Sicherheitsempfehlungen für Azure Virtual Desktop
Azure Virtual Desktop ist ein verwalteter virtueller Desktopdienst, der zahlreiche Sicherheitsfunktionen umfasst, mit denen Sie Ihre Organisation schützen können. Die Architektur von Azure Virtual Desktop besteht aus vielen Komponenten, aus denen der Dienst besteht, der Benutzer mit ihren Desktops und Apps verbindet.
Azure Virtual Desktop verfügt über viele integrierte erweiterte Sicherheitsfeatures, z. B. Reverse-Verbinden, bei denen keine eingehenden Netzwerkports geöffnet werden müssen, wodurch das Risiko verringert wird, dass Remotedesktops von überall aus zugänglich sind. Der Dienst profitiert auch von vielen anderen Sicherheitsfeatures von Azure, z. B. mehrstufige Authentifizierung und bedingter Zugriff. In diesem Artikel werden die Schritte beschrieben, die Sie als Administrator ausführen können, um Ihre Azure Virtual Desktop-Bereitstellungen sicher zu halten, unabhängig davon, ob Sie Benutzern in Ihrer Organisation oder externen Benutzern Desktops und Apps bereitstellen.
Gemeinsame Verantwortung für die Sicherheit
Vor Azure Virtual Desktop erforderten lokale Virtualisierungslösungen wie Remotedesktopdienste, dass Benutzern Zugriff auf Rollen wie Gateway, Broker, Webzugriff usw. gewährt wird. Diese Rollen mussten vollständig redundant und dazu in der Lage sein, Spitzenkapazitäten zu bewältigen. Administratoren würden diese Rollen als Teil des Windows Server-Betriebssystems installieren, und sie mussten mit bestimmten Ports verbunden sein Standard, die für öffentliche Verbindungen zugänglich sind. Um bereitstellungen sicher zu halten, mussten Administratoren ständig sicherstellen, dass alles in der Infrastruktur Standard tained and up-to-date war.
In den meisten Clouddiensten gibt es jedoch eine gemeinsame Reihe von Sicherheitsaufgaben zwischen Microsoft und dem Kunden oder Partner. Bei Azure Virtual Desktop werden die meisten Komponenten von Microsoft verwaltet, aber Sitzungshosts und einige unterstützende Dienste und Komponenten werden vom Kunden verwaltet oder partnerverwaltet. Weitere Informationen zu den von Microsoft verwalteten Komponenten von Azure Virtual Desktop finden Sie unter Azure Virtual Desktop-Dienstarchitektur und Ausfallsicherheit.
Während einige Komponenten bereits für Ihre Umgebung gesichert sind, müssen Sie andere Bereiche selbst so konfigurieren, dass sie den Sicherheitsanforderungen Ihrer Organisation oder Kunden entsprechen. Hier sind die Komponenten, von denen Sie für die Sicherheit in Ihrer Azure Virtual Desktop-Bereitstellung verantwortlich sind:
| Komponente | Zuständigkeit |
|---|---|
| Identität | Kunde oder Partner |
| Benutzergeräte (mobile Geräte und PCs) | Kunde oder Partner |
| App-Sicherheit | Kunde oder Partner |
| Sitzungshostbetriebssystem | Kunde oder Partner |
| Bereitstellungskonfiguration | Kunde oder Partner |
| Netzwerksteuerungen | Kunde oder Partner |
| Virtualisierungssteuerungsebene | Microsoft |
| Physische Hosts | Microsoft |
| Physisches Netzwerk | Microsoft |
| Physisches Rechenzentrum | Microsoft |
Sicherheitsbegrenzungen
Sicherheitsgrenzen trennen den Code und die Daten von Sicherheitsdomänen mit unterschiedlichen Vertrauensebenen. Beispielsweise gibt es in der Regel eine Sicherheitsgrenze zwischen Kernelmodus und Benutzermodus. Die meisten Microsoft-Software und -Dienste hängen von mehreren Sicherheitsgrenzen ab, um Geräte auf Netzwerken, virtuellen Computern (VMs) und Anwendungen auf Geräten zu isolieren. In der folgenden Tabelle sind die einzelnen Sicherheitsgrenzen für Windows und ihre jeweiligen Beiträge zur Gesamtsicherheit aufgeführt.
| Sicherheitsgrenze | Beschreibung |
|---|---|
| Netzwerkbegrenzung | Ein nicht autorisierter Netzwerkendpunkt kann nicht auf den Code und die Daten eines Kundengeräts zugreifen oder diese manipulieren. |
| Kernelbegrenzung | Ein nicht administrativer Benutzermodusprozess kann nicht auf den Kernelcode und die Daten zugreifen oder diese manipulieren. Administrator-to-Kernel ist keine Sicherheitsgrenze. |
| Prozessbegrenzung | Ein nicht autorisierter Benutzermodusprozess kann nicht auf den Code und die Daten eines anderen Prozesses zugreifen oder diese manipulieren. |
| AppContainer-Sandboxbegrenzung | Ein auf AppContainer basierender Sandboxprozess kann nicht auf den Code und die Daten außerhalb der Sandbox, die auf den Containerfunktionen basiert, zugreifen oder diese manipulieren. |
| Benutzerbegrenzung | Ein Benutzer kann ohne entsprechende Autorisierung nicht auf den Code und die Daten eines anderen Benutzers zugreifen. |
| Sitzungsbegrenzung | Eine Benutzersitzung kann ohne entsprechende Autorisierung nicht auf eine andere Benutzersitzung zugreifen oder diese manipulieren. |
| Webbrowserbegrenzung | Eine nicht autorisierte Website kann weder gegen eine Richtlinie desselben Ursprungs verstoßen noch auf den nativen Code und die Daten der Microsoft Edge-Webbrowsersandbox zugreifen oder diese manipulieren. |
| Begrenzung virtueller Computer | Ein nicht autorisierter virtueller Hyper-V-Gastcomputer kann nicht auf den Code und die Daten eines anderen virtuellen Gastcomputers zugreifen oder diese manipulieren. Dies gilt auch für isolierte Hyper-V-Container. |
| Grenze für den virtuellen sicheren Modus (Virtual Secure Mode, VSM) | Code, der außerhalb des vertrauenswürdigen VSM-Prozesses oder des entsprechend geschützten Bereichs ausgeführt wird, kann nicht auf Daten und Code innerhalb des vertrauenswürdigen Prozesses zugreifen oder diese manipulieren. |
Empfohlene Sicherheitsgrenzen für Azure Virtual Desktop-Szenarios
Sie müssen auch von Fall zu Fall bestimmte Entscheidungen zu Sicherheitsgrenzen treffen. Wenn beispielsweise ein Benutzer in Ihrer Organisation lokale Administratorrechte zum Installieren von Apps benötigt, müssen Sie ihm anstelle eines freigegebenen Sitzungshosts einen persönlichen Desktop zuweisen. Es wird nicht empfohlen, Benutzern lokale Administratorrechte in Szenarien mit mehreren Sitzungen zu gewähren, da diese Benutzer Sicherheitsgrenzen für Sitzungen oder NTFS-Datenberechtigungen überschreiten, VMs mit mehreren Sitzungen herunterfahren oder andere Aktionen ausführen können, die den Dienst unterbrechen oder Datenverlust verursachen könnten.
Benutzer aus derselben Organisation, z. B. Wissensmitarbeiter mit Apps, die keine Administratorrechte erfordern, sind hervorragende Kandidaten für Sitzungshosts mit mehreren Sitzungen wie Windows 11 Enterprise multi-session. Diese Sitzungshosts reduzieren die Kosten für Ihre Organisation, da mehrere Benutzer eine einzelne VM gemeinsam nutzen können, mit nur den Kosten für einen virtuellen Computer pro Benutzer. Mit Benutzerprofilverwaltungsprodukten wie FSLogix können Benutzern jeder vm in einem Hostpool zugewiesen werden, ohne Dienstunterbrechungen zu beachten. Mit diesem Feature können Sie auch die Kosten optimieren, indem Sie beispielsweise VMs außerhalb der Spitzenzeiten herunterfahren.
Wenn Ihre Situation erfordert, dass Benutzer*innen aus verschiedenen Organisationen eine Verbindung mit Ihrer Bereitstellung herstellen, wird empfohlen, einen separaten Mandanten für Identitätsdienste wie Active Directory und Microsoft Entra ID zu verwenden. Außerdem wird empfohlen, ein separates Abonnement für diese Benutzer zum Hosten von Azure-Ressourcen wie Azure Virtual Desktop und VMs zu haben.
In vielen Fällen ist die Verwendung mehrerer Sitzungen eine akzeptable Möglichkeit zur Kostensenkung, aber ob sie empfohlen werden kann, hängt von der Vertrauensebene zwischen Benutzern mit gleichzeitigem Zugriff auf eine gemeinsam genutzte Instanz mit mehreren Sitzungen ab. In der Regel verfügen Benutzer, die derselben Organisation angehören, über eine ausreichende und entsprechend vereinbarte Vertrauensstellung. Beispielsweise ist eine Abteilung oder Arbeitsgruppe, in der Personen zusammenarbeiten und auf die persönlichen Informationen des jeweils anderen zugreifen können, eine Organisation mit hoher Vertrauensebene.
Windows verwendet Sicherheitsgrenzen und Steuerelemente, um sicherzustellen, dass Benutzerprozesse und Daten zwischen Sitzungen isoliert werden. Windows bietet jedoch weiterhin Zugriff auf die Instanz, in der der Benutzer arbeitet.
Multisitzungsbereitstellungen würden von einer detaillierten Sicherheitsstrategie profitieren, die mehr Sicherheitsgrenzen hinzufügt, die verhindern, dass Benutzer innerhalb und außerhalb der Organisation nicht autorisierten Zugriff auf die persönlichen Informationen anderer Benutzer erhalten. Nicht autorisierter Datenzugriff erfolgt aufgrund eines Fehlers im Konfigurationsprozess des Systemadministrators, z. B. eines nicht offengelegten oder eines bekannten Sicherheitsrisikos, das noch nicht gepatcht wurde.
Es wird nicht empfohlen, Benutzern, die für verschiedene oder konkurrierende Unternehmen arbeiten, Zugriff auf dieselbe Mehrsitzungsumgebung zu gewähren. Diese Szenarios weisen mehrere Sicherheitsgrenzen auf, die angegriffen oder missbräuchlich verwendet werden können, z. B. Netzwerk, Kernel, Prozess, Benutzer oder Sitzungen. Ein einzelnes Sicherheitsrisiko kann zu nicht autorisiertem Daten- und Anmeldeinformationsdiebstahl, Verlusten personenbezogener Informationen, Identitätsdiebstahl und anderen Problemen führen. Anbieter von virtualisierten Umgebungen sind dafür verantwortlich, gut entworfene Systeme mit mehreren starken Sicherheitsgrenzen und nach Möglichkeit aktivierten zusätzlichen Sicherheitsfeatures verfügbar zu machen.
Die Reduzierung dieser potenziellen Bedrohungen erfordert eine fehlersichere Konfiguration, einen Entwurfsprozess für die Patchverwaltung und Zeitpläne für die regelmäßige Patchbereitstellung. Es ist besser, die Defense-in-Depth-Prinzipien zu befolgen und Umgebungen getrennt zu halten.
In der folgenden Tabelle sind unsere Empfehlungen für jedes Szenario zusammengefasst.
| Szenario mit Vertrauensebene | Empfohlene Lösung |
|---|---|
| Benutzer aus einer einzigen Organisation mit Standardberechtigungen | Verwenden Sie ein Windows Enterprise-Betriebssystem mit mehreren Sitzungen. |
| Benutzer benötigen Administratorrechte. | Verwenden Sie einen persönlichen Hostpool, und weisen Sie jedem Benutzer einen eigenen Sitzungshost zu. |
| Benutzer aus verschiedenen Organisationen, die eine Verbindung herstellen | Separates Azure-Mandanten- und Azure-Abonnement |
Azure-Sicherheit – bewährte Methoden
Azure Virtual Desktop ist ein Dienst unter Azure. Um die Sicherheit Ihrer Azure Virtual Desktop-Bereitstellung zu maximieren, sollten Sie auch die umgebende Azure-Infrastruktur und die Verwaltungsebene sichern. Berücksichtigen Sie zur Sicherung Ihrer Infrastruktur, wie sich Azure Virtual Desktop in Ihr umfassenderes Azure-Ökosystem einfügt. Weitere Informationen zum Azure-Ökosystem finden Sie unter Sicherheit in Azure – bewährte Methoden und Muster.
Die heutige Bedrohungslandschaft erfordert Entwürfe unter Berücksichtigung von Sicherheitsansätzen. Im Idealfall sollten Sie eine Reihe von Sicherheitsmechanismen und Steuerungen erstellen, die im gesamten Computernetzwerk verteilt sind, um Ihre Daten und das Netzwerk vor einer Kompromittierung oder vor Angriffen zu schützen. Diese Art von Sicherheitsdesign ruft die USA Cybersecurity and Infrastructure Security Agency (CISA) die Verteidigung im Detail auf.
Die folgenden Abschnitte enthalten Empfehlungen zum Sichern einer Azure Virtual Desktop-Bereitstellung.
Aktivieren von Microsoft Defender für Cloud
Wir empfehlen die Aktivierung der erweiterten Sicherheitsfunktionen von Microsoft Defender für Cloud für folgende Aktionen:
- Verwalten von Sicherheitsrisiken
- Bewerten Sie die Einhaltung gemeinsamer Frameworks, z. B. aus dem PCI Security Standards Council.
- Erhöhen Sie die allgemeine Sicherheit Ihrer Umgebung.
Weitere Informationen finden Sie unter Aktivieren erweiterter Sicherheitsfunktionen.
Verbessern Ihrer Sicherheitsbewertung
Die Sicherheitsbewertung bietet Empfehlungen und Ratschläge zu bewährten Methoden zur Verbesserung Ihrer allgemeinen Sicherheit. Diese Empfehlungen sind nach Prioritäten geordnet, um Ihnen bei der Auswahl der wichtigsten Empfehlungen zu helfen, und die Optionen für die schnelle Problembehebung helfen Ihnen, potenzielle Sicherheitsrisiken schnell zu beheben. Zudem werden diese Empfehlungen im Laufe der Zeit aktualisiert, sodass Sie immer auf dem Laufenden sind, wie Sie die Sicherheit Ihrer Umgebung am besten sicherstellen können. Weitere Informationen finden Sie unter Verbessern Ihres Secure Scores (Indikator für Sicherheitsbewertung) in Microsoft Defender für Cloud.
Erzwingen der mehrstufigen Authentifizierung
Die Anforderung einer Multi-Faktor-Authentifizierung für alle Benutzer*innen und Administrator*innen in Azure Virtual Desktop verbessert die Sicherheit Ihrer gesamten Bereitstellung. Weitere Informationen finden Sie unter Aktivieren der Multi-Faktor-Authentifizierung von Microsoft Entra für Azure Virtual Desktop.
Aktivieren des bedingten Zugriffs
Durch die Aktivierung des bedingten Zugriffs können Sie Risiken verwalten, bevor Sie Benutzern Zugriff auf Ihre Azure Virtual Desktop-Umgebung gewähren. Bei der Entscheidung, welchen Benutzern der Zugriff gewährt werden soll, sollten Sie auch berücksichtigen, wer der Benutzer ist, wie er sich anmeldet und welches Gerät er verwendet.
Sammeln von Überwachungsprotokollen
Wenn Sie das Sammeln von Überwachungsprotokollen aktivieren, können Sie Benutzer- und Verwaltungsaktivitäten im Zusammenhang mit Azure Virtual Desktop anzeigen. Einige Beispiele für wichtige Überwachungsprotokolle sind:
- Azure-Aktivitätsprotokoll
- Microsoft Entra-Aktivitätsprotokoll
- Microsoft Entra ID
- Sitzungshosts
- Key Vault-Protokolle
Verwenden von RemoteApp
Wenn Sie sich für ein Bereitstellungsmodell entscheiden, können Sie Remotebenutzern entweder Zugriff auf ganze Desktops oder nur auf ausgewählte Anwendungen gewähren, wenn Sie als RemoteApp veröffentlichen. RemoteApp bietet eine nahtlose Erfahrung, da der Benutzer mit Apps auf seinem virtuellen Desktop arbeitet. RemoteApp verringert das Risiko, da der Benutzer nur mit einer Teilmenge des Remotecomputers arbeiten kann, die von der Anwendung verfügbar gemacht wird.
Überwachen der Nutzung mit Azure Monitor
Überwachen Sie die Nutzung und Verfügbarkeit Ihres Azure Virtual Desktop-Diensts mit Azure Monitor. Ziehen Sie in Erwägung, Warnungen zur Dienstintegrität für den Azure Virtual Desktop-Dienst zu erstellen, um Benachrichtigungen zu erhalten, wann immer ein Ereignis auftritt, das sich auf den Dienst auswirkt.
Verschlüsseln Ihrer Sitzungshosts
Verschlüsseln Sie Ihre Sitzungshosts mit verwalteten Datenträgerverschlüsselungsoptionen , um gespeicherte Daten vor unbefugtem Zugriff zu schützen.
Bewährte Sicherheitsmethoden für den Sitzungshost
Sitzungshosts sind virtuelle Computer, die in einem Azure-Abonnement und einem virtuellen Netzwerk ausgeführt werden. Die Gesamtsicherheit der Azure Virtual Desktop-Bereitstellung hängt von den Sicherheitskontrollen ab, die Sie auf Ihren Sitzungshosts einrichten. In diesem Abschnitt werden bewährte Methoden für die Sicherheit der Sitzungshosts beschrieben.
Aktivieren von Endpoint Protection
Zum Schutz Ihrer Bereitstellung vor bekannter bösartiger Software empfehlen wir, Endpoint Protection auf allen Sitzungshosts zu aktivieren. Sie können entweder Windows Defender Antivirus oder ein Programm eines Drittanbieters verwenden. Weitere Informationen finden Sie unter Leitfaden zur Bereitstellung für Windows Defender Antivirus in einer VDI-Umgebung.
Für Profillösungen wie FSLogix oder andere Lösungen, die virtuelle Festplattendateien bereitstellen, empfehlen wir, diese Dateierweiterungen auszuschließen.
Installieren eines Produkts zur Endpunkterkennung und -antwort
Es wird empfohlen, ein EDR-Produkt (Endpunkterkennung und -antwort) zu installieren, um erweiterte Erkennungs- und Antwortfunktionen bereitzustellen. Bei Serverbetriebssystemen mit aktiviertem Microsoft Defender für Cloud wird bei der Installation eines EDR-Produkts der Microsoft Defender für Endpunkt bereitgestellt. Für Clientbetriebssysteme können Sie den Microsoft Defender für Endpunkt oder ein Produkt eines Drittanbieters an diesen Endpunkten bereitstellen.
Aktivieren von Bewertungen des Bedrohungs- und Sicherheitsrisikomanagements
Die Identifizierung von Softwaresicherheitsrisiken, die in Betriebssystemen und Anwendungen vorhanden sind, ist entscheidend für die Sicherheit Ihrer Umgebung. Microsoft Defender für Cloud kann Ihnen helfen, Probleme über das Untersuchen von Schwachstellen mit dem Bedrohungs- und Sicherheitsrisikomanagement von Microsoft Defender für Endpunkt zu identifizieren. Sie können auch Produkte von Drittanbietern verwenden, wenn Sie dazu geneigt sind, obwohl wir die Verwendung von Microsoft Defender für Cloud und Microsoft Defender für Endpunkt empfehlen.
Patchen von Softwaresicherheitsrisiken in Ihrer Umgebung
Nachdem Sie ein Sicherheitsrisiko identifiziert haben, müssen Sie es Patchen. Dies gilt auch für virtuelle Umgebungen, d. h. für die aktiven Betriebssysteme, die darin bereitgestellten Anwendungen und die Images, mit denen Sie neue Computer erstellen. Befolgen Sie die Mitteilungen Ihrer Anbieter zur Patchbenachrichtigung, und wenden Sie Patches zeitnah an. Es wird empfohlen, Ihre Basisimages monatlich zu patchen, um sicherzustellen, dass neu bereitgestellte Computer so sicher wie möglich sind.
Einrichten von Richtlinien für die maximale inaktive Zeit und die Trennung von Verbindungen
Das Abmelden von Benutzern, wenn diese inaktiv sind, schont die Ressourcen und verhindert den Zugriff durch nicht autorisierte Benutzer. Es wird empfohlen, dass Zeitlimits die Benutzerproduktivität und die Ressourcennutzung ausgleichen. Für Benutzer, die mit zustandslosen Anwendungen interagieren, sollten offensivere Richtlinien in Betracht gezogen werden, die Computer abschalten und Ressourcen bewahren. Das Trennen der Verbindung zeitintensiver Anwendungen, die weiterhin ausgeführt werden, wenn ein Benutzer im Leerlauf ist, z. B. eine Simulation oder ein CAD-Rendering, kann die Arbeit des Benutzers unterbrechen und möglicherweise sogar einen Neustart des Computers erfordern.
Einrichten von Bildschirmsperren für Leerlaufsitzungen
Sie können unerwünschten Systemzugriff verhindern, indem Sie Azure Virtual Desktop so konfigurieren, dass der Bildschirm eines Computers während des Leerlaufs gesperrt wird und eine Authentifizierung zum Entsperren erforderlich ist.
Einrichten eines mehrstufigen Administratorzugriffs
Es wird empfohlen, Ihren Benutzern keinen Administratorzugriff auf virtuelle Desktops zu gewähren. Wenn Sie Softwarepakete benötigen, empfehlen wir Ihnen, diese über Hilfsprogramme für die Konfigurationsverwaltung wie Microsoft Intune zur Verfügung zu stellen. In einer Umgebung mit mehreren Sitzungen wird empfohlen, dass Benutzer die Software nicht direkt installieren dürfen.
Berücksichtigen, welche Benutzer auf welche Ressourcen zugreifen sollten
Betrachten Sie Sitzungshosts als eine Erweiterung Ihrer bestehenden Desktopbereitstellung. Es wird empfohlen, den Zugriff auf Netzwerkressourcen auf dieselbe Weise zu steuern, wie für andere Desktops in Ihrer Umgebung, z. B. durch Netzwerksegmentierung und Filterung. Standardmäßig können Sitzungshosts eine Verbindung zu jeder beliebigen Ressource im Internet herstellen. Es gibt verschiedene Möglichkeiten, den Datenverkehr einzuschränken, einschließlich der Verwendung von Azure Firewall, virtueller Netzwerkgeräte oder Proxys. Wenn Sie den Datenverkehr einschränken müssen, stellen Sie sicher, dass Sie die richtigen Regeln hinzufügen, damit Azure Virtual Desktop ordnungsgemäß funktionieren kann.
Verwalten der Sicherheit von Microsoft 365-Apps
Zusätzlich zum Schutz der Sitzungshosts ist es wichtig, die darin ausgeführten Anwendungen ebenfalls zu sichern. Microsoft 365-Apps sind einige der am häufigsten in Sitzungshosts bereitgestellten Anwendungen. Um die Sicherheit der Microsoft 365-Bereitstellung zu verbessern, empfehlen wir Ihnen, den Sicherheitsrichtlinienratgeber für Microsoft 365 Apps for Enterprise zu verwenden. Dieses Tool identifiziert Richtlinien, die Sie für mehr Sicherheit auf Ihre Bereitstellung anwenden können. Der Sicherheitsrichtlinienberater empfiehlt Richtlinien auch auf der Grundlage ihrer Auswirkungen auf Ihre Sicherheit und Produktivität.
Sicherheit von Benutzerprofilen
Benutzerprofile können vertrauliche Informationen enthalten. Sie sollten einschränken, wer Zugriff auf Benutzerprofile und die Methoden des Zugriffs darauf hat, insbesondere, wenn Sie FSLogix-Profilcontainer zum Speichern von Benutzerprofilen in einer virtuellen Festplattendatei auf einer SMB-Freigabe verwenden. Sie sollten die Sicherheitsempfehlungen für den Anbieter Ihres SMB-Anteils befolgen. Wenn Sie beispielsweise Azure Files zum Speichern dieser virtuellen Festplattendateien verwenden, können Sie private Endpunkte verwenden, um sie nur in einem virtuellen Azure-Netzwerk zugänglich zu machen.
Weitere Sicherheitstipps für Sitzungshosts
Indem Sie die Funktionen des Betriebssystems einschränken, können Sie die Sicherheit Ihrer Sitzungshosts erhöhen. Hier folgen einige durchführbare Schritte:
Steuern Sie die Geräteumleitung, indem Sie Laufwerke, Drucker und USB-Geräte in einer Remotedesktopsitzung auf das lokale Gerät eines Benutzers umleiten. Es wird empfohlen, dass Sie Ihre Sicherheitsanforderungen auswerten und prüfen, ob diese Features deaktiviert werden sollten oder nicht.
Schränken Sie den Zugriff auf Windows Explorer ein, indem Sie lokale und Remotelaufwerkszuordnungen ausblenden. Dadurch wird verhindert, dass Benutzer unerwünschte Informationen über Systemkonfigurationen und Benutzer entdecken.
Vermeiden Sie den direkten RDP-Zugriff auf Sitzungshosts in Ihrer Umgebung. Wenn Sie direkten RDP-Zugriff für die Verwaltung oder Problembehandlung benötigen, aktivieren Sie Just-In-Time-Zugriff, um die potenzielle Angriffsfläche auf einem Sitzungshost einzuschränken.
Gewähren Sie Benutzern eingeschränkte Berechtigungen, wenn sie auf lokale und Remotedateisysteme zugreifen. Sie können Berechtigungen einschränken, indem Sie sicherstellen, dass Ihre lokalen und Remotedateisysteme Zugriffssteuerungslisten mit geringsten Rechten verwenden. Auf diese Weise können Benutzer nur auf erforderliche Daten zugreifen und können wichtige Ressourcen nicht ändern oder löschen.
Verhindern Sie die Ausführung unerwünschter Software auf Sitzungshosts. Sie können AppLocker für zusätzliche Sicherheit auf Sitzungshosts aktivieren, um sicherzustellen, dass nur die von Ihnen zugelassenen Apps auf dem Host ausgeführt werden können.
Vertrauenswürdiger Start
Der vertrauenswürdige Start sind Gen2 Azure-VMs mit erweiterten Sicherheitsfeatures, die vor Bedrohungen auf der Unterseite des Stapels durch Angriffsvektoren wie Rootkits, Startkits und Schadsoftware auf Kernelebene schützen möchten. Im Folgenden werden alle erweiterten Sicherheitsfeatures des vertrauenswürdigen Starts beschrieben, die in Azure Virtual Desktop unterstützt werden. Weitere Informationen zum vertrauenswürdigen Start finden Sie unter Vertrauenswürdiger Start für Azure-VMs.
Aktivieren von vertrauenswürdigem Start als Standardverhalten
Der vertrauenswürdige Start bietet Schutz vor komplexen und permanenten Angriffstechniken. Dieses Feature ermöglicht auch die sichere Bereitstellung von VMs mit verifizierten Startladeprogrammen, Betriebssystemkerneln und Treibern. Der vertrauenswürdige Start schützt auch Schlüssel, Zertifikate und Geheimnisse auf den VMs. Weitere Informationen zum vertrauenswürdigen Start finden Sie unter Vertrauenswürdiger Start für Azure-VMs.
Wenn Sie Sitzungshosts mithilfe des Azure-Portals hinzufügen, ändert sich der Sicherheitstyp automatisch in Vertrauenswürdige VMs. Dadurch wird sichergestellt, dass Ihre VM die obligatorischen Anforderungen für Windows 11 erfüllt. Weitere Informationen zu diesen Anforderungen finden Sie unter VM-Unterstützung.
VMs für Azure Confidential Computing
Mit der Azure Virtual Desktop-Unterstützung für Azure Confidential Computing-VMs wird sichergestellt, dass der virtuelle Desktop eines Benutzers im Speicher verschlüsselt, bei der Verwendung geschützt und durch einen Vertrauensanker in der Hardware gesichert wird. Azure Confidential Computing-VMs für Azure Virtual Desktop sind mit unterstützten Betriebssystemen kompatibel. Durch die Bereitstellung vertraulicher VMs mit Azure Virtual Desktop erhalten Benutzer*innen Zugriff auf Microsoft 365 und andere Anwendungen auf Sitzungshosts, die die hardwarebasierte Isolation nutzen, wodurch die Isolation von anderen virtuellen Computern, dem Hypervisor und dem Hostbetriebssystem verstärkt wird. Diese virtuellen Desktops werden von dem neusten AMD EPYC™-Prozessor der dritten Generation (Gen 3) mit der SEV-SNP-Technologie (Secure Encrypted Virtualization Secure Nested Paging) unterstützt. Verschlüsselungsschlüssel für den Speicher werden durch einen dedizierten sicheren Prozessor innerhalb der AMD-CPU generiert und gesichert, die nicht von Software gelesen werden können. Weitere Informationen finden Sie unter Übersicht über Azure Confidential Computing.
Die folgenden Betriebssysteme werden für die Verwendung als Sitzungshosts mit vertraulichen VMs in Azure Virtual Desktop unterstützt:
- Windows 11 Enterprise, Version 22H2
- Windows 11 Enterprise, Mehrfachsitzung, Version 22H2
- Windows Server 2022
- Windows Server 2019
Sie können Sitzungshosts mithilfe vertraulicher VMs erstellen, wenn Sie einen Hostpool erstellen oder einem Hostpool Sitzungshosts hinzufügen.
Verschlüsselung von Betriebssystemdatenträgern
Die Verschlüsselung des Betriebssystemdatenträgers ist eine zusätzliche Verschlüsselungsebene, die Datenträgerverschlüsselungsschlüssel an das Trusted Platform Module (TPM) der Confidential Computing-VM bindet. Durch diese Verschlüsselung wird der Datenträgerinhalt nur für die VM zugänglich. Die Integritätsüberwachung ermöglicht den kryptografischen Nachweis und die Überprüfung der VM-Startintegrität sowie die Überwachung von Benachrichtigungen, wenn die VM nicht gestartet wurde, weil der Nachweis mit der definierten Baseline fehlgeschlagen ist. Weitere Informationen zur Integritätsüberwachung finden Sie unter Integration von Microsoft Defender for Cloud. Sie können die Verschlüsselung vertraulicher Computeressourcen aktivieren, wenn Sie Sitzungshosts mithilfe vertraulicher VMs erstellen, wenn Sie einen Hostpool erstellen oder einem Hostpool Sitzungshosts hinzufügen.
Sicherer Start
Der sichere Start ist ein in der Plattformfirmware unterstützter Modus, der die Firmware vor schadsoftwarebasierten Rootkits und Bootkits schützt. In diesem Modus können signierte Betriebssysteme und Treiber nur gestartet werden.
Überwachen der Startintegrität über Remotenachweis
Der Remotenachweis eignet sich ideal zum Überprüfen der Integrität Ihrer VMs. Mit dem Remotenachweis wird geprüft, ob Datensätze des kontrollierten Starts vorhanden und echt sind und aus dem virtuellen Trusted Platform Module (vTPM) stammen. Als Integritätsprüfung bietet er kryptografische Sicherheit, dass eine Plattform ordnungsgemäß gestartet wurde.
vTPM
Ein vTPM ist eine virtualisierte Version eines Trusted Platform Module (TPM) mit einer virtuellen Instanz eines TPM pro VM. vTPM ermöglicht einen Remotenachweis, indem eine Integritätsmessung der gesamten Startkette der VM (UEFI, Betriebssystem, System und Treiber) durchgeführt wird.
Es wird empfohlen, das vTPM für die Verwendung des Remotenachweises auf Ihren VMs zu aktivieren. Bei aktiviertem vTPM können Sie außerdem die BitLocker-Funktionalität mit Azure Disk Encryption aktivieren, mit der vollständige Volumeverschlüsselung zum Schutz von ruhenden Daten gewährleistet wird. Alle Funktionen, bei denen das vTPM verwendet wird, haben zur Folge, dass Geheimnisse an die spezifische VM gebunden sind. Wenn Benutzer in einem Poolszenario eine Verbindung mit dem Azure Virtual Desktop-Dienst herstellen, können sie zu jeder VM im Hostpool umgeleitet werden. Je nachdem, wie die Funktion gestaltet ist, wirkt sich dies möglicherweise negativ aus.
Hinweis
BitLocker sollte nicht verwendet werden, um den spezifischen Datenträger zu verschlüsseln, auf dem Sie Ihre FSLogix-Profildaten speichern.
Virtualisierungsbasierte Sicherheit
Bei der virtualisierungsbasierten Sicherheit (VBS) wird über Hypervisor ein sicherer Speicherbereich erstellt und isoliert, der für das Betriebssystem nicht zugänglich ist. Bei HVCI (Hypervisor-Protected Code Integrity) und Windows Defender Credential Guard sorgt VBS für einen verstärkten Schutz vor Sicherheitsrisiken.
Hypervisor-Protected Code Integrity
HVCI bietet eine leistungsstarke Risikominderung für das System unter Verwendung von VBS und schützt Windows-Kernelmodusprozesse vor der Einschleusung und Ausführung von schädlichem oder nicht überprüftem Code.
Windows Defender Credential Guard
Aktivieren von Windows Defender Credential Guard. Mit Windows Defender Credential Guard werden Geheimnisse mithilfe von VBS isoliert und geschützt, sodass der Zugriff nur über privilegierte Systemsoftware erfolgen kann. Dies verhindert einen nicht autorisierten Zugriff auf diese Geheimnisse und Angriffe zum Diebstahl von Anmeldeinformationen, z. B. Pass-the-Hash-Angriffe. Weitere Informationen finden Sie in der Übersicht über Credential Guard.
Windows Defender Application Control
Aktivieren Sie Windows Defender Application Control Die Windows Defender-Anwendungssteuerung wurde entwickelt, um Geräte vor Schadsoftware und anderer nicht vertrauenswürdiger Software zu schützen. Dadurch wird verhindert, dass bösartiger Code ausgeführt wird, indem sichergestellt wird, dass nur genehmigter Code ausgeführt werden kann, den Sie kennen. Weitere Informationen finden Sie unter Anwendungssteuerung für Windows.
Hinweis
Wenn Sie die Windows Defender-Anwendungssteuerung verwenden, wird empfohlen, nur Richtlinien auf Geräteebene als Ziel zu verwenden. Obwohl es möglich ist, Richtlinien auf einzelne Benutzer auszurichten, wirkt sich die Richtlinie, sobald sie angewendet wird, auf alle Benutzer des Geräts gleichermaßen aus.
Windows Update
Halten Sie Ihre Sitzungshosts mit Updates von Windows Update auf dem neuesten Stand. Windows Update bietet eine sichere Möglichkeit, Ihre Geräte auf dem neuesten Stand zu halten. Der End-to-End-Schutz verhindert Manipulationen des Protokollaustauschs und stellt sicher, dass Updates nur genehmigte Inhalte enthalten. Möglicherweise müssen Sie Firewall- und Proxyregeln für einige Ihrer geschützten Umgebungen aktualisieren, um den richtigen Zugriff auf Windows Updates zu erhalten. Weitere Informationen erhalten Sie unter Windows Update-Sicherheit.
Remotedesktopclient und Updates auf anderen Betriebssystemplattformen
Softwareupdates für die Remotedesktopclients, die Sie für den Zugriff auf Azure Virtual Desktop-Dienste auf anderen Betriebssystemplattformen verwenden können, werden gemäß den Sicherheitsrichtlinien der jeweiligen Plattformen geschützt. Alle Clientupdates werden direkt von ihren Plattformen bereitgestellt. Weitere Informationen finden Sie auf der Store-Seite der jeweiligen App: