Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Virtual Desktop ist ein verwalteter virtueller Desktopdienst, der viele Sicherheitsfunktionen enthält, um Ihre organization zu schützen. Die Architektur von Azure Virtual Desktop umfasst viele Komponenten, aus denen der Dienst besteht, der Benutzer mit ihren Desktops und Apps verbindet.
Azure Virtual Desktop verfügt über viele integrierte erweiterte Sicherheitsfeatures, z. B. Reverse Connect, bei denen keine eingehenden Netzwerkports geöffnet sein müssen, wodurch das Risiko reduziert wird, dass Remotedesktops von überall aus zugänglich sind. Der Dienst profitiert auch von vielen anderen Sicherheitsfeatures von Azure, z. B. mehrstufige Authentifizierung und bedingter Zugriff. In diesem Artikel werden Schritte beschrieben, die Sie als Administrator ausführen können, um Ihre Azure Virtual Desktop-Bereitstellungen zu schützen, unabhängig davon, ob Sie Desktops und Apps für Benutzer in Ihrer organization oder für externe Benutzer bereitstellen.
Gemeinsame Sicherheitsaufgaben
Vor Azure Virtual Desktop müssen lokale Virtualisierungslösungen wie Remotedesktopdienste Benutzern Zugriff auf Rollen wie Gateway, Broker, Webzugriff usw. gewähren. Diese Rollen mussten vollständig redundant sein und in der Lage sein, Spitzenkapazität zu bewältigen. Administratoren installierten diese Rollen als Teil des Windows Server Betriebssystems, und sie mussten in die Domäne mit bestimmten Ports eingebunden werden, auf die für öffentliche Verbindungen zugegriffen werden kann. Um die Bereitstellungen sicher zu halten, mussten Administratoren ständig sicherstellen, dass alles in der Infrastruktur gewartet und auf dem neuesten Stand war.
In den meisten Clouddiensten gibt es jedoch einen gemeinsamen Satz von Sicherheitsaufgaben zwischen Microsoft und dem Kunden oder Partner. Für Azure Virtual Desktop werden die meisten Komponenten von Microsoft verwaltet, sitzungshosts und einige unterstützende Dienste und Komponenten werden jedoch vom Kunden oder vom Partner verwaltet. Weitere Informationen zu den von Microsoft verwalteten Komponenten von Azure Virtual Desktop finden Sie unter Architektur und Resilienz des Azure Virtual Desktop-Diensts.
Während einige Komponenten bereits für Ihre Umgebung geschützt sind, müssen Sie andere Bereiche selbst konfigurieren, um die Sicherheitsanforderungen Ihres organization oder Kunden zu erfüllen. Dies sind die Komponenten, für die Sie für die Sicherheit in Ihrer Azure Virtual Desktop-Bereitstellung verantwortlich sind:
| Komponente | Zuständigkeit |
|---|---|
| Identität | Kunde oder Partner |
| Benutzergeräte (mobil und PC) | Kunde oder Partner |
| App-Sicherheit | Kunde oder Partner |
| Sitzungshostbetriebssystem | Kunde oder Partner |
| Bereitstellungskonfiguration | Kunde oder Partner |
| Netzwerksteuerungen | Kunde oder Partner |
| Virtualisierungssteuerungsebene | Microsoft |
| Physische Hosts | Microsoft |
| Physisches Netzwerk | Microsoft |
| Physisches Rechenzentrum | Microsoft |
Sicherheitsgrenzen
Sicherheitsgrenzen trennen den Code und die Daten von Sicherheitsdomänen mit unterschiedlichen Vertrauensebenen. Beispielsweise gibt es in der Regel eine Sicherheitsgrenze zwischen Kernelmodus und Benutzermodus. Die meisten Microsoft-Software und -Dienste sind von mehreren Sicherheitsgrenzen abhängig, um Geräte in Netzwerken, virtuellen Computern (VMs) und Anwendungen auf Geräten zu isolieren. In der folgenden Tabelle sind die einzelnen Sicherheitsgrenzen für Windows und deren Aktionen für die allgemeine Sicherheit aufgeführt.
| Sicherheitsgrenze | Beschreibung |
|---|---|
| Netzwerkgrenze | Ein nicht autorisierter Netzwerkendpunkt kann nicht auf Code und Daten auf dem Gerät eines Kunden zugreifen oder diese manipulieren. |
| Kernelgrenze | Ein nicht administrativer Benutzermodusprozess kann nicht auf Kernelcode und -daten zugreifen oder diese manipulieren. Administrator-zu-Kernel ist keine Sicherheitsgrenze. |
| Prozessgrenze | Ein nicht autorisierter Benutzermodusprozess kann nicht auf den Code und die Daten eines anderen Prozesses zugreifen oder diese manipulieren. |
| Grenzen der AppContainer-Sandbox | Ein AppContainer-basierter Sandboxprozess kann basierend auf den Containerfunktionen nicht auf Code und Daten außerhalb der Sandbox zugreifen oder diese manipulieren. |
| Benutzergrenze | Ein Benutzer kann nicht auf den Code und die Daten eines anderen Benutzers zugreifen oder diese manipulieren, ohne autorisiert zu sein. |
| Sitzungsgrenze | Eine Benutzersitzung kann nicht auf eine andere Benutzersitzung zugreifen oder diese manipulieren, ohne autorisiert zu sein. |
| Webbrowsergrenze | Eine nicht autorisierte Website kann weder gegen die Richtlinie desselben Ursprungs verstoßen, noch auf den nativen Code und die Daten der Microsoft Edge-Webbrowser-Sandbox zugreifen oder diese manipulieren. |
| Vm-Grenze | Ein nicht autorisierter virtueller Hyper-V-Gastcomputer kann nicht auf den Code und die Daten eines anderen virtuellen Gastcomputers zugreifen oder diese manipulieren. dies schließt isolierte Hyper-V-Container ein. |
| Grenze für den virtuellen sicheren Modus (VSM) | Code, der außerhalb des vertrauenswürdigen VSM-Prozesses oder der Enclave ausgeführt wird, kann nicht auf Daten und Code innerhalb des vertrauenswürdigen Prozesses zugreifen oder diese manipulieren. |
Empfohlene Sicherheitsgrenzen für Azure Virtual Desktop-Szenarien
Außerdem müssen Sie von Fall zu Fall bestimmte Entscheidungen zu Sicherheitsgrenzen treffen. Wenn beispielsweise ein Benutzer in Ihrem organization lokale Administratorrechte benötigt, um Apps zu installieren, müssen Sie ihm einen persönlichen Desktop anstelle eines freigegebenen Sitzungshosts zuweisen. Es wird nicht empfohlen, Benutzern in Szenarien mit Pool mit mehreren Sitzungen lokale Administratorrechte zu erteilen, da diese Benutzer Sicherheitsgrenzen für Sitzungen oder NTFS-Datenberechtigungen überschreiten, VMs mit mehreren Sitzungen herunterfahren oder andere Aktionen ausführen können, die den Dienst unterbrechen oder Datenverluste verursachen könnten.
Benutzer aus demselben organization, wie Knowledge Worker mit Apps, die keine Administratorrechte erfordern, eignen sich hervorragend für Sitzungshosts mit mehreren Sitzungen wie Windows 11 Enterprise mehrere Sitzungen. Diese Sitzungshosts senken die Kosten für Ihre organization, da mehrere Benutzer eine einzelne VM gemeinsam nutzen können, was nur den Mehraufwand einer VM pro Benutzer angeht. Mit Produkten zur Benutzerprofilverwaltung wie FSLogix können Benutzern jede VM in einem Hostpool zugewiesen werden, ohne Dienstunterbrechungen zu erkennen. Mit diesem Feature können Sie auch die Kosten optimieren, indem Sie beispielsweise virtuelle Computer außerhalb der Spitzenzeiten herunterfahren.
Wenn Ihre Situation erfordert, dass Benutzer aus verschiedenen Organisationen eine Verbindung mit Ihrer Bereitstellung herstellen, empfehlen wir Ihnen, einen separaten Mandanten für Identitätsdienste wie Active Directory und Microsoft Entra ID zu verwenden. Außerdem wird empfohlen, für diese Benutzer ein separates Abonnement zum Hosten von Azure-Ressourcen wie Azure Virtual Desktop und VMs zu verwenden.
In vielen Fällen ist die Verwendung mehrerer Sitzungen ein akzeptabler Weg, um Kosten zu senken, aber ob dies empfohlen wird, hängt von der Vertrauensstufe zwischen Benutzern mit gleichzeitigem Zugriff auf eine freigegebene mehrinstanzenfähige instance ab. Benutzer, die demselben organization gehören, verfügen in der Regel über eine ausreichende und vereinbarte Vertrauensstellung. Beispielsweise ist eine Abteilung oder Arbeitsgruppe, in der Personen zusammenarbeiten und auf die persönlichen Informationen des jeweils anderen zugreifen können, ein organization mit einem hohen Vertrauensgrad.
Windows verwendet Sicherheitsgrenzen und -kontrollen, um sicherzustellen, dass Benutzerprozesse und Daten zwischen Sitzungen isoliert sind. Windows bietet jedoch weiterhin Zugriff auf die instance, an der der Benutzer arbeitet.
Bereitstellungen mit mehreren Sitzungen würden von einer umfassenden Sicherheitsstrategie profitieren, die weitere Sicherheitsgrenzen hinzufügt, die verhindern, dass Benutzer innerhalb und außerhalb des organization nicht autorisierten Zugriff auf die persönlichen Informationen anderer Benutzer erhalten. Nicht autorisierter Datenzugriff tritt aufgrund eines Fehlers im Konfigurationsprozess des Systemadministrators auf, z. B. aufgrund eines nicht offengelegten Sicherheitsrisikos oder eines bekannten Sicherheitsrisikos, das noch nicht behoben wurde.
Es wird nicht empfohlen, Benutzern, die für verschiedene oder konkurrierende Unternehmen arbeiten, Zugriff auf dieselbe Umgebung mit mehreren Sitzungen zu gewähren. Diese Szenarien weisen mehrere Sicherheitsgrenzen auf, die angegriffen oder missbraucht werden können, z. B. Netzwerk, Kernel, Prozess, Benutzer oder Sitzungen. Ein einzelnes Sicherheitsrisiko kann zu nicht autorisiertem Daten- und Anmeldeinformationsdiebstahl, Personenbezogene Datenlecks, Identitätsdiebstahl und anderen Problemen führen. Virtualisierte Umgebungsanbieter sind dafür verantwortlich, gut entworfene Systeme mit mehreren starken Sicherheitsgrenzen und zusätzlichen Sicherheitsfeatures anzubieten, die nach Möglichkeit aktiviert sind.
Um diese potenziellen Bedrohungen zu reduzieren, sind eine fehlersichere Konfiguration, ein Patchverwaltungsentwurfsprozess und regelmäßige Patchbereitstellungszeitpläne erforderlich. Es ist besser, die Prinzipien der tiefgehenden Verteidigung zu befolgen und Umgebungen getrennt zu halten.
In der folgenden Tabelle sind unsere Empfehlungen für jedes Szenario zusammengefasst.
| Szenario auf Vertrauensstufe | Empfohlene Lösung |
|---|---|
| Benutzer aus einer organization mit Standardberechtigungen | Verwenden Sie ein Windows Enterprise-Betriebssystem mit mehreren Sitzungen. |
| Benutzer benötigen Administratorrechte | Verwenden Sie einen persönlichen Hostpool, und weisen Sie jedem Benutzer einen eigenen Sitzungshost zu. |
| Benutzer aus verschiedenen Organisationen, die eine Verbindung herstellen | Trennen von Azure-Mandant und Azure-Abonnement |
Bewährte Methoden für die Azure-Sicherheit
Azure Virtual Desktop ist ein Dienst unter Azure. Um die Sicherheit Ihrer Azure Virtual Desktop-Bereitstellung zu maximieren, sollten Sie auch die umgebende Azure-Infrastruktur und Verwaltungsebene schützen. Um Ihre Infrastruktur zu schützen, überlegen Sie, wie Azure Virtual Desktop in Ihr größeres Azure-Ökosystem passt. Weitere Informationen zum Azure-Ökosystem finden Sie unter Bewährte Methoden und Muster für die Azure-Sicherheit.
Die heutige Bedrohungslandschaft erfordert Entwürfe mit Blick auf Sicherheitsansätze. Im Idealfall sollten Sie eine Reihe von Sicherheitsmechanismen und Kontrollen erstellen, die in Ihrem gesamten Computernetzwerk angeordnet sind, um Ihre Daten und Ihr Netzwerk vor Kompromittierung oder Angriffen zu schützen. Diese Art von Sicherheitsdesign nennt die USA Cybersecurity and Infrastructure Security Agency (CISA) Defense in Depth.
Die folgenden Abschnitte enthalten Empfehlungen zum Schützen einer Azure Virtual Desktop-Bereitstellung.
Aktivieren von Microsoft Defender für Cloud
Es wird empfohlen, Microsoft Defender für die erweiterten Sicherheitsfeatures von Cloud zu aktivieren, um Folgendes zu ermöglichen:
- Verwalten von Sicherheitsrisiken
- Bewerten Sie die Einhaltung allgemeiner Frameworks, z. B. vom PCI Security Standards Council.
- Verbessern Sie die Allgemeine Sicherheit Ihrer Umgebung.
Weitere Informationen finden Sie unter Aktivieren erweiterter Sicherheitsfeatures.
Verbessern Ihrer Sicherheitsbewertung
Die Sicherheitsbewertung bietet Empfehlungen und Empfehlungen zu bewährten Methoden zur Verbesserung Ihrer allgemeinen Sicherheit. Diese Empfehlungen werden priorisiert, um Ihnen bei der Auswahl der wichtigsten Empfehlungen zu helfen, und die Optionen für schnelle Korrekturen helfen Ihnen, potenzielle Sicherheitsrisiken schnell zu beheben. Diese Empfehlungen werden auch im Laufe der Zeit aktualisiert, um Sie über die besten Möglichkeiten zur Aufrechterhaltung der Sicherheit Ihrer Umgebung auf dem Laufenden zu halten. Weitere Informationen finden Sie unter Verbessern ihrer Sicherheitsbewertung in Microsoft Defender für Cloud.
Mehrstufige Authentifizierung erfordern
Die Anforderung der mehrstufigen Authentifizierung für alle Benutzer und Administratoren in Azure Virtual Desktop verbessert die Sicherheit Ihrer gesamten Bereitstellung. Weitere Informationen finden Sie unter Aktivieren Microsoft Entra multi-faktor-Authentifizierung für Azure Virtual Desktop.
Aktivieren von bedingtem Zugriff
Durch aktivieren des bedingten Zugriffs können Sie Risiken verwalten, bevor Sie Benutzern Zugriff auf Ihre Azure Virtual Desktop-Umgebung gewähren. Bei der Entscheidung, welchen Benutzern der Zugriff gewährt werden soll, sollten Sie auch berücksichtigen, wer der Benutzer ist, wie er sich anmeldet und welches Gerät er verwendet.
Erfassen von Überwachungsprotokollen
Wenn Sie die Überwachungsprotokollsammlung aktivieren, können Sie Benutzer- und Administratoraktivitäten im Zusammenhang mit Azure Virtual Desktop anzeigen. Einige Beispiele für wichtige Überwachungsprotokolle sind:
- Azure-Aktivitätsprotokoll
- Microsoft Entra-Aktivitätsprotokoll
- Microsoft Entra-ID
- Sitzungshosts
- Key Vault-Protokolle
Überwachen der Nutzung mit Azure Monitor
Überwachen Sie die Nutzung und Verfügbarkeit Ihres Azure Virtual Desktop-Diensts mit Azure Monitor. Erwägen Sie das Erstellen von Dienstintegritätswarnungen für den Azure Virtual Desktop-Dienst, um Benachrichtigungen zu erhalten, wenn ein Ereignis mit Auswirkungen auf den Dienst auftritt.
Verschlüsseln Ihrer Sitzungshosts
Verschlüsseln Sie Ihre Sitzungshosts mit Verschlüsselungsoptionen für verwaltete Datenträger , um gespeicherte Daten vor nicht autorisiertem Zugriff zu schützen.
Bewährte Methoden für die Sicherheit von Sitzungshosts
Sitzungshosts sind virtuelle Computer, die in einem Azure-Abonnement und einem virtuellen Netzwerk ausgeführt werden. Die Gesamtsicherheit Ihrer Azure Virtual Desktop-Bereitstellung hängt von den Sicherheitskontrollen ab, die Sie auf Ihren Sitzungshosts festlegen. In diesem Abschnitt werden bewährte Methoden zum Schutz Ihrer Sitzungshosts beschrieben.
Aktivieren des Endpunktschutzes
Um Ihre Bereitstellung vor bekannter Schadsoftware zu schützen, wird empfohlen, endpoint protection auf allen Sitzungshosts zu aktivieren. Sie können entweder Windows Defender Antivirus oder ein Drittanbieterprogramm verwenden. Weitere Informationen finden Sie im Bereitstellungshandbuch für Windows Defender Antivirus in einer VDI-Umgebung.
Für Profillösungen wie FSLogix oder andere Lösungen, die Dateien virtueller Festplatten einbinden, wird empfohlen, diese Dateierweiterungen auszuschließen. Weitere Informationen zu FSLogix-Ausschlüssen finden Sie unter Konfigurieren von Antivirus-Datei- und Ordnerausschlüssen.
Installieren eines Endpunkterkennungs- und -antwortprodukts
Es wird empfohlen, ein EDR-Produkt (Endpoint Detection and Response) zu installieren, um erweiterte Erkennungs- und Antwortfunktionen bereitzustellen. Bei Serverbetriebssystemen, auf denen Microsoft Defender für Cloud aktiviert ist, wird durch die Installation eines EDR-Produkts Microsoft Defender for Endpoint bereitgestellt. Bei Clientbetriebssystemen können Sie Microsoft Defender for Endpoint oder ein Drittanbieterprodukt auf diesen Endpunkten bereitstellen.
Aktivieren der Bewertung des Bedrohungs- und Sicherheitsrisikomanagements
Das Identifizieren von Softwarerisiken, die in Betriebssystemen und Anwendungen vorhanden sind, ist für die Sicherheit Ihrer Umgebung von entscheidender Bedeutung. Microsoft Defender für Cloud kann Ihnen helfen, Problemstellen mithilfe der Bedrohungs- und Sicherheitsrisikomanagement Lösung von Microsoft Defender for Endpoint zu identifizieren. Sie können auch Produkte von Drittanbietern verwenden, wenn Sie so geneigt sind. Es wird jedoch empfohlen, Microsoft Defender für Cloud und Microsoft Defender for Endpoint zu verwenden.
Patchen von Softwarerisiken in Ihrer Umgebung
Sobald Sie eine Sicherheitslücke identifiziert haben, müssen Sie sie patchen. Dies gilt auch für virtuelle Umgebungen, einschließlich der ausgeführten Betriebssysteme, der Darin bereitgestellten Anwendungen und der Images, aus denen Sie neue Computer erstellen. Befolgen Sie die Mitteilungen Ihres Anbieters über Patchbenachrichtigungen, und wenden Sie Patches rechtzeitig an. Es wird empfohlen, Ihre Basisimages monatlich zu patchen, um sicherzustellen, dass neu bereitgestellte Computer so sicher wie möglich sind.
Festlegen von Inaktivitätslimits und von Trennungsrichtlinien
Das Abmelden von Benutzern, wenn sie inaktiv sind, behält Ressourcen bei und verhindert den Zugriff durch nicht autorisierte Benutzer. Es wird empfohlen, dass Timeouts die Benutzerproduktivität und die Ressourcennutzung ausgleichen. Für Benutzer, die mit zustandslosen Anwendungen interagieren, sollten Sie aggressivere Richtlinien in Betracht ziehen, die Computer deaktivieren und Ressourcen erhalten. Das Trennen von Anwendungen mit langer Ausführungsdauer, die weiterhin ausgeführt werden, wenn sich ein Benutzer im Leerlauf befindet, z. B. eine Simulation oder ein CAD-Rendering, kann die Arbeit des Benutzers unterbrechen und möglicherweise sogar einen Neustart des Computers erfordern.
Einrichten von Bildschirmsperren für Leerlaufsitzungen
Sie können unerwünschten Systemzugriff verhindern, indem Sie Azure Virtual Desktop so konfigurieren, dass der Bildschirm eines Computers während der Leerlaufzeit gesperrt wird und die Authentifizierung zum Entsperren erforderlich ist.
Einrichten des mehrstufigen Administratorzugriffs
Es wird empfohlen, Ihren Benutzern keinen Administratorzugriff auf virtuelle Desktops zu gewähren. Wenn Sie Softwarepakete benötigen, empfiehlt es sich, diese über Hilfsprogramme für die Konfigurationsverwaltung wie Microsoft Intune verfügbar zu machen. In einer Umgebung mit mehreren Sitzungen wird empfohlen, Dass Benutzer Software nicht direkt installieren lassen.
Überlegen Sie, welche Benutzer auf welche Ressourcen zugreifen sollen
Betrachten Sie Sitzungshosts als Erweiterung Ihrer vorhandenen Desktopbereitstellung. Es wird empfohlen, den Zugriff auf Netzwerkressourcen auf die gleiche Weise wie für andere Desktops in Ihrer Umgebung zu steuern, z. B. die Verwendung von Netzwerksegmentierung und Filterung. Standardmäßig können Sitzungshosts eine Verbindung mit jeder Ressource im Internet herstellen. Es gibt mehrere Möglichkeiten, den Datenverkehr einzuschränken, z. B. mithilfe von Azure Firewall, virtuellen Netzwerkgeräten oder Proxys. Wenn Sie den Datenverkehr einschränken müssen, stellen Sie sicher, dass Sie die richtigen Regeln hinzufügen, damit Azure Virtual Desktop ordnungsgemäß funktioniert.
Verwalten der Microsoft 365-App-Sicherheit
Neben dem Schutz Ihrer Sitzungshosts ist es wichtig, auch die darin ausgeführten Anwendungen zu schützen. Microsoft 365-Apps sind einige der gängigsten Anwendungen, die auf Sitzungshosts bereitgestellt werden. Um die Sicherheit der Microsoft 365-Bereitstellung zu verbessern, wird empfohlen, den Sicherheitsrichtlinienratgeber für Microsoft 365 Apps for Enterprise zu verwenden. Dieses Tool identifiziert Richtlinien, die Sie für mehr Sicherheit auf Ihre Bereitstellung anwenden können. Der Sicherheitsrichtlinienratgeber empfiehlt außerdem Richtlinien basierend auf deren Auswirkungen auf Ihre Sicherheit und Produktivität.
Benutzerprofilsicherheit
Benutzerprofile können vertrauliche Informationen enthalten. Sie sollten einschränken, wer Zugriff auf Benutzerprofile und die Methoden für den Zugriff darauf hat, insbesondere wenn Sie den FSLogix-Profilcontainer verwenden, um Benutzerprofile in einer virtuellen Festplattendatei auf einer SMB-Freigabe zu speichern. Befolgen Sie die Sicherheitsempfehlungen für den Anbieter Ihrer SMB-Freigabe. Wenn Sie z. B. Azure Files verwenden, um diese dateien auf virtuellen Festplatten zu speichern, können Sie private Endpunkte verwenden, um sie nur innerhalb eines virtuellen Azure-Netzwerks zugänglich zu machen.
Weitere Sicherheitstipps für Sitzungshosts
Indem Sie die Funktionen des Betriebssystems einschränken, können Sie die Sicherheit Ihrer Sitzungshosts erhöhen. Hier sind einige Dinge, die Sie tun können:
Steuern Sie die Geräteumleitung, indem Sie Laufwerke, Drucker und USB-Geräte in einer Remotedesktopsitzung an das lokale Gerät eines Benutzers umleiten. Wir empfehlen Ihnen, Ihre Sicherheitsanforderungen zu bewerten und zu überprüfen, ob diese Features deaktiviert werden sollten oder nicht.
Schränken Sie den Zugriff von Windows Explorer ein, indem Sie zuordnungen von lokalen und Remotelaufwerken ausblenden. Dadurch wird verhindert, dass Benutzer unerwünschte Informationen zur Systemkonfiguration und zu Benutzern ermitteln.
Vermeiden Sie direkten RDP-Zugriff auf Sitzungshosts in Ihrer Umgebung. Wenn Sie direkten RDP-Zugriff für die Verwaltung oder Problembehandlung benötigen, aktivieren Sie den Just-in-Time-Zugriff , um die potenzielle Angriffsfläche auf einem Sitzungshost einzuschränken.
Gewähren Sie Benutzern eingeschränkte Berechtigungen, wenn sie auf lokale und Remotedateisysteme zugreifen. Sie können Berechtigungen einschränken, indem Sie sicherstellen, dass Ihre lokalen und Remotedateisysteme Zugriffssteuerungslisten mit den geringsten Rechten verwenden. Auf diese Weise können Benutzer nur auf das zugreifen, was sie benötigen, und kritische Ressourcen können nicht geändert oder gelöscht werden.
Verhindern, dass unerwünschte Software auf Sitzungshosts ausgeführt wird. RemoteApp ist kein Sicherheitsfeature, und ihre Verwendung verhindert nicht das Starten von Anwendungen, die über die in einer Anwendungsgruppe veröffentlichten Anwendungen hinausgehen. Um sicherzustellen, dass nur die anwendungen, die Sie zulassen, auf einem Sitzungshost ausgeführt werden können, können Sie Anwendungssteuerung für Windows-Features wie App-Steuerelement oder AppLocker verwenden.
Vertrauenswürdiger Start
Vertrauenswürdiger Start sind Azure-VMs mit erweiterten Sicherheitsfeatures zum Schutz vor persistenten Angriffstechniken, z. B. Bedrohungen im unteren Bereich des Stapels, durch Angriffsvektoren wie Rootkits, Startkits und Schadsoftware auf Kernelebene. Es ermöglicht die sichere Bereitstellung von VMs mit überprüften Startladeprogrammen, Betriebssystemkernkernen und Treibern und schützt auch Schlüssel, Zertifikate und Geheimnisse auf den VMs. Weitere Informationen zum vertrauenswürdigen Start finden Sie unter Vertrauenswürdiger Start für virtuelle Azure-Computer.
Wenn Sie Sitzungshosts mithilfe der Azure-Portal hinzufügen, ist der Standardsicherheitstyp Vertrauenswürdige virtuelle Computer. Dadurch wird sichergestellt, dass Ihr virtueller Computer die obligatorischen Anforderungen für Windows 11 erfüllt. Weitere Informationen zu diesen Anforderungen finden Sie unter Unterstützung virtueller Computer.
Virtuelle Azure Confidential Computing-Computer
Die Azure Virtual Desktop-Unterstützung für virtuelle Azure Confidential Computing-Computer stellt sicher, dass der virtuelle Desktop eines Benutzers im Arbeitsspeicher verschlüsselt, bei der Verwendung geschützt und durch einen Hardwarevertrauensstamm gesichert wird.
Durch die Bereitstellung vertraulicher virtueller Computer mit Azure Virtual Desktop erhalten Benutzer Zugriff auf Microsoft 365 und andere Anwendungen auf Sitzungshosts, die hardwarebasierte Isolation verwenden, wodurch die Isolation von anderen virtuellen Computern, dem Hypervisor und dem Hostbetriebssystem gehärtet wird. Speicherverschlüsselungsschlüssel werden von einem dedizierten sicheren Prozessor innerhalb der CPU generiert und geschützt, der nicht von Software gelesen werden kann. Weitere Informationen, einschließlich der verfügbaren VM-Größen, finden Sie in der Übersicht über Azure Confidential Computing.
Die folgenden Betriebssysteme werden für die Verwendung als Sitzungshosts mit vertraulichen virtuellen Computern in Azure Virtual Desktop für Versionen unterstützt, die aktiv unterstützt werden. Supportdaten finden Sie unter Microsoft Lifecycle-Richtlinie.
- Windows 11 Enterprise
- Windows 11 Enterprise Mehrfachsitzung
- Windows 10 Enterprise
- Windows 10 Enterprise für mehrere Sitzungen
- Windows Server 2022
- Windows Server 2019
Sie können Sitzungshosts mithilfe vertraulicher virtueller Computer erstellen, wenn Sie Azure Virtual Desktop bereitstellen oder Sitzungshosts zu einem Hostpool hinzufügen.
Verschlüsselung des Betriebssystemdatenträgers
Die Verschlüsselung des Betriebssystemdatenträgers ist eine zusätzliche Verschlüsselungsschicht, die Datenträgerverschlüsselungsschlüssel an das Trusted Platform Module (TPM) des virtuellen Confidential Computing-Computers bindet. Diese Verschlüsselung macht den Datenträgerinhalt nur für den virtuellen Computer zugänglich. Die Integritätsüberwachung ermöglicht den kryptografischen Nachweis und die Überprüfung der VM-Startintegrität sowie Überwachungswarnungen, wenn die VM nicht gestartet wurde, weil der Nachweis mit der definierten Baseline fehlgeschlagen ist. Weitere Informationen zur Integritätsüberwachung finden Sie unter Microsoft Defender für die Cloudintegration. Sie können die Verschlüsselung vertraulicher Computeressourcen aktivieren, wenn Sie Sitzungshosts mithilfe vertraulicher VMs erstellen, wenn Sie einen Hostpool erstellen oder Sitzungshosts zu einem Hostpool hinzufügen.
Sicherer Start
Sicherer Start ist ein Modus, den die Plattformfirmware unterstützt und Ihre Firmware vor Schadsoftware-basierten Rootkits und Startkits schützt. In diesem Modus können nur signierte Betriebssysteme und Treiber gestartet werden.
Überwachen der Startintegrität mithilfe des Remotenachweises
Der Remotenachweis ist eine hervorragende Möglichkeit, die Integrität Ihrer virtuellen Computer zu überprüfen. Der Remotenachweis überprüft, ob Datensätze für den gemessenen Start vorhanden und original sind und vom Virtual Trusted Platform Module (vTPM) stammen. Als Integritätsprüfung bietet sie kryptografische Sicherheit, dass eine Plattform ordnungsgemäß gestartet wurde.
vTPM
Ein vTPM ist eine virtualisierte Version eines Hardware-TPM (Trusted Platform Module) mit einer virtuellen instance eines TPM pro VM. vTPM ermöglicht den Remotenachweis, indem die Integritätsmessung der gesamten Startkette der VM (UEFI, Betriebssystem, System und Treiber) durchgeführt wird.
Es wird empfohlen, vTPM für die Verwendung des Remotenachweises auf Ihren virtuellen Computern zu aktivieren. Wenn vTPM aktiviert ist, können Sie die BitLocker-Funktionalität auch mit Azure Disk Encryption aktivieren, die eine verschlüsselung mit vollem Volume zum Schutz ruhender Daten bereitstellt. Alle Features, die vTPM verwenden, führen zu Geheimnissen, die an den jeweiligen virtuellen Computer gebunden sind. Wenn Benutzer in einem Poolszenario eine Verbindung mit dem Azure Virtual Desktop-Dienst herstellen, können Benutzer zu einer beliebigen VM im Hostpool umgeleitet werden. Je nachdem, wie das Feature entworfen wird, kann dies Auswirkungen haben.
Hinweis
BitLocker sollte nicht verwendet werden, um den bestimmten Datenträger zu verschlüsseln, auf dem Sie Ihre FSLogix-Profildaten speichern.
Virtualisierungsbasierte Sicherheit
Virtualisierungsbasierte Sicherheit (VBS) verwendet den Hypervisor, um eine sichere Speicherregion zu erstellen und zu isolieren, auf die das Betriebssystem nicht zugreifen kann. Hypervisor-Protected Codeintegrität (HVCI) und Windows Defender Credential Guard verwenden VBS, um einen erhöhten Schutz vor Sicherheitsrisiken zu bieten.
Hypervisor-Protected Codeintegrität
HVCI ist eine leistungsstarke Systemminderung, die VBS verwendet, um Windows-Kernelmodusprozesse vor dem Einschleusen und Ausführen von schädlichem oder nicht überprüftem Code zu schützen.
Windows Defender Credential Guard
Aktivieren Sie Windows Defender Credential Guard. Windows Defender Credential Guard verwendet VBS, um Geheimnisse zu isolieren und zu schützen, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Dies verhindert nicht autorisierten Zugriff auf diese Geheimnisse und Diebstahl von Anmeldeinformationen, z. B. Pass-the-Hash-Angriffe. Weitere Informationen finden Sie unter Übersicht über Credential Guard.
Windows Defender Application Control
Aktivieren Sie die Windows Defender-Anwendungssteuerung. Windows Defender Application Control wurde entwickelt, um Geräte vor Schadsoftware und anderer nicht vertrauenswürdiger Software zu schützen. Dadurch wird verhindert, dass bösartiger Code ausgeführt wird, indem sichergestellt wird, dass nur genehmigter Code ausgeführt werden kann, den Sie kennen. Weitere Informationen finden Sie unter Anwendungssteuerung für Windows.
Hinweis
Wenn Sie Windows Defender Access Control verwenden, empfehlen wir, richtlinien nur auf Geräteebene zu verwenden. Obwohl es möglich ist, Richtlinien auf einzelne Benutzer zu richten, wirkt sich die Richtlinie nach der Anwendung auf alle Benutzer auf dem Gerät gleichermaßen aus.
Windows Update
Halten Sie Ihre Sitzungshosts mit Updates von Windows Update auf dem neuesten Stand. Windows Update bietet eine sichere Möglichkeit, Ihre Geräte auf dem neuesten Stand zu halten. Der End-to-End-Schutz verhindert die Manipulation des Protokollaustauschs und stellt sicher, dass Updates nur genehmigte Inhalte enthalten. Möglicherweise müssen Sie Firewall- und Proxyregeln für einige Ihrer geschützten Umgebungen aktualisieren, um ordnungsgemäßen Zugriff auf Windows Updates zu erhalten. Weitere Informationen finden Sie unter Windows Update Sicherheit.
Remotedesktopclient und Updates auf anderen Betriebssystemplattformen
Softwareupdates für die Remotedesktopclients, die Sie für den Zugriff auf Azure Virtual Desktop-Dienste auf anderen Betriebssystemplattformen verwenden können, werden gemäß den Sicherheitsrichtlinien der jeweiligen Plattformen geschützt. Alle Clientupdates werden direkt von ihren Plattformen bereitgestellt. Weitere Informationen finden Sie auf den jeweiligen Store-Seiten für jede App: