار كجزء من نظام التشغيل Windows Server، ويجب أن تكون مرتبطة بالمجال بمنافذ محددة يمكن الوصول إليها من خلال الاتصالات العامة. للحفاظ على أمان عمليات النشر، كان على المسؤولين التأكد باستمرار من الحفاظ على كل شيء في البنية الأساسية وتحديثه.
ومع ذلك، في معظم الخدمات السحابية، هناك مجموعة مشتركة من مسؤوليات الأمان بين Microsoft والعميل أو الشريك. بالنسبة إلى Azure Virtual Desktop، تتم إدارة معظم المكونات بواسطة Microsoft، ولكن تتم إدارة مضيفي الجلسة وبعض الخدمات والمكونات الداعمة من قبل العميل أو يديرها الشريك. لمعرفة المزيد حول المكونات التي تديرها Microsoft من Azure Virtual Desktop، راجع بنية خدمة Azure Virtual Desktop والمرونة.
بينما تأتي بعض المكونات مؤمنة بالفعل لبيئتك، ستحتاج إلى تكوين مناطق أخرى بنفسك لتناسب احتياجات أمان مؤسستك أو العميل. فيما يلي المكونات التي تتحمل مسؤوليتها عن الأمان في نشر Azure Virtual Desktop:
| المكون | مسؤولية |
|---|---|
| الهوية | العميل أو الشريك |
| أجهزة المستخدم (المحمول والكمبيوتر) | العميل أو الشريك |
| أمان التطبيق | العميل أو الشريك |
| نظام تشغيل مضيف الجلسة | العميل أو الشريك |
| تكوين التوزيع | العميل أو الشريك |
| عناصر التحكم في الشبكة | العميل أو الشريك |
| وحدة التحكم في الظاهرية | Microsoft |
| المضيفين الفعليين | Microsoft |
| الشبكة الفعلية | Microsoft |
| مركز البيانات الفعلي | Microsoft |
حـدود الأمان
تفصل حدود الأمان التعليمات البرمجية وبيانات مجالات الأمان بمستويات مُختلفة من الثقة. على سبيل المثال، عادة ما يكون هناك حد أمان بين وضع kernel ووضع المُستخدم. تعتمد معظم برامج وخدمات Microsoft على حدود أمان متعددة لعزل الأجهزة على الشبكات والأجهزة الظاهرية (VMs) والتطبيقات على الأجهزة. يسرد الجدول التالي كـل حد أمان لنظام التشغيل Windows وما يفعلونه للأمان العام.
| حدود الأمان | الوصف |
|---|---|
| حدود الشبكة | لا يُمكن لنقطة نهاية شبكة غير مُصرح بها الوصول إلى التعليمات البرمجية والبيانات أو العبث بها على جهاز العميل. |
| حدود النواة | لا يُمكن لعملية وضع المُستخدم غير الإداري الوصول إلى التعليمات البرمجية والبيانات الخاصة بالنواة أو العبث بها. المَسؤول إلى النواة ليس حد أمان. |
| حدود العملية | لا يمكن لعملية وضع المُستخدم غير المصرح به الوصول إلى التعليمات البرمجية وبيانات عملية أخرى أو العبث بها. |
| حد بيئة الاختبار المَعزولة AppContainer | لا يُمكن لعملية بيئة الاختبار المعزولة المُستندة إلى AppContainer الوصول إلى التعليمات البرمجية والبيانات أو العبث بها خارج بيئة الاختبار المعزولة استنادًا إلى قدرات الحاوية. |
| حدود المستخدم | لا يُمكن للمُستخدم الوصول إلى التعليمات البرمجية وبيانات مستخدم آخر أو العبث بها دون إذن. |
| حدود الجلسة | لا يُمكن لجلسة عمل المستخدم الوصول إلى جلسة عمل مُستخدم أخرى أو العبث بها دون أن يتم تفويضها. |
| حدود مستعرض ويب | لا يُمكن لموقع ويب غير مصرح به انتهاك نهج الأصل نفسه، ولا يمكنه الوصول إلى التعليمات البرمجية الأصلية وبيانات بيئة الاختبار المعزولة لمستعرض ويب Microsoft Edge أو العبث بها. |
| حدود الجهاز الظاهري | لا يُمكن لجهاز ظاهري ضيف Hyper-V غير مصرح به الوصول إلى التعليمات البرمجية وبيانات جهاز ظاهري ضيف آخر أو العبث بها؛ يتضمن ذلك حاويات Hyper-V المعزولة. |
| حَد الوضع الآمن الظاهري (VSM) | لا يُمكن للتعليمات البرمجية التي تعمل خارج عملية أو جيب VSM المَوثوق به الوصول إلى البيانات والرمز أو العبث بها داخل العملية الموثوق بها. |
حـدود الأمان الموصى بها لسيناريوهات Azure Virtual Desktop
سوف تحتاج أيضًا إلى تحديد خيارات معينة حول الحدود الأمنية على أساس كل حالة على حدة. على سبيل المثال، إذا احتاج مستخدم في مؤسستك إلى امتيازات المسؤول المحلي لتثبيت التطبيقات، فستحتاج إلى منحه سطح مكتب شخصي بدلا من مضيف جلسة عمل مشترك. لا نوصي بمنح المستخدمين امتيازات المسؤول المحلي في سيناريوهات مجمعة متعددة الجلسات لأن هؤلاء المستخدمين يمكنهم عبور حدود الأمان لجلسات العمل أو أذونات بيانات NTFS أو إيقاف تشغيل الأجهزة الظاهرية متعددة الجلسات أو القيام بأشياء أخرى قد تؤدي إلى مقاطعة الخدمة أو التسبب في خسائر في البيانات.
المستخدمون من نفس المؤسسة، مثل العاملين في مجال المعرفة الذين لديهم تطبيقات لا تتطلب امتيازات المسؤول، هم مرشحون رائعون لمضيفي جلسات متعددة مثل Windows 11 Enterprise متعدد الجلسات. تقلل مضيفات الجلسة هذه من التكاليف لمؤسستك لأن العديد من المستخدمين يمكنهم مشاركة جهاز ظاهري واحد، مع التكاليف الإضافية للجهاز الظاهري لكل مستخدم فقط. باستخدام منتجات إدارة ملف تعريف المستخدم مثل FSLogix، يمكن تعيين أي جهاز ظاهري للمستخدمين في تجمع مضيف دون ملاحظة أي انقطاع في الخدمة. تتيح لك هذه الميزة أيضًا تحسين التكاليف مـن خلال القيام بأشياء مثل إيقاف تشغيل الأجهزة الظاهرية خلال ساعات الذروة.
إذا كان وضعك يتطلب من المستخدمين من مؤسسات مختلفة الاتصال بالنشر الخاص بك، نوصي بأن يكون لديك مستأجر منفصل لخدمات الهوية مثل Active Directory ومعرف Microsoft Entra. نوصي أيضا بأن يكون لديك اشتراك منفصل لهؤلاء المستخدمين لاستضافة موارد Azure مثل Azure Virtual Desktop والأجهزة الظاهرية.
في كثير من الحالات، يعد استخدام جلسات متعددة طريقة مقبولة لتقليل التكاليف، ولكن ما إذا كنا نوصي بذلك يعتمد على مُستوى الثقة بين المُستخدمين الذين لديهم وصول متزامن إلى مثيل مشترك متعدد الجلسات. عادة ما يكون لدى المُستخدمين الذين ينتمون إلى نفس المؤسسة علاقة ثقة كافية ومتفق عليها. على سبيل المثال، قسم أو مجموعة عمل حيث يتعاون الأشخاص ويُمكنهم الوصول إلى المعلومات الشخصية لبعضهم هي مؤسسة ذات مُستوى ثقة عالٍ.
يَستخدم Windows حدود الأمان وعناصر التحكم لضمان عزل عمليات المُستخدم وبياناته بين جلسات العمل. ومع ذلك، لا يزال Windows يوفر الوصول إلى المثيل الذي يعمل عليه المُستخدم.
ستستفيد عمليات النشر متعددة الجلسات من استراتيجية أمان متعمقة تضيف المزيد من حدود الأمان التي تمنع المستخدمين داخل المؤسسة وخارجها من الوصول غير المصرح به إلى المعلومات الشخصية للمستخدمين الآخرين. يحدث الوصول غير المُصرح به إلى البيانات بسبب خطأ في عملية التكوين من قبل مسؤول النظام، مثل ثغرة أمنية غير معلنة أو ثغرة أمنية معروفة لم يتم تصحيحها بعد.
لا نوصي بمنح المستخدمين الذين يعملون في شركات مختلفة أو منافسة حق الوصول إلى نفس البيئة متعددة الجلسات. تحتوي هذه السيناريوهات على العديد من حدود الأمان التي يُمكن مهاجمتها أو إساءة استخدامها، مثل الشبكة أو النواة أو العملية أو المُستخدم أو الجلسات. قد تتسبب ثغرة أمنية واحدة في سرقة بيانات وبيانات اعتماد غير مُصرح بها، وتسرب المعلومات الشخصية، وسرقة الهوية، وغيرها من المُشكلات. يتحمل موفرو البيئة الظاهرية مسؤولية تقديم أنظمة مصممة تصميمًا جيدًا مع حدود أمان قوية متعددة وميزات أمان إضافية مُمكنة كلما أمكن ذلك.
يتطلب تقليل هذه التهديدات المحتملة تكوينًا مقاومًا للخطأ وعملية تصميم إدارة التصحيح وجداول توزيع التصحيح العادية. من الأفضل اتباع مبادئ الدفاع بعمق والحفاظ على البيئات مُنفصلة.
يلخص الجدول التالي توصياتنا لكل سيناريو.
| سيناريو مُستوى الثقة | الحل المقترح |
|---|---|
| مُستخدمون من مؤسسة واحدة بامتيازات قياسية | استخدم نظام تشغيل Windows Enterprise متعدد الجلسات. |
| يحتاج المُستخدمون إلى امتيازات إدارية | استخدم تجمع مضيف شخصي وقم بتعيين مضيف جلسة عمل لكل مستخدم. |
| مستخدمون من مؤسسات مُختلفة تتصل | فصل مستأجر Azure واشتراك Azure |
أفضل ممارسات أمان Azure
Azure Virtual Desktop هي خدمة ضمن Azure. لزيادة أمان توزيع Azure Virtual Desktop إلى أقصى حد، يجب عليك التأكد من تأمين البنية الأساسية المحيطة لـ Azure ومستوى الإدارة أيضاً. لتأمين البنية الأساسية، ضع في اعتبارك كيفية ملاءمة Azure Virtual Desktop مع نظام Azure البنائي الأكبر. لمعرفة المزيد حول النظام البنائي لـ Azure، راجع أفضل ممارسات وأنماط أمان Azure.
يتطلب مشهد التهديد اليوم تصميمات مـع مراعاة النهج الأمنية. من الناحية المثالية، ستحتاج إلى إنشاء سلسلة من آليات الأمان وعناصر التحكم في الطبقات في نطاق شبكة حاسوبك لحماية بياناتك وشبكتك من التعرض للخطر أو الهجوم. هذا النوع من التصميم الأمني هو ما تسميه وكالة الأمن السيبراني وأمن البنية التحتية في الولايات المتحدة (CISA) الدفاع بعمق.
تحتوي الأقسام التالية على توصيات لتأمين توزيع Azure Virtual Desktop.
تمكين Microsoft Defender للسحابة
نوصي بتمكين ميزات الأمان المُحسنة لـ Microsoft Defender for Cloud من أجل:
- إدارة الثغرات الأمنية.
- تقييم الامتثال لأطر العمل المشتركة مثل من مجلس معايير أمان PCI.
- تعزيز الأمن العام للبيئة الخاصة بك.
لمعرفة المزيد، راجع تمكين ميزات الأمان المُحسنة.
تحسين Secure Score
يوفر Secure Score توصيات ونصائح حول أفضل الممارسات لتحسين أمانك بشكل عام. تم تحديد أولويات هذه التوصيات لمساعدتك في اختيار أي منها أكثر أهمية، وتساعدك خيارات Quick Fix على معالجة الثغرات الأمنية المحتملة بسرعة. يتم تحديث هذه التوصيات أيضاً بمرور الوقت، ما يجعلك على اطلاع دائم على أفضل طرق الحفاظ على أمان بيئتك. لمعرفة المزيد، راجع تحسين Secure Score في Microsoft Defender for Cloud.
طلب مصادقة متعددة العوامل
يؤدي طلب مصادقة متعددة العوامل لجميع المستخدمين والمسؤولين في Azure Virtual Desktop إلى تحسين أمان النشر بأكمله. لمعرفة المزيد، راجع تمكين مصادقة Microsoft Entra متعددة العوامل ل Azure Virtual Desktop.
تمكين الوصول الشرطي
يتيح لك تمكين الوصول المشروط إدارة المخاطر قبل منح المستخدمين حق الوصول إلى بيئة Azure Virtual Desktop. عند تحديد المستخدمين الواجب منحهم حق الوصول، نوصيك أيضاً بأخذ هوية المستخدم وكيفية تسجيل الدخول والجهاز الذي يستخدمه في الاعتبار.
جمع سجلات التدقيق
يتيح لك تمكين مجموعة سجل التدقيق عرض نشاط المستخدم والمسؤول المرتبط بـ Azure Virtual Desktop. وفيما يلي بعض الأمثلة على سجلات التدقيق الرئيسية:
استخدام RemoteApp
عند اختيار نموذج توزيع، يمكنك إما توفير وصول للمستخدمين عن بعد إلى أسطح المكتب بأكملها، أو تحديد التطبيقات فقط عند نشرها ك RemoteApp. يوفر RemoteApp تجربة سلسة حيث يعمل المستخدم مع التطبيقات من سطح المكتب الظاهري. يقلل RemoteApp من المخاطر عن طريق السماح للمستخدم فقط بالعمل مع مجموعة فرعية من الجهاز البعيد الذي يعرضه التطبيق.
مراقبة الاستخدام باستخدام Azure Monitor
راقب استخدام خدمة Azure Virtual Desktop وتوافرها باستخدام Azure Monitor. ضع في اعتبارك إنشاء تنبيهات سلامة الخدمة لخدمة Azure Virtual Desktop لتلقي الإعلامات كلما كانت هناك خدمة تؤثر على الحدث.
تشفير مضيفي جلسة العمل
قم بتشفير مضيفي الجلسة باستخدام خيارات تشفير القرص المدارة لحماية البيانات المخزنة من الوصول غير المصرح به.
أفضل ممارسات أمان مضيف الجلسة
مضيفو الجلسة هم أجهزة ظاهرية تعمل داخل اشتراك Azure وشبكة ظاهرية. يعتمد الأمان العام لتوزيع Azure Virtual Desktop على عناصر التحكم في الأمان التي تضعها على مضيفي الجلسة. يصف هذا القسم أفضل الممارسات للحفاظ على أمان مضيفي الجلسة.
تمكين endpoint protection
لحماية التوزيع من البرامج الضارة المعروفة، نوصي بتمكين حماية نقطة النهاية على جميع مضيفي الجلسة. يمكنك استخدام إما برنامج الحماية من الفيروسات لـ Windows Defender أو برنامج تابع لجهة خارجية. لمعرفة المزيد، راجع دليل توزيع برنامج الحماية من الفيروسات لـ Windows Defender في بيئة VDI.
بالنسبة لحلول ملف التعريف مثل FSLogix أو الحلول الأخرى التي تقوم بتحميل ملفات القرص الثابت الظاهري، نوصي باستبعاد ملحقات الملفات هذه.
تثبيت منتج الكشف عن نقطة النهاية والاستجابة لها
نوصي بتثبيت منتج الكشف عن نقطة النهاية والاستجابة لها (EDR) لتوفير إمكانات متقدمة للكشف والاستجابة. بالنسبة لأنظمة تشغيل الخادم مع تمكين Microsoft Defender for Cloud، سيؤدي تثبيت منتج EDR إلى توزيع Microsoft Defender لنقطة النهاية. بالنسبة لأنظمة تشغيل العميل، يمكنك توزيع Microsoft Defender لنقطة النهاية أو منتج تابع لجهة خارجية إلى نقاط النهاية هذه.
تمكين التقييمات إدارة التهديدات والثغرات الأمنية
يعد تحديد الثغرات الأمنية في البرامج الموجودة في أنظمة التشغيل والتطبيقات أمراً بالغ الأهمية للحفاظ على أمان بيئتك. يمكن أن يساعدك Microsoft Defender for Cloud في تحديد نقاط المشكلة من خلال حل إدارة التهديدات والثغرات الأمنية الخاص بـ Microsoft Defender لنقطة النهاية. يمكنك أيضاً استخدام منتجات تابعة لجهات خارجية إذا كنت ترغب في ذلك، على الرغم من أننا نوصي باستخدام Microsoft Defender for Cloud Microsoft Defender لنقطة النهاية.
تصحيح الثغرات الأمنية للبرامج في بيئتك
بمجرد تحديد ثغرة أمنية، يجب تصحيحها. ينطبق هذا على البيئات الظاهرية أيضاً، والتي تتضمن أنظمة التشغيل قيد التشغيل والتطبيقات التي يتم توزيعها داخلها والصور التي تقوم بإنشاء أجهزة جديدة منها. اتبع اتصالات إعلامات تصحيح المورّد وقم بتطبيق التصحيحات في الوقت المناسب. نوصي بإجراء تحديث جزئي للصور الأساسية شهرياً للتأكد من أن الأجهزة التي تم توزيعها حديثاً آمنة قدر الإمكان.
إنشاء الحد الأقصى للوقت غير النشط ونُهج قطع الاتصال
يؤدي تسجيل خروج المستخدمين عندما يكونون غير نشطين إلى الاحتفاظ بالموارد ويمنع وصول المستخدمين غير المصرح لهم. نوصي بأن توازن المُهلات إنتاجية المستخدم بالإضافة إلى استخدام الموارد. بالنسبة إلى المستخدمين الذين يتفاعلون مع التطبيقات عديمة الحالة، يمكن دراسة نُهج أكثر صرامة تعمل على إيقاف تشغيل الأجهزة والحفاظ على الموارد. يمكن أن يؤدي قطع اتصال التطبيقات طويلة الأمد التي تستمر في التشغيل إذا كان المستخدم خاملاً، مثل المحاكاة أو عرض CAD، إلى مقاطعة عمل المستخدم وقد يتطلب إعادة تشغيل الكمبيوتر.
إعداد قفل الشاشة للجلسات الخاملة
يمكنك منع الوصول غير المرغوب فيه إلى النظام عن طريق تكوين Azure Virtual Desktop لقفل شاشة الجهاز أثناء وقت الخمول والمطالبة بالمصادقة لإلغاء القفل.
إنشاء وصول مسؤول متدرج
نوصيك بعدم منح المستخدمين حق وصول المسؤول إلى أسطح المكتب الظاهرية. إذا كنت بحاجة إلى حزم برامج، نوصيك بتوفيرها من خلال أدوات إدارة التكوين مثل Microsoft Intune. في بيئة متعددة الجلسات، نوصي بعدم السماح للمستخدمين بتثبيت البرامج مباشرة.
ضع في اعتبارك المستخدمين الواجب عليهم الوصول إلى الموارد
ضع في اعتبارك مضيفي الجلسة كملحق لتوزيع سطح المكتب الحالي. نوصي بالتحكم في الوصول إلى موارد الشبكة بنفس طريقة تحكمك في أجهزة سطح المكتب الأخرى في بيئتك، مثل استخدام تجزئة الشبكة وتصفيتها. بشكل افتراضي، يمكن لمضيفي الجلسة الاتصال بأي مورد على الإنترنت. هناك عدة طرق يمكنك من خلالها الحد من نسبة استخدام الشبكة، بما في ذلك استخدام جدار حماية Azure أو الأجهزة الظاهرية للشبكة أو الوكلاء. إذا كنت بحاجة إلى الحد من نسبة استخدام الشبكة، فتأكد من إضافة القواعد المناسبة بحيث يمكن لـ Azure Virtual Desktop العمل بشكل صحيح.
إدارة أمان تطبيق Microsoft 365
بالإضافة إلى تأمين مضيفي الجلسة، من المهم أيضاً تأمين التطبيقات التي تعمل داخلهم. تطبيقات Microsoft 365 هي بعض التطبيقات الأكثر شيوعا التي تم نشرها في مضيفي جلسة العمل. لتحسين أمان نشر Microsoft 365، نوصي باستخدام Security Policy Advisor ل Microsoft 365 Apps for enterprise. تحدد هذه الأداة النُهج التي يمكنك تطبيقها على التوزيع لمزيد من الأمان. يوصي مرشد نهج الأمان أيضاً بالنُهج بناءً على تأثيرها على أمانك وإنتاجيتك.
أمان ملف تعريف المستخدم
يمكن أن تحتوي ملفات تعريف المستخدمين على معلومات حساسة. يجب عليك تقييد من لديه حق الوصول إلى ملفات تعريف المستخدمين وطرق الوصول إليها، خاصة إذا كنت تستخدم حاوية ملف تعريف FSLogix لتخزين ملفات تعريف المستخدمين في ملف قرص ثابت ظاهري على مشاركة SMB. يجب اتباع توصيات الأمان لموفر مشاركة SMB. على سبيل المثال، إذا كنت تستخدم Azure Files لتخزين ملفات القرص الثابت الظاهرية هذه، يمكنك استخدام نقاط النهاية الخاصة لجعلها قابلة للوصول فقط داخل شبكة Azure الظاهرية.
تلميحات أمان أخرى لمضيفي الجلسة
من خلال تقييد إمكانات نظام التشغيل، يمكنك تعزيز أمان مضيفي الجلسة. إليك بعض ما يمكنك القيام به:
التحكم في إعادة توجيه الجهاز عن طريق إعادة توجيه محركات الأقراص والطابعات وأجهزة USB إلى جهاز محلي للمستخدم في جلسة عمل سطح مكتب بعيد. نوصي بتقييم متطلبات الأمان الخاصة بك والتحقق مما إذا كان يجب تعطيل هذه الميزات أم لا.
تقييد الوصول إلى Windows Explorer عن طريق إخفاء تعيينات محركات الأقراص المحلية والبعيدة. يمنع هذا المستخدمين من اكتشاف معلومات غير مرغوب فيها حول تكوين النظام والمستخدمين.
تجنب وصول RDP المباشر إلى مضيفي الجلسة في بيئتك. إذا كنت بحاجة إلى وصول RDP مباشر للإدارة أو استكشاف الأخطاء وإصلاحها، فعليك تمكين الوصول في نفس الوقت للحد من الأجزاء المعرضة للهجوم المحتمل على مضيف الجلسة.
منح المستخدمين أذونات محدودة عند الوصول إلى أنظمة الملفات المحلية والبعيدة. يمكنك تقييد الأذونات عن طريق التأكد من أن أنظمة الملفات المحلية والبعيدة تستخدم قوائم التحكم في الوصول بأقل امتياز. بهذه الطريقة، يمكن للمستخدمين الوصول فقط إلى ما يحتاجون إليه ولا يمكنهم تغيير الموارد المهمة أو حذفها.
منع تشغيل البرامج غير المرغوب فيها على مضيفي الجلسة. يمكنك تمكين App Locker لمزيد من الأمان على مضيفي الجلسة، ما يضمن إمكانية تشغيل التطبيقات التي تسمح بها فقط على المضيف.
تشغيل موثوق
التشغيل الموثوق به هو أجهزة Azure الظاهرية من الجيل الثاني مع ميزات أمان محسنة تهدف إلى الحماية من تهديدات أسفل المكدس من خلال ناقلات الهجوم مثل rootkits ومجموعات التمهيد والبرامج الضارة على مستوى النواة. فيما يلي ميزات الأمان المحسّنة لتشغيل موثوق به، وكلها مدعومة في Azure Virtual Desktop. لمعرفة المزيد حول التشغيل الموثوق به، تفضل بزيارة التشغيل الموثوق به لأجهزة Azure الظاهرية.
تمكين التشغيل الموثوق به كافتراضي
تشغيل موثوق يحمي من تقنيات الهجوم المتقدمة والمستمرة. تسمح هذه الميزة أيضا بالنشر الآمن للأجهزة الظاهرية مع أحمال التمهيد التي تم التحقق منها، ونواة نظام التشغيل، وبرامج التشغيل. يحمي التشغيل الموثوق به أيضا المفاتيح والشهادات والأسرار في الأجهزة الظاهرية. تعرف على المزيد حول التشغيل الموثوق به في التشغيل الموثوق به لأجهزة Azure الظاهرية.
عند إضافة مضيفي جلسة العمل باستخدام مدخل Microsoft Azure، يتغير نوع الأمان تلقائيا إلى الأجهزة الظاهرية الموثوق بها. وهذا يضمن أن الجهاز الظاهري الخاص بك يفي بالمتطلبات الإلزامية لنظام التشغيل Windows 11. لمزيد من المعلومات حول هذه المتطلبات، راجع دعم الجهاز الظاهري.
الأجهزة الظاهرية للحوسبة السرية من Azure
يضمن دعم Azure Virtual Desktop للأجهزة الظاهرية للحوسبة السرية من Azure تشفير سطح المكتب الظاهري للمستخدم في الذاكرة، وحمايته قيد الاستخدام، ودعمه بجذر الثقة في الأجهزة. الأجهزة الظاهرية للحوسبة السرية من Azure ل Azure Virtual Desktop متوافقة مع أنظمة التشغيل المدعومة. يتيح نشر الأجهزة الظاهرية السرية باستخدام Azure Virtual Desktop للمستخدمين الوصول إلى Microsoft 365 والتطبيقات الأخرى على مضيفي الجلسة الذين يستخدمون العزل المستند إلى الأجهزة، ما يؤدي إلى تقوية العزل عن الأجهزة الظاهرية الأخرى، وhypervisor، ونظام التشغيل المضيف. يتم تشغيل أجهزة سطح المكتب الظاهرية هذه بواسطة أحدث معالج من الجيل الثالث (Gen 3) Advanced Micro Devices (AMD) EPYC™ مع تقنية Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP). يتم إنشاء مفاتيح تشفير الذاكرة وحمايتها بواسطة معالج آمن مخصص داخل وحدة المعالجة المركزية AMD التي لا يمكن قراءتها من البرنامج. لمزيد من المعلومات، راجع نظرة عامة على الحوسبة السرية في Azure.
يتم دعم أنظمة التشغيل التالية للاستخدام كمضيفي جلسة عمل مع أجهزة ظاهرية سرية على Azure Virtual Desktop:
- Windows 11 Enterprise، الإصدار 22H2
- Windows 11 Enterprise متعدد الجلسات، الإصدار 22H2
- Windows Server 2022
- Windows Server 2019
يمكنك إنشاء مضيفي جلسة العمل باستخدام أجهزة ظاهرية سرية عند إنشاء تجمع مضيف أو إضافة مضيفي جلسة عمل إلى تجمع مضيف.
تشفير قرص نظام التشغيل
تشفير قرص نظام التشغيل هو طبقة إضافية من التشفير تربط مفاتيح تشفير القرص بوحدة النظام الأساسي الموثوق بها (TPM) الخاصة بالحوسبة السرية. يجعل هذا التشفير محتوى القرص متاحا فقط للجهاز الظاهري. تسمح مراقبة التكامل بإثبات التشفير والتحقق من تكامل تمهيد الجهاز الظاهري ومراقبة التنبيهات إذا لم يتم تشغيل الجهاز الظاهري بسبب فشل التصديق مع الأساس المحدد. لمزيد من المعلومات حول مراقبة التكامل، راجع Microsoft Defender for Cloud Integration. يمكنك تمكين تشفير الحوسبة السرية عند إنشاء مضيفي جلسة العمل باستخدام أجهزة ظاهرية سرية عند إنشاء تجمع مضيف أو إضافة مضيفي جلسة عمل إلى تجمع مضيف.
التمهيد الآمن
التمهيد الآمن هو وضع يدعمه البرنامج الثابت للنظام الأساسي الذي يحمي البرامج الثابتة من مجموعات الأدوات الأولية ومجموعات التمهيد المستندة إلى البرامج الضارة. يسمح هذا الوضع فقط بتمهيد أنظمة التشغيل وبرامج التشغيل الموقعة.
مراقبة تكامل التمهيد باستخدام Remote Attestation
الإثبات عن بُعد هو وسيلة رائعة للتحقق من سلامة الأجهزة الظاهرية. يتحقق الإثبات عن بُعد من أن سجلات Measured Boot موجودة وأصلية ومنشأة من الوحدة النمطية للنظام الأساسي الموثوق به الظاهري (vTPM). كفحص سلامة، فإنه يوفر يقيناً مشفراً بأن النظام الأساسي بدأ بشكل صحيح.
vTPM
vTPM هو إصدار ظاهري من الوحدة النمطية للنظام الأساسي الموثوق به للأجهزة (TPM)، مع مثيل ظاهري لـ TPM لكل جهاز ظاهري. يتيح vTPM الإثبات عن بُعد عن طريق إجراء قياس التكامل لسلسلة التمهيد بأكملها للجهاز الظاهري (UEFI ونظام التشغيل والنظام وبرامج التشغيل).
نوصي بتمكين vTPM لاستخدام الإثبات عن بُعد على الأجهزة الظاهرية الخاصة بك. مع تمكين vTPM، يمكنك أيضا تمكين وظائف BitLocker باستخدام تشفير قرص Azure، والتي توفر تشفيرا كاملا الحجم لحماية البيانات الثابتة. سينتج عن أي ميزات تستخدم vTPM بيانات سرية مرتبطة بالجهاز الظاهري المحدد. عندما يتصل المستخدمون بخدمة Azure Virtual Desktop في سيناريو مجمع، يمكن إعادة توجيه المستخدمين إلى أي جهاز ظاهري في تجمع المضيف. قد يكون لكيفية تصميم الميزة تأثير.
إشعار
لا يجب استخدام BitLocker لتشفير القرص المحدد حيث تقوم بتخزين بيانات ملف تعريف FSLogix.
الأمان المستند إلى الظاهرية
يستخدم الأمان المستند إلى الظاهرية (VBS) برنامج مراقبة الأجهزة الظاهرية (Hypervisor) لإنشاء وعزل منطقة آمنة من الذاكرة لا يمكن لنظام التشغيل الوصول إليها. يقوم كل من Hypervisor-Protected Code Integrity (HVCI) وWindows Defender Credential Guard باستخدام VBS لتوفير حماية متزايدة من الثغرات الأمنية.
Hypervisor-Protected Code Integrity
HVCI هو وسيلة فعالة لتخفيف النظام تستخدم VBS لحماية عمليات Windows kernel-mode من إدخال وتنفيذ التعليمات البرمجية الضارة أو التي لم يتم التحقق منها.
حماية بيانات اعتماد Windows Defender
تمكين حماية بيانات اعتماد Windows Defender. يقوم Windows Defender Credential Guard باستخدام VBS لعزل البيانات السرية وحمايتها بحيث لا يتمكن سوى برنامج النظام المتميز من الوصول إليها. يمنع هذا الوصول غير المصرح به إلى هذه البيانات السرية وهجمات سرقة بيانات الاعتماد، مثل هجمات Pass-the-Hash. لمزيد من المعلومات، راجع نظرة عامة على Credential Guard.
التحكم في تطبيق Windows Defender
تمكين التحكم في تطبيق Windows Defender. تم تصميم Windows Defender Application Control لحماية الأجهزة من البرامج الضارة والبرامج الأخرى غير الموثوق بها. يمنع تشغيل التعليمات البرمجية الضارة عن طريق التأكد من أنه يمكن تشغيل التعليمات البرمجية المعتمدة فقط، التي تعرفها. لمزيد من المعلومات، راجع التحكم في التطبيق ل Windows.
إشعار
عند استخدام Windows Defender Access Control، نوصي فقط باستهداف النُهج على مستوى الجهاز. على الرغم من إمكانية استهداف النُهج للمستخدمين الفرديين، بمجرد تطبيق النهج، فإنه يؤثر على جميع المستخدمين على الجهاز بالتساوي.
Windows Update
حافظ على تحديث مضيفي جلسة العمل بالتحديثات من Windows Update. يوفر Windows Update طريقة آمنة للحفاظ على أجهزتك محدثة. تمنع حمايته من طرف إلى طرف معالجة تبادلات البروتوكول وتضمن أن تتضمن التحديثات المحتوى المعتمد فقط. قد تحتاج إلى تحديث قواعد جدار الحماية والوكيل لبعض البيئات المحمية من أجل الحصول على حق الوصول المناسب إلى Windows التحديثات. لمزيد من المعلومات، راجع أمان Windows Update.
عميل سطح المكتب البعيد والتحديثات على الأنظمة الأساسية الأخرى لنظام التشغيل
يتم تأمين تحديثات البرامج لعملاء سطح المكتب البعيد التي يمكنك استخدامها للوصول إلى خدمات Azure Virtual Desktop على الأنظمة الأساسية الأخرى لنظام التشغيل وفقا لسياسات الأمان الخاصة بالأنظمة الأساسية الخاصة بهم. يتم تسليم جميع تحديثات العميل مباشرة من خلال الأنظمة الأساسية الخاصة بهم. لمزيد من المعلومات، راجع صفحات المتجر الخاصة بكل تطبيق:
الخطوات التالية
- تعرف على كيفية إعداد المصادقة متعددة العوامل.
- تطبيق مبادئ ثقة معدومة لنشر Azure Virtual Desktop.