Doporučení zabezpečení pro Azure Virtual Desktop
Azure Virtual Desktop je spravovaná služba virtuálních klientských počítačů, která obsahuje řadu možností zabezpečení pro zajištění bezpečnosti vaší organizace. Architektura Služby Azure Virtual Desktop se skládá z mnoha komponent, které tvoří službu, která uživatele připojuje ke svým desktopům a aplikacím.
Azure Virtual Desktop má řadu integrovaných pokročilých funkcí zabezpečení, jako je reverse Připojení, kde není nutné otevírat žádné příchozí síťové porty, což snižuje riziko spojené s přístupem ke vzdáleným plochám odkudkoli. Služba také využívá mnoho dalších funkcí zabezpečení Azure, jako je vícefaktorové ověřování a podmíněný přístup. Tento článek popisuje kroky, které můžete provést jako správce, abyste zajistili zabezpečení nasazení služby Azure Virtual Desktop bez ohledu na to, jestli uživatelům ve vaší organizaci nebo externím uživatelům poskytujete desktopy a aplikace.
Společná odpovědnost za zabezpečení
Před službou Azure Virtual Desktop vyžadují místní virtualizační řešení, jako je Vzdálená plocha, udělení přístupu uživatelům k rolím, jako je brána, zprostředkovatel, webový přístup atd. Tyto role musely být plně redundantní a schopné zvládnout kapacitu ve špičce. Správa istrátory by tyto role nainstalovaly jako součást operačního systému Windows Server a musely být připojené k doméně s konkrétními porty, které jsou přístupné pro veřejná připojení. Aby byla nasazení zabezpečená, museli správci neustále zajistit, aby vše v infrastruktuře bylo udržováno a aktuální.
Ve většině cloudových služeb ale existuje sdílená sada odpovědností za zabezpečení mezi Microsoftem a zákazníkem nebo partnerem. Pro Azure Virtual Desktop je většina komponent spravovaná Microsoftem, ale hostitelé relací a některé podpůrné služby a komponenty jsou spravované zákazníky nebo partnery. Další informace o komponentách spravovaných Microsoftem služby Azure Virtual Desktop najdete v tématu Architektura služby Azure Virtual Desktop a odolnost.
I když jsou některé komponenty pro vaše prostředí již zabezpečené, budete muset nakonfigurovat jiné oblasti sami tak, aby vyhovovaly potřebám zabezpečení vaší organizace nebo zákazníka. Tady jsou komponenty, za které zodpovídáte za zabezpečení v nasazení služby Azure Virtual Desktop:
| Komponenta | Odpovědnost |
|---|---|
| Identita | Zákazník nebo partner |
| Uživatelská zařízení (mobilní zařízení a počítač) | Zákazník nebo partner |
| Zabezpečení aplikací | Zákazník nebo partner |
| Operační systém hostitele relace | Zákazník nebo partner |
| Konfigurace nasazení | Zákazník nebo partner |
| Síťové ovládací prvky | Zákazník nebo partner |
| Rovina řízení virtualizace | Microsoft |
| Fyzičtí hostitelé | Microsoft |
| Fyzická síť | Microsoft |
| Fyzické datové centrum | Microsoft |
Hranice zabezpečení
Hranice zabezpečení odděluje kód a data domén zabezpečení s různými úrovněmi důvěryhodnosti. Existuje například obvykle hranice zabezpečení mezi režimem jádra a uživatelským režimem. Většina softwaru a služeb Microsoftu závisí na několika hranicích zabezpečení pro izolaci zařízení v sítích, virtuálních počítačích a aplikacích na zařízeních. Následující tabulka uvádí každou hranici zabezpečení pro Windows a to, co dělají pro celkové zabezpečení.
| Hranice zabezpečení | Popis |
|---|---|
| Hranice sítě | Neautorizovaný koncový bod sítě nemá přístup k kódu a datům na zařízení zákazníka ani k němu nemá přístup. |
| Hranice jádra | Proces uživatelského režimu, který není správcem, nemá přístup k kódu jádra a datům ani k němu nemá přístup. Správa istrator-to-kernel není hranice zabezpečení. |
| Hranice procesu | Neautorizovaný proces uživatelského režimu nemůže přistupovat k kódu a datům jiného procesu ani k němu manipulovat. |
| Hranice sandboxu AppContainer | Proces sandboxu založený na AppContaineru nemá přístup k kódu a datům mimo sandbox na základě možností kontejneru. |
| Hranice uživatele | Uživatel nemá přístup k kódu a datům jiného uživatele, aniž by byl autorizovaný. |
| Hranice relace | Uživatelská relace nemůže získat přístup k jiné uživatelské relaci ani ji neautorizovat. |
| Hranice webového prohlížeče | Neautorizovaný web nemůže porušit zásady stejného původu, ani nemůže přistupovat k nativnímu kódu a datům sandboxu webového prohlížeče Microsoft Edge ani k němu přistupovat nebo manipulovat. |
| Hranice virtuálního počítače | Neautorizovaný hostovaný virtuální počítač Hyper-V nemá přístup k kódu a datům jiného hostovaného virtuálního počítače nebo k jeho manipulaci; to zahrnuje izolované kontejnery Hyper-V. |
| Hranice virtuálního zabezpečeného režimu (VSM) | Kód spuštěný mimo důvěryhodný proces nebo enklávu VSM nemá přístup k datům a kódu v rámci důvěryhodného procesu ani k manipulaci s daty a kódem. |
Doporučené hranice zabezpečení pro scénáře Azure Virtual Desktopu
Budete také muset provést určité volby týkající se hranic zabezpečení na základě případu. Pokud například uživatel ve vaší organizaci potřebuje oprávnění místního správce k instalaci aplikací, budete jim muset dát osobní plochu místo hostitele sdílené relace. Nedoporučujeme uživatelům udělit oprávnění místního správce ve scénářích ve fondu s více relacemi, protože tito uživatelé můžou překročit hranice zabezpečení pro relace nebo oprávnění k datům NTFS, vypnout virtuální počítače s více relacemi nebo dělat jiné věci, které by mohly přerušit službu nebo způsobit ztráty dat.
Uživatelé ze stejné organizace, jako jsou pracovníci znalostí s aplikacemi, které nevyžadují oprávnění správce, jsou skvělými kandidáty pro hostitele relací s více relacemi, jako je windows 11 Enterprise s více relacemi. Tito hostitelé relací snižují náklady na vaši organizaci, protože více uživatelů může sdílet jeden virtuální počítač s pouze režijními náklady na virtuální počítač na uživatele. V případě produktů pro správu profilů uživatelů, jako je FSLogix, je možné uživatelům přiřadit jakýkoli virtuální počítač ve fondu hostitelů, aniž by se museli rušit služby. Tato funkce také umožňuje optimalizovat náklady tím, že během špičky vypnete virtuální počítače.
Pokud vaše situace vyžaduje, aby se uživatelé z různých organizací připojili k vašemu nasazení, doporučujeme mít samostatného tenanta pro služby identit, jako je Active Directory a Microsoft Entra ID. Doporučujeme také, abyste pro tyto uživatele měli samostatné předplatné pro hostování prostředků Azure, jako je Azure Virtual Desktop a virtuální počítače.
V mnoha případech je použití více relací přijatelným způsobem, jak snížit náklady, ale jestli doporučujeme, aby závisela na úrovni důvěryhodnosti mezi uživateli s souběžným přístupem ke sdílené instanci více relací. Uživatelé, kteří patří do stejné organizace, mají obvykle dostatečný a odsouhlasený vztah důvěryhodnosti. Například oddělení nebo pracovní skupina, kde lidé spolupracují a mají k osobním údajům přístup, je organizace s vysokou úrovní důvěryhodnosti.
Systém Windows používá hranice zabezpečení a ovládací prvky k zajištění izolace uživatelských procesů a dat mezi relacemi. Systém Windows ale stále poskytuje přístup k instanci, na které uživatel pracuje.
Nasazení s více relacemi by byla přínosná z hloubkové strategie zabezpečení, která zvyšuje hranice zabezpečení, které uživatelům v organizaci i mimo ni brání v získání neoprávněného přístupu k osobním údajům jiných uživatelů. Neautorizovaný přístup k datům dochází kvůli chybě v procesu konfigurace správcem systému, jako je nepřístupná ohrožení zabezpečení nebo známá chyba zabezpečení, která ještě nebyla opravena.
Nedoporučujeme uživatelům, kteří pracují pro různé nebo konkurenční společnosti, udělit přístup ke stejnému prostředí s více relacemi. Tyto scénáře mají několik hranic zabezpečení, které je možné napadnout nebo zneužít, jako je síť, jádro, proces, uživatel nebo relace. Jediné ohrožení zabezpečení může způsobit neoprávněné krádeže dat a přihlašovacích údajů, únik osobních údajů, krádež identity a další problémy. Poskytovatelé virtualizovaných prostředí zodpovídají za nabízení dobře navržených systémů s několika silnými hranicemi zabezpečení a dalšími bezpečnostními funkcemi, které jsou povolené všude, kde je to možné.
Snížení těchto potenciálních hrozeb vyžaduje konfiguraci kontroly pravopisu proti chybám, proces návrhu správy oprav a pravidelné plány nasazení oprav. Je lepší dodržovat zásady hloubkové ochrany a udržovat prostředí oddělená.
Následující tabulka shrnuje naše doporučení pro každý scénář.
| Scénář úrovně důvěryhodnosti | Doporučené řešení |
|---|---|
| Uživatelé z jedné organizace se standardními oprávněními | Použijte více relací operačního systému Windows Enterprise. |
| Uživatelé vyžadují oprávnění správce. | Použijte osobní fond hostitelů a přiřaďte každému uživateli vlastního hostitele relace. |
| Uživatelé z různých organizací, kteří se připojují | Oddělení tenanta Azure a předplatného Azure |
Osvědčené postupy zabezpečení Azure
Azure Virtual Desktop je služba v rámci Azure. Abyste maximalizovali bezpečnost nasazení služby Azure Virtual Desktop, měli byste zajistit také zabezpečení okolní infrastruktury a roviny správy Azure. Pokud chcete zabezpečit infrastrukturu, zvažte, jak Azure Virtual Desktop zapadá do vašeho většího ekosystému Azure. Další informace o ekosystému Azure najdete v osvědčených postupech a vzorech zabezpečení Azure.
Dnešní prostředí hrozeb vyžaduje návrhy s ohledem na bezpečnostní přístupy. V ideálním případě budete chtít vytvořit řadu mechanismů zabezpečení a ovládacích prvků vrstvených v celé počítačové síti, abyste ochránili svá data a síť před napadením nebo útokem. Tento typ návrhu zabezpečení je to, co USA kyberbezpečnost a agentura CISA (Infrastructure Security Agency) vyzývá k hloubkové ochraně.
Následující části obsahují doporučení pro zabezpečení nasazení služby Azure Virtual Desktop.
Povolení Microsoft Defenderu pro cloud
Doporučujeme povolit rozšířené funkce zabezpečení v programu Microsoft Defender pro cloud, aby:
- Správa ohrožení zabezpečení
- Vyhodnoťte soulad s běžnými architekturami, jako je například Rada bezpečnostních standardů PCI.
- Posílení celkového zabezpečení vašeho prostředí
Další informace najdete v tématu Povolení rozšířených funkcí zabezpečení.
Zlepšení bezpečnostního skóre
Skóre zabezpečení poskytuje doporučení a rady osvědčených postupů pro zlepšení celkového zabezpečení. Tato doporučení jsou prioritní, aby vám pomohla vybrat ty, které jsou nejdůležitější, a možnosti Rychlé opravy vám pomůžou rychle řešit potenciální ohrožení zabezpečení. Tato doporučení se také průběžně aktualizují, abyste měli přehled o nejlepších způsobech, jak udržovat zabezpečení vašeho prostředí. Další informace najdete v tématu Vylepšení skóre zabezpečení v programu Microsoft Defender for Cloud.
Vyžadovat vícefaktorové ověřování
Vyžadování vícefaktorového ověřování pro všechny uživatele a správce ve službě Azure Virtual Desktop zlepšuje zabezpečení celého nasazení. Další informace najdete v tématu Povolení vícefaktorového ověřování Microsoft Entra pro Azure Virtual Desktop.
Povolení podmíněného přístupu
Povolení podmíněného přístupu umožňuje spravovat rizika, než uživatelům udělíte přístup k prostředí Služby Azure Virtual Desktop. Při rozhodování o tom, kteří uživatelé mají udělit přístup, doporučujeme také zvážit, kdo je uživatel, jak se přihlašuje a jaké zařízení používá.
Shromažďování protokolů auditu
Povolení shromažďování protokolů auditu umožňuje zobrazit aktivity uživatelů a správců související s Azure Virtual Desktopem. Mezi příklady klíčových protokolů auditu patří:
- Protokol aktivit Azure
- Protokol aktivit Microsoft Entra
- Microsoft Entra ID
- Hostitelé relací
- Protokoly služby Key Vault
Použití RemoteAppu
Při výběru modelu nasazení můžete buď poskytnout vzdáleným uživatelům přístup k celé ploše, nebo vybrat aplikace jenom při publikování jako RemoteApp. RemoteApp poskytuje bezproblémové prostředí, protože uživatel pracuje s aplikacemi ze své virtuální plochy. RemoteApp snižuje riziko tím, že umožňuje uživateli pracovat jenom s podmnožinou vzdáleného počítače vystaveného aplikací.
Monitorování využití pomocí služby Azure Monitor
Monitorujte využití a dostupnost služby Azure Virtual Desktop pomocí služby Azure Monitor. Zvažte vytvoření upozornění služby Service Health pro službu Azure Virtual Desktop, aby dostávala oznámení vždy, když dojde k události, která má vliv na službu.
Šifrování hostitelů relací
Zašifrujte hostitele relací pomocí možností šifrování spravovaných disků, abyste ochránili uložená data před neoprávněným přístupem.
Osvědčené postupy zabezpečení hostitele relací
Hostitelé relací jsou virtuální počítače, které běží v rámci předplatného Azure a virtuální sítě. Celkové zabezpečení nasazení služby Azure Virtual Desktop závisí na kontrolních prvcích zabezpečení, které jste umístili na hostitele relací. Tato část popisuje osvědčené postupy pro zajištění zabezpečení hostitelů relací.
Povolení ochrany koncových bodů
Pokud chcete chránit nasazení před známým škodlivým softwarem, doporučujeme povolit ochranu koncových bodů na všech hostitelích relací. Můžete použít antivirovou ochranu v programu Windows Defender nebo program třetí strany. Další informace najdete v průvodci nasazením antivirové ochrany v programu Windows Defender v prostředí VDI.
Pro řešení profilů, jako je FSLogix nebo jiná řešení, která připojují soubory virtuálního pevného disku, doporučujeme tyto přípony souborů vyloučit.
Instalace produktu detekce a reakce u koncových bodů
Doporučujeme nainstalovat produkt detekce a reakce u koncových bodů (EDR), který poskytuje pokročilé možnosti detekce a odezvy. V případě serverových operačních systémů s povoleným Programem Microsoft Defender pro cloud se instalace produktu EDR nasadí Microsoft Defender for Endpoint. V případě klientských operačních systémů můžete do těchto koncových bodů nasadit Microsoft Defender for Endpoint nebo produkt třetí strany.
Povolení posouzení hrozeb a správa ohrožení zabezpečení
Identifikace ohrožení zabezpečení softwaru, která existují v operačních systémech a aplikacích, je zásadní pro zajištění zabezpečení vašeho prostředí. Microsoft Defender for Cloud vám může pomoct identifikovat problémy prostřednictvím hrozby v programu Microsoft Defender for Endpoint a správa ohrožení zabezpečení řešení. Produkty třetích stran můžete používat také v případě, že jste tak naklonění, i když doporučujeme používat Microsoft Defender pro cloud a Microsoft Defender for Endpoint.
Oprava ohrožení zabezpečení softwaru ve vašem prostředí
Jakmile identifikujete ohrožení zabezpečení, musíte ho opravit. To platí i pro virtuální prostředí, která zahrnují spuštěné operační systémy, aplikace, které jsou v nich nasazené, a image, ze kterých vytváříte nové počítače. Sledujte komunikaci s oznámením o opravách dodavatele a včas použijte opravy. Doporučujeme opravy základních imagí měsíčně, abyste zajistili, že nově nasazené počítače budou co nejvíce zabezpečené.
Nastavení zásad maximálního neaktivního času a odpojení
Odhlášení uživatelů, když jsou neaktivní, zachová prostředky a zabrání přístupu neoprávněným uživatelům. Doporučujeme, aby vypršení časového limitu vyrovnává produktivitu uživatelů i využití prostředků. Pro uživatele, kteří pracují s bezstavovými aplikacemi, zvažte agresivnější zásady, které vypínají počítače a zachovávají prostředky. Odpojení dlouhotrvajících aplikací, které se budou dál spouštět, pokud je uživatel nečinný, jako je simulace nebo vykreslování CAD, může přerušit práci uživatele a může dokonce vyžadovat restartování počítače.
Nastavení zámků obrazovky pro nečinné relace
Můžete zabránit nežádoucímu přístupu k systému tím, že nakonfigurujete Azure Virtual Desktop tak, aby během nečinnosti zamkly obrazovku počítače a vyžadovala ověření k jeho odemknutí.
Vytvoření vrstveného přístupu správce
Doporučujeme, abyste správcům uživatelů neudělili přístup k virtuálním desktopům. Pokud potřebujete softwarové balíčky, doporučujeme je zpřístupnit prostřednictvím nástrojů pro správu konfigurace, jako je Microsoft Intune. V prostředí s více relacemi doporučujeme nepovolovat uživatelům instalovat software přímo.
Zvažte, kteří uživatelé by měli přistupovat k prostředkům.
Zvažte hostitele relací jako rozšíření stávajícího nasazení plochy. Doporučujeme řídit přístup k síťovým prostředkům stejným způsobem jako u jiných desktopů ve vašem prostředí, jako je použití segmentace sítě a filtrování. Ve výchozím nastavení se hostitelé relací můžou připojit k libovolnému prostředku na internetu. Provoz můžete omezit několika způsoby, včetně použití služby Azure Firewall, síťových virtuálních zařízení nebo proxy serverů. Pokud potřebujete omezit provoz, nezapomeňte přidat správná pravidla, aby služba Azure Virtual Desktop fungovala správně.
Správa zabezpečení aplikací Microsoft 365
Kromě zabezpečení hostitelů relací je důležité zabezpečit také aplikace spuštěné uvnitř těchto hostitelů. Aplikace Microsoft 365 jsou některé z nejběžnějších aplikací nasazených v hostitelích relací. Pokud chcete zlepšit zabezpečení nasazení Microsoftu 365, doporučujeme použít poradce pro zásady zabezpečení pro Microsoft 365 Apps pro velké organizace. Tento nástroj identifikuje zásady, které můžete použít pro vaše nasazení, aby se zajistilo větší zabezpečení. Poradce pro zásady zabezpečení také doporučuje zásady na základě jejich dopadu na vaše zabezpečení a produktivitu.
Zabezpečení profilů uživatelů
Profily uživatelů můžou obsahovat citlivé informace. Měli byste omezit, kdo má přístup k profilům uživatelů a metodám přístupu k nim, zejména pokud používáte kontejner profilů profilů FSLogix k ukládání profilů uživatelů do souboru virtuálního pevného disku ve sdílené složce SMB. Měli byste postupovat podle doporučení zabezpečení pro poskytovatele sdílené složky SMB. Pokud například k ukládání těchto souborů virtuálních pevných disků používáte Soubory Azure, můžete je pomocí privátních koncových bodů zpřístupnit jenom ve virtuální síti Azure.
Další tipy zabezpečení pro hostitele relací
Omezením možností operačního systému můžete posílit zabezpečení hostitelů relací. Tady je několik věcí, které můžete udělat:
Přesměrování zařízení můžete řídit přesměrováním jednotek, tiskáren a zařízení USB na místní zařízení uživatele v relaci vzdálené plochy. Doporučujeme vyhodnotit požadavky na zabezpečení a zkontrolovat, jestli by tyto funkce neměly být zakázané nebo ne.
Omezte přístup Průzkumníka Windows skrytím mapování místních a vzdálených jednotek. Zabráníte tak uživatelům v zjišťování nežádoucích informací o konfiguraci systému a uživatelích.
Vyhněte se přímému přístupu RDP k hostitelům relací ve vašem prostředí. Pokud potřebujete přímý přístup RDP pro správu nebo řešení potíží, povolte přístup za běhu , abyste omezili potenciální prostor pro útok na hostitele relace.
Udělte uživatelům omezená oprávnění, když přistupují k místním a vzdáleným systémům souborů. Oprávnění můžete omezit tím, že zajistíte, aby místní a vzdálené systémy souborů používaly seznamy řízení přístupu s nejnižšími oprávněními. Uživatelé tak mají přístup jenom k tomu, co potřebují, a nemůžou měnit ani odstraňovat důležité prostředky.
Zabraňte spuštění nežádoucího softwaru na hostitelích relací. Nástroj App Locker můžete povolit pro další zabezpečení na hostitelích relací a zajistit tak, aby na hostiteli běžely jenom aplikace, které povolíte.
Důvěryhodné spuštění
Důvěryhodné spuštění jsou virtuální počítače Azure Gen2 s vylepšenými funkcemi zabezpečení, které jsou zaměřené na ochranu před hrozbami na nejnižší úrovni zásobníku prostřednictvím vektorů útoku, jako jsou rootkity, spouštěcí sady a malware na úrovni jádra. Následují vylepšené funkce zabezpečení důvěryhodného spuštění, z nichž všechny jsou podporované ve službě Azure Virtual Desktop. Další informace o důvěryhodném spuštění najdete v tématu Důvěryhodné spuštění pro virtuální počítače Azure.
Povolení důvěryhodného spuštění jako výchozího
Důvěryhodné spuštění chrání před pokročilými a trvalými technikami útoku. Tato funkce také umožňuje zabezpečené nasazení virtuálních počítačů s ověřenými zavaděči spouštění, jádry operačního systému a ovladači. Důvěryhodné spuštění také chrání klíče, certifikáty a tajné kódy ve virtuálních počítačích. Přečtěte si další informace o důvěryhodném spuštění při důvěryhodném spuštění pro virtuální počítače Azure.
Když přidáte hostitele relací pomocí webu Azure Portal, typ zabezpečení se automaticky změní na důvěryhodné virtuální počítače. Tím se zajistí, že váš virtuální počítač splňuje povinné požadavky pro Windows 11. Další informace o těchto požadavcích najdete v tématu Podpora virtuálních počítačů.
Důvěrné výpočetní virtuální počítače Azure
Podpora služby Azure Virtual Desktop pro virtuální počítače Důvěrné výpočetní služby Azure zajišťuje, že je virtuální plocha uživatele šifrovaná v paměti, chráněná při použití a podporována kořenem hardwaru důvěryhodnosti. Důvěrné výpočetní virtuální počítače Azure pro Azure Virtual Desktop jsou kompatibilní s podporovanými operačními systémy. Nasazení důvěrných virtuálních počítačů pomocí služby Azure Virtual Desktop poskytuje uživatelům přístup k Microsoftu 365 a dalším aplikacím na hostitelích relací, které používají hardwarovou izolaci, což zlepšuje izolaci od jiných virtuálních počítačů, hypervisoru a hostitelského operačního systému. Tyto virtuální plochy využívají nejnovější procesory EPYC™ (Advanced Micro Devices) třetí generace (Gen 3) s technologií Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP). Šifrovací klíče paměti se generují a chrání vyhrazeným zabezpečeným procesorem uvnitř procesoru AMD, který nelze číst ze softwaru. Další informace najdete v přehledu důvěrného výpočetního prostředí Azure.
Následující operační systémy se podporují pro použití jako hostitelé relací s důvěrnými virtuálními počítači ve službě Azure Virtual Desktop:
- Windows 11 Enterprise verze 22H2
- Více relací Windows 11 Enterprise verze 22H2
- Windows Server 2022
- Windows Server 2019
Hostitele relací můžete vytvářet pomocí důvěrných virtuálních počítačů při vytváření fondu hostitelů nebo přidávání hostitelů relací do fondu hostitelů.
Šifrování disku s operačním systémem
Šifrování disku s operačním systémem je další vrstva šifrování, která spojuje šifrovací klíče disku s čipem TPM (Trusted Platform Module) virtuálního počítače důvěrného výpočetního prostředí. Díky tomuto šifrování bude obsah disku přístupný jenom virtuálnímu počítači. Monitorování integrity umožňuje kryptografické ověření identity a ověření integrity spouštění virtuálních počítačů a monitorování výstrah v případě, že se virtuální počítač nespustí, protože ověření identity selhalo s definovaným směrným plánem. Další informace o monitorování integrity najdete v tématu Integrace Microsoft Defenderu pro cloud. Důvěrné šifrování výpočetních prostředků můžete povolit při vytváření hostitelů relací pomocí důvěrných virtuálních počítačů při vytváření fondu hostitelů nebo přidávání hostitelů relací do fondu hostitelů.
Zabezpečené spouštění
Zabezpečené spouštění je režim, který firmware platformy podporuje, který chrání váš firmware před rootkity a spouštěcími sadami založenými na malwaru. Tento režim umožňuje spouštění jenom podepsaných operačních systémů a ovladačů.
Monitorování integrity spouštění pomocí vzdáleného ověření identity
Vzdálené ověření identity je skvělý způsob, jak zkontrolovat stav virtuálních počítačů. Vzdálená ověření identity ověřuje, že jsou k dispozici, originální a pocházejí z virtuálního čipového modulu vTPM (Virtual Trusted Platform Module). Při kontrole stavu poskytuje kryptografickou jistotu, že se platforma správně spustila.
vTPM
Virtuální počítač vTPM je virtualizovaná verze hardwarového čipu TPM (Trusted Platform Module) s virtuální instancí čipu TPM na virtuální počítač. VTPM umožňuje vzdálenou ověření identity provedením měření integrity celého spouštěcího řetězce virtuálního počítače (UEFI, OS, systému a ovladačů).
Doporučujeme povolit virtuálnímu počítači vTPM, aby na virtuálních počítačích používal vzdálené ověření identity. S povoleným nástrojem vTPM můžete také povolit funkci BitLockeru pomocí služby Azure Disk Encryption, která poskytuje šifrování celého svazku pro ochranu neaktivních uložených dat. Všechny funkce používající vTPM způsobí, že tajné kódy jsou vázané na konkrétní virtuální počítač. Když se uživatelé připojí ke službě Azure Virtual Desktop ve scénáři ve fondu, můžou být uživatelé přesměrováni na libovolný virtuální počítač ve fondu hostitelů. V závislosti na tom, jak je tato funkce navržená, může mít vliv.
Poznámka:
Nástroj BitLocker by neměl být použit k šifrování konkrétního disku, na kterém ukládáte data profilu FSLogix.
Zabezpečení na základě virtualizace
Zabezpečení založené na virtualizaci (VBS) používá hypervisor k vytvoření a izolaci zabezpečené oblasti paměti, která je pro operační systém nepřístupná. Hypervisorově chráněná integrita kódu (HVCI) i Ochrana credential Guard v programu Windows Defender používají VBS k zajištění zvýšené ochrany před ohroženími zabezpečení.
Integrita kódu chráněného hypervisorem
HVCI je výkonné zmírnění rizik systému, které používá VBS k ochraně procesů v režimu jádra Windows před injektáží a spuštěním škodlivého nebo neověřeného kódu.
Windows Defender Credential Guard
Povolte ochranu Credential Guard v programu Windows Defender. Ochrana Credential Guard v programu Windows Defender používá VBS k izolaci a ochraně tajných kódů, aby k nim měl přístup pouze privilegovaný systémový software. Tím se zabrání neoprávněnému přístupu k těmto tajným kódům a útokům krádeží přihlašovacích údajů, jako jsou útoky Pass-the-Hash. Další informace najdete v tématu Přehled ochrany Credential Guard.
Řízení aplikací programu Windows Defender
Povolte řízení aplikací v programu Windows Defender. Řízení aplikací v programu Windows Defender je navržené tak, aby chránilo zařízení před malwarem a jiným nedůvěryhodným softwarem. Zabrání spuštění škodlivého kódu tím, že zajistí, aby se mohl spustit jenom schválený kód, který víte. Další informace naleznete v tématu Řízení aplikací pro Windows.
Poznámka:
Při použití řízení přístupu v programu Windows Defender doporučujeme cílit jenom na zásady na úrovni zařízení. I když je možné cílit zásady na jednotlivé uživatele, jakmile se zásada použije, ovlivní to všechny uživatele na zařízení stejně.
Windows Update
Udržujte hostitele relací v aktualizovaném stavu díky aktualizacím z služba Windows Update. služba Windows Update poskytuje bezpečný způsob, jak udržovat zařízení v aktualizovaném stavu. Jeho kompletní ochrana zabraňuje manipulaci s výměnou protokolů a zajišťuje, aby aktualizace obsahovaly jenom schválený obsah. Aby bylo možné získat správný přístup k služba Windows Update, budete možná muset aktualizovat pravidla brány firewall a proxy serveru pro některá chráněná prostředí. Další informace najdete v tématu služba Windows Update zabezpečení.
Klient a aktualizace vzdálené plochy na jiných platformách operačního systému
Aktualizace softwaru pro klienty vzdálené plochy, které můžete použít pro přístup ke službám Azure Virtual Desktop na jiných platformách operačního systému, jsou zabezpečené podle zásad zabezpečení příslušných platforem. Všechny aktualizace klientů jsou poskytovány přímo jejich platformami. Další informace najdete na příslušných stránkách obchodu pro každou aplikaci:
Další kroky
- Zjistěte, jak nastavit vícefaktorové ověřování.
- Použití principů nulová důvěra (Zero Trust) pro nasazení služby Azure Virtual Desktop