Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Virtual Desktop je spravovaná služba virtuálních klientských počítačů, která zahrnuje mnoho funkcí zabezpečení pro zajištění bezpečnosti vaší organizace. Architektura služby Azure Virtual Desktop se skládá z mnoha komponent, které tvoří službu propojující uživatele s jejich desktopy a aplikacemi.
Azure Virtual Desktop má řadu integrovaných pokročilých funkcí zabezpečení, jako je zpětné připojení, kde není nutné otevírat žádné příchozí síťové porty, což snižuje riziko spojené s přístupem ke vzdáleným plochám odkudkoli. Služba také těží z mnoha dalších funkcí zabezpečení Azure, jako je vícefaktorové ověřování a podmíněný přístup. Tento článek popisuje kroky, které můžete jako správce provést, abyste zajistili zabezpečení nasazení služby Azure Virtual Desktop bez ohledu na to, jestli poskytujete plochy a aplikace uživatelům ve vaší organizaci nebo externím uživatelům.
Sdílené odpovědnosti za zabezpečení
Před službou Azure Virtual Desktop vyžadují místní virtualizační řešení, jako je Vzdálená plocha, udělení přístupu uživatelům k rolím, jako je brána, zprostředkovatel, webový přístup atd. Tyto role musely být plně redundantní a musely být schopné zvládnout kapacitu ve špičce. Správci by tyto role nainstalovali jako součást operačního systému Windows Server a museli být připojeni k doméně s konkrétními porty dostupnými pro veřejná připojení. Aby byla nasazení zabezpečená, museli správci neustále zajistit, aby všechno v infrastruktuře bylo udržováno a aktuální.
Ve většině cloudových služeb je ale mezi Microsoftem a zákazníkem nebo partnerem sdílená sada odpovědností za zabezpečení . Pro Azure Virtual Desktop je většina komponent spravovaná Microsoftem, ale hostitelé relací a některé podpůrné služby a komponenty jsou spravované zákazníkem nebo partnery. Další informace o komponentách služby Azure Virtual Desktop spravovaných Microsoftem najdete v tématu Architektura a odolnost služby Azure Virtual Desktop.
I když jsou některé komponenty už pro vaše prostředí zabezpečené, budete muset nakonfigurovat jiné oblasti sami tak, aby vyhovovaly potřebám zabezpečení vaší organizace nebo zákazníka. Tady jsou komponenty, ze kterých zodpovídáte za zabezpečení v nasazení služby Azure Virtual Desktop:
| Součást | Odpovědnost |
|---|---|
| Identita | Zákazník nebo partner |
| Uživatelská zařízení (mobilní zařízení a počítače) | Zákazník nebo partner |
| Zabezpečení aplikací | Zákazník nebo partner |
| Hostitelský operační systém relace | Zákazník nebo partner |
| Konfigurace nasazení | Zákazník nebo partner |
| Síťové ovládací prvky | Zákazník nebo partner |
| Řídicí rovina virtualizace | Microsoft |
| Fyzické hostitele | Microsoft |
| Fyzická síť | Microsoft |
| Fyzické datové centrum | Microsoft |
Hranice zabezpečení
Hranice zabezpečení oddělují kód a data domén zabezpečení s různými úrovněmi důvěryhodnosti. Mezi režimem jádra a uživatelským režimem je například obvykle hranice zabezpečení. Většina softwaru a služeb Microsoftu závisí při izolaci zařízení v sítích, virtuálních počítačích a aplikacích na zařízeních na několika hranicích zabezpečení. Následující tabulka uvádí jednotlivé hranice zabezpečení pro Windows a jejich činnost pro celkové zabezpečení.
| Hranice zabezpečení | Popis |
|---|---|
| Hranice sítě | Neautorizovaný koncový bod sítě nemůže přistupovat ke kódu a datům na zařízení zákazníka nebo do jejich přístupu manipulovat. |
| Hranice jádra | Proces v režimu uživatele bez oprávnění správce nemůže přistupovat ke kódu jádra a datům ani k jejich manipulaci. Mezi správcem a jádrem není hranice zabezpečení. |
| Hranice procesu | Proces neautorizovaného uživatelského režimu nemůže přistupovat ke kódu a datům jiného procesu ani s daty jiného procesu ani s tím manipulovat. |
| Hranice sandboxu AppContainer | Proces sandboxu založený na AppContaineru nemůže přistupovat ke kódu a datům mimo sandbox nebo s jejich manipulací na základě možností kontejneru. |
| Hranice uživatele | Uživatel nemůže přistupovat ke kódu a datům jiného uživatele nebo s jejich manipulací, aniž by byl autorizován. |
| Hranice relace | Uživatelská relace nemůže přistupovat k jiné relaci uživatele ani s tím nemůže manipulovat, aniž by byla autorizována. |
| Hranice webového prohlížeče | Neautorizovaný web nemůže porušit zásady stejného původu ani nemůže přistupovat k nativnímu kódu a datům sandboxu webového prohlížeče Microsoft Edge ani do něj nemůže manipulovat. |
| Hranice virtuálního počítače | Neautorizovaný hostovaný virtuální počítač Hyper-V nemůže přistupovat ke kódu a datům jiného hostovaného virtuálního počítače nebo do těchto dat manipulovat. to zahrnuje izolované kontejnery Hyper-V. |
| Hranice virtuálního zabezpečeného režimu (VSM) | Kód spuštěný mimo důvěryhodný proces nebo enklávu VSM nemůže přistupovat k datům a kódu v rámci důvěryhodného procesu ani s jejich manipulací. |
Doporučené hranice zabezpečení pro scénáře služby Azure Virtual Desktop
Budete také muset případ od případu rozhodovat o hranicích zabezpečení. Pokud například uživatel ve vaší organizaci potřebuje k instalaci aplikací oprávnění místního správce, budete mu muset místo hostitele sdílené relace přidělit osobní plochu. Nedoporučujeme uživatelům udělovat oprávnění místního správce ve scénářích s více relacemi ve fondu, protože tito uživatelé můžou překročit hranice zabezpečení pro relace nebo oprávnění k datům NTFS, vypnout virtuální počítače s více relacemi nebo dělat jiné věci, které by mohly přerušit službu nebo způsobit ztráty dat.
Uživatelé ze stejné organizace, například znalostní pracovníci s aplikacemi, které nevyžadují oprávnění správce, jsou skvělými kandidáty pro hostitele relací s více relacemi, jako je Windows 11 Enterprise více relací. Tito hostitelé relací snižují náklady pro vaši organizaci, protože jeden virtuální počítač může sdílet více uživatelů s pouze režijními náklady na virtuální počítač na uživatele. S produkty pro správu profilů uživatelů, jako je FSLogix, je možné uživatelům přiřadit libovolný virtuální počítač ve fondu hostitelů, aniž by si museli povšimnou přerušení služeb. Tato funkce také umožňuje optimalizovat náklady tím, že například vypnete virtuální počítače mimo špičku.
Pokud vaše situace vyžaduje, aby se k vašemu nasazení připojili uživatelé z různých organizací, doporučujeme mít samostatného tenanta pro služby identit, jako je Active Directory a Microsoft Entra ID. Doporučujeme také, abyste pro tyto uživatele měli samostatné předplatné pro hostování prostředků Azure, jako je Azure Virtual Desktop a virtuální počítače.
V mnoha případech je použití více relací přijatelný způsob, jak snížit náklady, ale to, jestli ho doporučujeme, závisí na úrovni důvěryhodnosti mezi uživateli se současným přístupem ke sdílené instanci více relací. Uživatelé, kteří patří do stejné organizace, mají obvykle dostatečný a odsouhlasený vztah důvěryhodnosti. Například oddělení nebo pracovní skupina, kde lidé spolupracují a mají přístup k osobním údajům ostatních, je organizace s vysokou úrovní důvěryhodnosti.
Systém Windows používá hranice zabezpečení a ovládací prvky k zajištění izolace uživatelských procesů a dat mezi relacemi. Systém Windows však stále poskytuje přístup k instanci, na které uživatel pracuje.
Nasazení ve více relacích by prosadila strategii hloubkového zabezpečení, která přidává další hranice zabezpečení, které brání uživatelům v organizaci i mimo ni získat neoprávněný přístup k osobním údajům jiných uživatelů. K neoprávněnému přístupu k datům dochází kvůli chybě v procesu konfigurace ze strany správce systému, jako je nezveřejněná chyba zabezpečení nebo známá chyba zabezpečení, která ještě nebyla opravena.
Nedoporučujeme udělovat uživatelům, kteří pracují pro různé nebo konkurenční společnosti, přístup ke stejnému prostředí s více relacemi. Tyto scénáře mají několik hranic zabezpečení, které je možné napadnout nebo zneužít, jako je síť, jádro, proces, uživatel nebo relace. Jedno ohrožení zabezpečení může způsobit neoprávněnou krádež dat a přihlašovacích údajů, únik osobních údajů, odcizení identity a další problémy. Poskytovatelé virtualizovaných prostředí zodpovídají za nabízení dobře navržených systémů s několika silnými hranicemi zabezpečení a dalšími bezpečnostními funkcemi, kdykoli je to možné.
Omezení těchto potenciálních hrozeb vyžaduje konfiguraci odolnou proti chybám, proces návrhu správy oprav a pravidelné plány nasazení oprav. Je lepší dodržovat zásady hloubkové ochrany a udržovat prostředí oddělená.
Následující tabulka shrnuje naše doporučení pro jednotlivé scénáře.
| Scénář úrovně důvěryhodnosti | Doporučené řešení |
|---|---|
| Uživatelé z jedné organizace se standardními oprávněními | Použijte operační systém Windows Enterprise s více relacemi. |
| Uživatelé vyžadují oprávnění správce. | Použijte osobní fond hostitelů a přiřaďte každému uživateli vlastního hostitele relace. |
| Připojující se uživatelé z různých organizací | Oddělení tenanta Azure a předplatného Azure |
Osvědčené postupy zabezpečení Azure
Azure Virtual Desktop je služba v rámci Azure. Pokud chcete maximalizovat bezpečnost nasazení služby Azure Virtual Desktop, měli byste se ujistit, že zabezpečíte i okolní infrastrukturu a rovinu správy Azure. Pokud chcete zabezpečit infrastrukturu, zvažte, jak Azure Virtual Desktop zapadá do vašeho většího ekosystému Azure. Další informace o ekosystému Azure najdete v tématu Osvědčené postupy a vzory zabezpečení Azure.
Dnešní prostředí hrozeb vyžaduje návrhy s ohledem na přístupy k zabezpečení. V ideálním případě byste měli vytvořit řadu bezpečnostních mechanismů a ovládacích prvků, které jsou vrstvené v celé počítačové síti, aby vaše data a síť byly chráněny před ohrožením nebo napadením. Tento typ návrhu zabezpečení nazývá USA Cybersecurity and Infrastructure Security Agency (CISA) hloubkovou obranou.
Následující části obsahují doporučení pro zabezpečení nasazení služby Azure Virtual Desktop.
Povolení Microsoft Defender pro cloud
Doporučujeme povolit funkce rozšířeného zabezpečení Microsoft Defender pro cloud, abyste mohli:
- Správa ohrožení zabezpečení
- Posuďte dodržování předpisů pomocí běžných architektur, jako je například rada PCI Security Standards Council.
- Posílit celkové zabezpečení vašeho prostředí.
Další informace najdete v tématu Povolení funkcí rozšířeného zabezpečení.
Vylepšení skóre zabezpečení
Skóre zabezpečení poskytuje doporučení a osvědčené postupy pro zlepšení celkového zabezpečení. Tato doporučení mají prioritu, aby vám pomohla vybrat, která z nich jsou nejdůležitější, a možnosti Rychlé opravy vám pomůžou rychle vyřešit potenciální ohrožení zabezpečení. Tato doporučení se také průběžně aktualizují, abyste měli přehled o nejlepších způsobech, jak zachovat zabezpečení vašeho prostředí. Další informace najdete v tématu Vylepšení skóre zabezpečení ve službě Microsoft Defender for Cloud.
Vyžadovat vícefaktorové ověřování
Vyžadování vícefaktorového ověřování pro všechny uživatele a správce ve službě Azure Virtual Desktop zlepšuje zabezpečení celého nasazení. Další informace najdete v tématu Povolení Microsoft Entra vícefaktorového ověřování pro Azure Virtual Desktop.
Povolit podmíněný přístup
Povolení podmíněného přístupu umožňuje řídit rizika před udělením přístupu uživatelů k prostředí Azure Virtual Desktop. Při rozhodování, kterým uživatelům udělit přístup, doporučujeme také zvážit, kdo je uživatel, jak se přihlašuje a jaké zařízení používá.
Shromažďování protokolů auditu
Povolením shromažďování protokolů auditu můžete zobrazit aktivity uživatelů a správců související se službou Azure Virtual Desktop. Mezi příklady klíčových protokolů auditu patří:
- Protokol aktivit Azure
- protokol aktivit Microsoft Entra
- Microsoft Entra ID
- Hostitelé relací
- Key Vault protokolů
Monitorování využití pomocí Azure Monitoru
Monitorujte využití a dostupnost služby Azure Virtual Desktop pomocí služby Azure Monitor. Zvažte vytvoření upozornění služby Service Health pro službu Azure Virtual Desktop, která budou dostávat oznámení vždy, když dojde k události, která má vliv na službu.
Šifrování hostitelů relací
Zašifrujte hostitele relací pomocí možností šifrování spravovaného disku , abyste ochránili uložená data před neoprávněným přístupem.
Osvědčené postupy zabezpečení hostitele relace
Hostitelé relací jsou virtuální počítače, které běží v rámci předplatného Azure a virtuální sítě. Celkové zabezpečení nasazení služby Azure Virtual Desktop závisí na kontrolních prvcích zabezpečení, které u hostitelů relací nasadíte. Tato část popisuje osvědčené postupy pro zabezpečení hostitelů relací.
Povolení ochrany koncových bodů
Pokud chcete své nasazení chránit před známým škodlivým softwarem, doporučujeme povolit ochranu koncových bodů na všech hostitelích relací. Můžete použít windows Antivirová ochrana v programu Defender nebo program jiného výrobce. Další informace najdete v tématu Průvodce nasazením pro Windows Antivirová ochrana v programu Defender v prostředí VDI.
Pro profilová řešení, jako je FSLogix nebo jiná řešení, která připojují soubory virtuálního pevného disku, doporučujeme tyto přípony souborů vyloučit. Další informace o vyloučeních FSLogix najdete v tématu Konfigurace vyloučení antivirových souborů a složek.
Instalace produktu pro detekci a odezvu koncových bodů
Doporučujeme, abyste si nainstalovali produkt EDR (Detekce a reakce koncových bodů), který poskytuje pokročilé možnosti detekce a reakce. U serverových operačních systémů s povolenou funkcí Microsoft Defender for Cloud se instalace produktu EDR nasadí Microsoft Defender for Endpoint. V případě klientských operačních systémů můžete do těchto koncových bodů nasadit Microsoft Defender for Endpoint nebo produkt třetí strany.
Povolení Threat and Vulnerability Management hodnocení
Identifikace ohrožení zabezpečení softwaru, která existují v operačních systémech a aplikacích, je zásadní pro zajištění zabezpečení vašeho prostředí. Microsoft Defender for Cloud vám může pomoct identifikovat problémová místa prostřednictvím řešení Threat and Vulnerability Management Microsoft Defender for Endpoint. Pokud chcete, můžete také použít produkty třetích stran, i když doporučujeme používat Microsoft Defender pro cloud a Microsoft Defender for Endpoint.
Oprava chyb zabezpečení softwaru ve vašem prostředí
Jakmile identifikujete chybu zabezpečení, musíte ji opravit. To platí i pro virtuální prostředí, která zahrnují spuštěné operační systémy, aplikace, které jsou v nich nasazené, a image, ze kterých vytváříte nové počítače. Sledujte komunikaci s oznámením o opravách od dodavatele a proveďte opravy včas. Doporučujeme opravovat základní image každý měsíc, abyste zajistili, že nově nasazené počítače budou co nejbezpečnější.
Nastavení maximální doby nečinnosti a zásad odpojení
Odhlášení uživatelů, když jsou neaktivní, zachová prostředky a zabrání přístupu neoprávněných uživatelů. Doporučujeme, aby vypršení časových limitů vyvažovaly produktivitu uživatelů a také využití prostředků. Pro uživatele, kteří pracují s bezstavovými aplikacemi, zvažte agresivnější zásady, které vypínají počítače a zachovávají prostředky. Odpojení dlouhotrvajících aplikací, které běží dál, pokud je uživatel nečinný, jako je simulace nebo vykreslování CAD, může přerušit práci uživatele a může dokonce vyžadovat restartování počítače.
Nastavení zámků obrazovky pro nečinné relace
Nežádoucímu přístupu k systému můžete zabránit tím, že nakonfigurujete službu Azure Virtual Desktop tak, aby v době nečinnosti zamkla obrazovku počítače a aby k jejímu odemknutí vyžadovala ověření.
Vytvoření přístupu vrstvených správců
Doporučujeme neudělovat uživatelům přístup správce k virtuálním plochám. Pokud potřebujete softwarové balíčky, doporučujeme je zpřístupnit prostřednictvím nástrojů pro správu konfigurace, jako je Microsoft Intune. V prostředí s více relacemi doporučujeme uživatelům nepovolovat instalaci softwaru přímo.
Zvažte, kteří uživatelé by měli přistupovat ke kterým prostředkům
Zvažte hostitele relací jako rozšíření stávajícího nasazení desktopu. Doporučujeme řídit přístup k síťovým prostředkům stejným způsobem jako u jiných ploch ve vašem prostředí, například pomocí segmentace sítě a filtrování. Ve výchozím nastavení se hostitelé relací můžou připojit k libovolnému prostředku na internetu. Existuje několik způsobů, jak omezit provoz, včetně použití Azure Firewall, síťových virtuálních zařízení nebo proxy serverů. Pokud potřebujete omezit provoz, nezapomeňte přidat správná pravidla, aby služba Azure Virtual Desktop fungovala správně.
Správa zabezpečení aplikací Microsoft 365
Kromě zabezpečení hostitelů relací je důležité také zabezpečit aplikace, které v nich běží. Aplikace Microsoft 365 jsou některé z nejběžnějších aplikací nasazených v hostitelích relací. Pokud chcete zlepšit zabezpečení nasazení Microsoftu 365, doporučujeme pro Microsoft 365 Apps pro velké organizace použít Poradce pro zásady zabezpečení. Tento nástroj identifikuje zásady, které můžete použít pro vaše nasazení kvůli většímu zabezpečení. Poradce pro zásady zabezpečení také doporučuje zásady na základě jejich dopadu na vaše zabezpečení a produktivitu.
Zabezpečení profilu uživatele
Profily uživatelů můžou obsahovat citlivé informace. Měli byste omezit, kdo má přístup k profilům uživatelů a metodám přístupu k nim, zejména pokud používáte kontejner profilu FSLogix k ukládání profilů uživatelů do souboru virtuálního pevného disku ve sdílené složce SMB. Měli byste postupovat podle doporučení zabezpečení pro poskytovatele sdílené složky SMB. Pokud například k ukládání těchto souborů virtuálního pevného disku používáte Azure Files, můžete je pomocí privátních koncových bodů zpřístupnit jenom ve virtuální síti Azure.
Další tipy pro zabezpečení pro hostitele relací
Omezením možností operačního systému můžete posílit zabezpečení hostitelů relací. Tady je pár věcí, které můžete udělat:
Přesměrování zařízení můžete řídit přesměrováním jednotek, tiskáren a zařízení USB na místní zařízení uživatele v relaci vzdálené plochy. Doporučujeme vyhodnotit požadavky na zabezpečení a zkontrolovat, jestli by tyto funkce neměly být zakázané nebo ne.
Omezte přístup Průzkumníka Windows skrytím mapování místních a vzdálených jednotek. Tím zabráníte uživatelům ve zjišťování nežádoucích informací o konfiguraci systému a uživatelích.
Vyhněte se přímému přístupu RDP k hostitelům relací ve vašem prostředí. Pokud potřebujete přímý přístup RDP pro správu nebo řešení potíží, povolte přístup za běhu , abyste omezili potenciální možnosti útoku na hostitele relace.
Udělte uživatelům omezená oprávnění pro přístup k místním a vzdáleným systémům souborů. Oprávnění můžete omezit tím, že zajistíte, aby místní a vzdálené systémy souborů používaly seznamy řízení přístupu s nejnižšími oprávněními. Uživatelé tak budou mít přístup jenom k tomu, co potřebují, a nebudou moct měnit ani odstraňovat důležité prostředky.
Zabraňte spuštění nežádoucího softwaru na hostitelích relací. RemoteApp není funkce zabezpečení a její použití nebrání spuštění aplikací nad rámec aplikací publikovaných ve skupině aplikací. Pokud chcete zajistit, aby na hostiteli relace mohly běžet jenom aplikace, které povolíte, můžete použít řízení aplikací pro funkce Windows , jako je Řízení aplikací nebo AppLocker.
Důvěryhodné spuštění
Důvěryhodné spuštění jsou virtuální počítače Azure s rozšířenými funkcemi zabezpečení, jejichž cílem je chránit před technikami trvalého útoku, jako jsou hrozby na nejnižší úrovni, prostřednictvím vektorů útoku, jako jsou rootkity, spouštěcí sady a malware na úrovni jádra. Umožňuje zabezpečené nasazení virtuálních počítačů s ověřenými zavaděči spouštění, jádry operačního systému a ovladači a také chrání klíče, certifikáty a tajné kódy na virtuálních počítačích. Další informace o důvěryhodném spuštění najdete v tématu Důvěryhodné spuštění pro virtuální počítače Azure.
Když přidáte hostitele relací pomocí Azure Portal, výchozí typ zabezpečení je Důvěryhodné virtuální počítače. Tím se zajistí, že váš virtuální počítač splňuje povinné požadavky na Windows 11. Další informace o těchto požadavcích najdete v tématu Podpora virtuálních počítačů.
Důvěrné výpočetní virtuální počítače Azure
Podpora služby Azure Virtual Desktop pro důvěrné výpočetní virtuální počítače Azure zajišťuje, že virtuální plocha uživatele je šifrovaná v paměti, chráněná při používání a zajištěná kořenovým hardwarovým serverem.
Nasazení důvěrných virtuálních počítačů pomocí služby Azure Virtual Desktop poskytuje uživatelům přístup k Microsoftu 365 a dalším aplikacím na hostitelích relací, kteří používají hardwarovou izolaci, což zpřísňuje izolaci od jiných virtuálních počítačů, hypervisoru a hostitelského operačního systému. Šifrovací klíče paměti jsou generovány a chráněny vyhrazeným zabezpečeným procesorem uvnitř procesoru, který nelze číst ze softwaru. Další informace, včetně dostupných velikostí virtuálních počítačů, najdete v přehledu důvěrných výpočetních prostředků Azure.
Následující operační systémy se podporují pro použití jako hostitelé relací s důvěrnými virtuálními počítači ve službě Azure Virtual Desktop pro verze, které jsou v aktivní podpoře. Data podpory najdete v tématu Zásady životního cyklu Microsoftu.
- Windows 11 Enterprise
- Windows 11 Enterprise multi-session
- Windows 10 Enterprise
- Windows 10 Enterprise multi-session
- Windows Server 2022
- Windows Server 2019
Hostitele relací můžete vytvořit pomocí důvěrných virtuálních počítačů při nasazování služby Azure Virtual Desktop nebo přidávání hostitelů relací do fondu hostitelů.
Šifrování disku operačního systému
Šifrování disku s operačním systémem je dodatečná vrstva šifrování, která sváže šifrovací klíče disku s čipem TPM (Trusted Platform Module) důvěrného výpočetního počítače. Díky tomuto šifrování bude obsah disku přístupný jenom virtuálnímu počítači. Monitorování integrity umožňuje kryptografickou ověření a ověření integrity spouštění virtuálního počítače a výstrahy monitorování, pokud se virtuální počítač nespuskl, protože ověření identity selhalo s definovaným standardním plánem. Další informace o monitorování integrity najdete v tématu Microsoft Defender pro cloudovou integraci. Šifrování důvěrných výpočetních prostředků můžete povolit při vytváření hostitelů relací pomocí důvěrných virtuálních počítačů při vytváření fondu hostitelů nebo přidávání hostitelů relací do fondu hostitelů.
Zabezpečené spouštění
Zabezpečené spouštění je režim, který podporuje firmware platformy, který chrání váš firmware před rootkity a spouštěcími sadami založenými na malwaru. Tento režim umožňuje spouštění pouze podepsaných operačních systémů a ovladačů.
Monitorování integrity spouštění pomocí vzdáleného ověření
Vzdálená ověření identity je skvělý způsob, jak zkontrolovat stav virtuálních počítačů. Vzdálené ověření identity ověřuje, že jsou k dispozici záznamy měřeného spouštění, jsou originální a pocházejí z modulu vTPM (Virtual Trusted Platform Module). Jako kontrola stavu poskytuje kryptografickou jistotu, že se platforma spustila správně.
vTPM
VTPM je virtualizovaná verze hardwarového čipu TPM (Trusted Platform Module) s virtuální instancí čipu TPM na virtuální počítač. VTPM umožňuje vzdálenou ověření tím, že provádí měření integrity celého spouštěcího řetězce virtuálního počítače (UEFI, OS, systému a ovladačů).
Doporučujeme povolit vTPM, aby na virtuálních počítačích používal vzdálenou ověření identity. S povoleným vTPM můžete také povolit funkci nástroje BitLocker pomocí služby Azure Disk Encryption, která poskytuje šifrování celého svazku pro ochranu neaktivních uložených dat. Všechny funkce používající vTPM budou mít za následek tajné kódy vázané na konkrétní virtuální počítač. Když se uživatelé připojí ke službě Azure Virtual Desktop ve scénáři s fondem, můžou být přesměrováni na libovolný virtuální počítač ve fondu hostitelů. V závislosti na tom, jak je funkce navržená, to může mít vliv.
Poznámka
BitLocker by se neměl používat k šifrování konkrétního disku, na který ukládáte data profilu FSLogix.
Zabezpečení na základě virtualizace
Zabezpečení založené na virtualizaci (VBS) používá hypervisor k vytvoření a izolaci zabezpečené oblasti paměti, která je pro operační systém nedostupná. Hypervisor-Protected Code Integrity (HVCI) a Ochrana Credential Guard v programu Windows Defender používají VBS k zajištění zvýšené ochrany před ohroženími zabezpečení.
integrita kódu Hypervisor-Protected
HVCI je výkonné řešení rizik systému, které používá VBS k ochraně procesů v režimu jádra Windows před injektácí a spuštěním škodlivého nebo neověřeného kódu.
Windows Defender Credential Guard
Povolte Ochranu Credential Guard v programu Windows Defender. Ochrana Credential Guard v programu Windows Defender používá VBS k izolaci a ochraně tajných kódů, aby k nim měl přístup jenom privilegovaný systémový software. Tím se zabrání neoprávněnému přístupu k těmto tajným kódům a útokům na krádež přihlašovacích údajů, jako jsou útoky Pass-the-Hash. Další informace najdete v tématu Přehled ochrany Credential Guard.
Řízení aplikací v programu Windows Defender
Povolte Řízení aplikací v programu Windows Defender. Řízení aplikací v programu Windows Defender je navržené tak, aby chránilo zařízení před malwarem a jiným nedůvěryhodným softwarem. Brání spuštění škodlivého kódu tím, že zajišťuje, že se dá spustit jenom schválený kód. Další informace najdete v tématu Řízení aplikací pro Windows.
Poznámka
Pokud používáte windows defender Access Control, doporučujeme cílit jenom na zásady na úrovni zařízení. I když je možné zásady cílit na jednotlivé uživatele, jakmile se zásada použije, ovlivní všechny uživatele na zařízení stejně.
Windows Update
Udržujte hostitele relací v aktualizovaném stavu díky aktualizacím z služba Windows Update. služba Windows Update poskytuje bezpečný způsob, jak udržovat vaše zařízení v aktualizovaném stavu. Jeho kompletní ochrana zabraňuje manipulaci s výměnami protokolů a zajišťuje, aby aktualizace obsahovaly jenom schválený obsah. Možná budete muset aktualizovat pravidla brány firewall a proxy serveru pro některá z vašich chráněných prostředí, abyste získali správný přístup k windows Aktualizace. Další informace najdete v tématu služba Windows Update zabezpečení.
Klient Vzdálené plochy a aktualizace na jiných platformách operačního systému
Aktualizace softwaru pro klienty Vzdálené plochy, které můžete použít pro přístup ke službám Azure Virtual Desktop na jiných platformách operačního systému, jsou zabezpečené podle zásad zabezpečení příslušných platforem. Všechny aktualizace klientů jsou poskytovány přímo jejich platformami. Další informace najdete na příslušných stránkách obchodu pro každou aplikaci: