Recomendaciones de seguridad para Azure Virtual Desktop
Azure Virtual Desktop es un servicio de escritorio virtual administrado que incluye muchas funcionalidades de seguridad para mantener protegida su organización. La arquitectura de Azure Virtual Desktop consta de muchos componentes que componen el servicio que conecta a los usuarios a sus escritorios y aplicaciones.
Azure Virtual Desktop tiene muchas características de seguridad avanzada integradas, como reverse Conectar donde no es necesario abrir ningún puerto de red entrante, lo que reduce el riesgo relacionado con tener escritorios remotos accesibles desde cualquier lugar. El servicio también se beneficia de muchas otras características de seguridad de Azure, como la autenticación multifactor y el acceso condicional. En este artículo se describen los pasos que puede seguir como administrador para proteger las implementaciones de Azure Virtual Desktop, tanto si proporciona escritorios como aplicaciones a los usuarios de su organización o a usuarios externos.
Responsabilidades de seguridad compartidas
Antes de Azure Virtual Desktop, las soluciones de virtualización locales como los servicios de Escritorio remoto requieren conceder a los usuarios acceso a roles como Puerta de enlace, Agente o Acceso web, entre otros. Estos roles tenían que ser totalmente redundantes y ser capaces de controlar la capacidad máxima. Administración istrators instalarían estos roles como parte del sistema operativo Windows Server y tenían que estar unidos a un dominio con puertos específicos accesibles para las conexiones públicas. Para mantener seguras las implementaciones, los administradores tenían que asegurarse constantemente de que todo en la infraestructura se mantiene y está actualizado.
Sin embargo, en la mayoría de los servicios en la nube hay un conjunto compartido de responsabilidades de seguridad entre Microsoft y el cliente o asociado. Para Azure Virtual Desktop, la mayoría de los componentes son administrados por Microsoft, pero los hosts de sesión y algunos servicios y componentes auxiliares son administrados por el cliente o administrados por asociados. Para más información sobre los componentes administrados por Microsoft de Azure Virtual Desktop, consulte Arquitectura y resistencia del servicio Azure Virtual Desktop.
Aunque algunos componentes ya están protegidos para su entorno, deberá configurar otras áreas para adaptarse a las necesidades de seguridad de su organización o cliente. Estos son los componentes de los que es responsable de la seguridad en la implementación de Azure Virtual Desktop:
| Componente | Responsabilidad |
|---|---|
| identidad | Cliente o asociado |
| Dispositivos del usuario (móvil y PC) | Cliente o asociado |
| Seguridad de la aplicación | Cliente o asociado |
| Sistema operativo host de sesión | Cliente o asociado |
| Configuración de la implementación | Cliente o asociado |
| Controles de red | Cliente o asociado |
| Plano de control de la virtualización | Microsoft |
| Anfitriones físicos | Microsoft |
| Red física | Microsoft |
| Centro de datos físico | Microsoft |
Límites de seguridad
Los límites de seguridad separan el código y los datos de los dominios de seguridad con distintos niveles de confianza. Por ejemplo, normalmente hay un límite de seguridad entre el modo kernel y el modo de usuario. La mayoría de los servicios y software de Microsoft dependen de varios límites de seguridad para aislar dispositivos en redes, máquinas virtuales y aplicaciones en dispositivos. En la tabla siguiente se enumeran los límites de seguridad de Windows y lo que hacen para la seguridad general.
| Límite de seguridad | Descripción |
|---|---|
| Límite de red | Un punto de conexión de red no autorizado no puede alterar ni acceder al código ni a los datos del dispositivo de un cliente. |
| Límite de kernel | Un proceso en modo usuario no administrativo no puede acceder ni manipular el código y los datos del núcleo. La relación entre el administrador y el núcleo no es un límite de seguridad. |
| Límite de proceso | Un proceso en modo usuario no autorizado no puede alterar ni acceder al código ni a los datos de otro proceso. |
| Límite de espacio aislado de AppContainer | Un proceso de espacio aislado basado en AppContainer no puede alterar ni acceder al código ni a los datos que hay fuera del espacio aislado en función de las características del contenedor. |
| Límite de usuario | Un usuario no puede alterar ni acceder al código ni a los datos de otro usuario sin autorización. |
| Límite de sesión | Una sesión de un usuario no puede alterar ni acceder a la sesión de otro usuario sin autorización. |
| Límite de explorador web | Un sitio web no autorizado no puede infringir la directiva de mismo origen y tampoco puede alterar ni acceder al código nativo ni a los datos del espacio aislado del explorador web Microsoft Edge. |
| Límite de máquina virtual | Una máquina virtual invitada de Hyper-V no autorizada no puede alterar ni acceder al código ni a los datos de otra máquina virtual invitada. Esto incluye los contenedores aislados de Hyper-V. |
| Límite del modo de seguridad virtual (VSM) | El código que se ejecuta fuera del enclave o proceso de confianza de VSM no puede acceder a los datos y el código dentro del proceso de confianza ni alterarlo. |
Límites de seguridad recomendados para escenarios de Azure Virtual Desktop
También deberá tomar determinadas decisiones sobre los límites de seguridad caso por caso. Por ejemplo, si un usuario de su organización necesita privilegios de administrador local para instalar aplicaciones, deberá proporcionarles un escritorio personal en lugar de un host de sesión compartido. No se recomienda conceder a los usuarios privilegios de administrador local en escenarios agrupados de varias sesiones, ya que estos usuarios pueden cruzar límites de seguridad para sesiones o permisos de datos NTFS, apagar máquinas virtuales de varias sesiones o hacer otras cosas que podrían interrumpir el servicio o provocar pérdidas de datos.
Los usuarios de la misma organización, como los trabajadores de conocimientos con aplicaciones que no requieren privilegios de administrador, son excelentes candidatos para hosts de sesión multisesión, como Windows 11 Empresas varias sesiones. Estos hosts de sesión reducen los costos de su organización porque varios usuarios pueden compartir una sola máquina virtual, con solo los costos de sobrecarga de una máquina virtual por usuario. Con productos de administración de perfiles de usuario como FSLogix, los usuarios se pueden asignar a cualquier máquina virtual de un grupo de hosts sin detectar interrupciones del servicio. Esta característica también le permite optimizar los costes haciendo cosas como apagar las máquinas virtuales durante las horas de menos actividad.
Si su situación requiere que usuarios de distintas organizaciones se conecten a la implementación, se recomienda tener un inquilino independiente para servicios de identidad como Active Directory y Microsoft Entra ID. También se recomienda tener una suscripción independiente para esos usuarios para hospedar recursos de Azure, como Azure Virtual Desktop y máquinas virtuales.
En muchos casos, el uso de varias sesiones es una manera aceptable de reducir los costes, pero si se recomienda depende del nivel de confianza entre los usuarios con acceso simultáneo a una instancia compartida de varias sesiones. Normalmente, los usuarios que pertenecen a la misma organización tienen una relación de confianza suficiente y acordada. Por ejemplo, un departamento o grupo de trabajo en el que las personas colaboren y puedan acceder a la información personal de los demás es una organización con un alto nivel de confianza.
Windows usa controles y límites de seguridad para garantizar que los procesos y los datos de los usuarios estén aislados entre sesiones. Sin embargo, Windows proporciona acceso a la instancia en la que está trabajando el usuario.
Las implementaciones de varias sesiones se beneficiarían de una estrategia de seguridad en profundidad que agrega más límites de seguridad que impiden que los usuarios dentro y fuera de la organización obtengan acceso no autorizado a la información personal de otros usuarios. El acceso no autorizado a los datos se produce debido a un error en el proceso de configuración por parte del administrador del sistema, como una vulnerabilidad de seguridad no revelada o una vulnerabilidad conocida que aún no se ha puesto en revisión.
No se recomienda conceder a los usuarios que trabajen para empresas diferentes o competidoras el acceso al mismo entorno de sesiones múltiples. Estos escenarios tienen varios límites de seguridad que pueden ser atacados o aprovechados, como la red, el kernel, el proceso, el usuario o las sesiones. Una única vulnerabilidad de seguridad podría provocar el robo de datos y credenciales no autorizados, pérdidas de información personal, robo de identidades y otros problemas. Los proveedores de entornos virtualizados son responsables de ofrecer sistemas bien diseñados con varios límites de seguridad seguros y características de seguridad adicionales habilitadas siempre que sea posible.
Reducir estas posibles amenazas requiere una configuración a prueba de errores, un proceso de diseño de administración de revisiones y programaciones periódicas de implementación de revisiones. Es mejor seguir los principios de defensa en profundidad y mantener los entornos separados.
En la tabla siguiente se resumen nuestras recomendaciones para cada escenario.
| Escenario de nivel de confianza | Solución recomendada |
|---|---|
| Usuarios de una organización con privilegios estándar | Usa un sistema operativo de varias sesiones de Windows Enterprise. |
| Usuarios que requieren privilegios administrativos | Use un grupo de hosts personal y asigne a cada usuario su propio host de sesión. |
| Usuarios de diferentes organizaciones que se conectan | Inquilino de Azure independiente y suscripción de Azure |
Procedimientos recomendados de seguridad de Azure
Azure Virtual Desktop es un servicio de Azure. Para maximizar la protección de la implementación de Azure Virtual Desktop, también debe asegurarse de proteger la infraestructura de Azure circundante y el plano de administración. Para proteger la infraestructura, considere cómo encaja Azure Virtual Desktop en el ecosistema de Azure general. Para más información sobre el ecosistema de Azure, consulte Patrones y procedimientos recomendados de seguridad en Azure.
El panorama de amenazas actual requiere diseños con enfoques de seguridad en mente. Lo ideal es crear una serie de mecanismos de seguridad y controles en capas en toda la red del equipo para proteger los datos y la red frente a ataques o amenazas. Este tipo de diseño de seguridad es lo que el Estados Unidos Agencia de seguridad de la infraestructura y ciberseguridad (CISA) llama a la defensa en profundidad.
Las secciones siguientes contienen recomendaciones para proteger una implementación de Azure Virtual Desktop.
Habilitación de Microsoft Defender for Cloud
Se recomienda habilitar las características de seguridad mejoradas de Microsoft Defender for Cloud para:
- Administrar vulnerabilidades.
- Evalúe el cumplimiento de marcos comunes como el Consejo de Estándares de Seguridad de PCI.
- Fortalecer la seguridad general del entorno.
Para más información, consulte Habilitación de características de seguridad mejoradas.
Mejora de la puntuación de seguridad
La puntuación de seguridad proporciona recomendaciones y procedimientos recomendados para mejorar la seguridad general. Estas recomendaciones se clasifican por orden de prioridad para ayudarle a elegir las más importantes, mientras que las opciones de corrección rápida le ayudan a abordar las posibles vulnerabilidades rápidamente. Estas recomendaciones también se actualizan con el tiempo, lo que permite mantenerse al día con las mejores formas de mantener la seguridad del entorno. Para más información, consulte Mejora de la puntuación de seguridad en Microsoft Defender for Cloud.
Requiere autenticación multifactor
Al requerir la autenticación multifactor para todos los usuarios y administradores en Azure Virtual Desktop, mejora la seguridad de toda la implementación. Para obtener más información, consulte Habilitación de la autenticación multifactor de Microsoft Entra para Azure Virtual Desktop.
Habilitación del acceso condicional
Al habilitar el acceso condicional, podrá administrar los riesgos antes de conceder acceso al entorno de Azure Virtual Desktop a los usuarios. A la hora de decidir a qué usuarios se concederá acceso, se recomienda considerar también quién es el usuario, cómo inicia sesión y qué dispositivo está usando.
Recopilación de registros de auditoría
Al habilitar la recopilación de registros de auditoría, podrá ver la actividad de los usuarios y administradores relacionada con Azure Virtual Desktop. Los siguientes son algunos ejemplos de registros de auditoría clave:
- Registro de actividad de Azure
- Registro de actividad de Microsoft Entra
- Microsoft Entra ID
- Hosts de sesión
- Registros de Key Vault
Uso de RemoteApp
Al elegir un modelo de implementación, puede proporcionar a los usuarios remotos acceso a escritorios completos o solo a aplicaciones determinadas cuando se publican como una RemoteApp. RemoteApp proporciona una experiencia sin interrupciones a medida que el usuario trabaja con las aplicaciones en su escritorio virtual. RemoteApp reduce los riesgos, ya que solo permite al usuario trabajar con un subconjunto de la máquina remota que la aplicación expone.
Supervisión de uso con Azure Monitor
Supervise el uso y la disponibilidad del servicio de Azure Virtual Desktop con Azure Monitor. Considere la posibilidad de crear alertas de estado del servicio para que el servicio de Azure Virtual Desktop reciba notificaciones siempre que se produzca un evento que afecta al servicio.
Cifrado de los hosts de sesión
Cifre los hosts de sesión con opciones de cifrado de disco administrado para proteger los datos almacenados frente al acceso no autorizado.
Procedimientos recomendados de seguridad del host de sesión
Los hosts de sesión son máquinas virtuales que se ejecutan dentro de una suscripción a Azure y una red virtual. La seguridad general de su implementación de Azure Virtual Desktop depende de los controles de seguridad que se aplican en los hosts de la sesión. En esta sección se describen los procedimientos recomendados para proteger los hosts de la sesión.
Habilitación de Endpoint Protection
Para proteger la implementación frente a software malintencionado conocido, se recomienda habilitar Endpoint Protection en todos los hosts de la sesión. Puede usar el Antivirus de Windows Defender o un programa de terceros. Para obtener más información, consulte la Guía de implementación para el Antivirus de Windows Defender en un entorno de VDI.
Para soluciones de perfil como FSLogix u otras soluciones que montan archivos de disco duro virtual, se recomienda excluir esas extensiones de archivo.
Instalación de un producto de detección y respuesta de puntos de conexión
Se recomienda instalar un producto de detección y respuesta de punto de conexión (EDR) para proporcionar funcionalidades avanzadas de detección y respuesta. En el caso de los sistemas operativos de servidor con Microsoft Defender for Cloud habilitado, al instalar un producto de EDR se implementará Microsoft Defender para punto de conexión. En el caso de los sistemas operativos cliente, puede implementar Microsoft Defender para punto de conexión o un producto de terceros en esos puntos de conexión.
Habilitación de evaluaciones para administración de amenazas y vulnerabilidades
La identificación de las vulnerabilidades de software que existen en los sistemas operativos y aplicaciones es fundamental para garantizar la seguridad del entorno. Microsoft Defender for Cloud puede ayudarle a identificar las zonas problemáticas mediante la solución de administración de vulnerabilidades y amenazas de Microsoft Defender para punto de conexión. También puede usar productos de terceros si así lo desea, aunque se recomienda usar Microsoft Defender for Cloud y Microsoft Defender para punto de conexión.
Aplicación de revisiones para las vulnerabilidades de software del entorno
Una vez identificada una vulnerabilidad, debe aplicar una revisión. Esto también se aplica a entornos virtuales, incluidos los sistemas operativos en ejecución, las aplicaciones que se hayan implementado dentro de ellos y las imágenes que se usan para crear nuevas máquinas. Siga las comunicaciones de notificación sobre revisiones del proveedor y aplique las revisiones de manera oportuna. Se recomienda aplicar revisiones a las imágenes base mensualmente para garantizar que las máquinas recién implementadas son lo más seguras posible.
Establecimiento del tiempo máximo de inactividad y directivas de desconexión
Al cerrar la sesión de los usuarios cuando están inactivos, se conservan los recursos y se impide el acceso por parte de usuarios no autorizados. Se recomienda que los tiempos de espera mantengan el equilibrio entre la productividad del usuario y el uso de recursos. Para los usuarios que interactúan con aplicaciones sin estado, plantéese la posibilidad de directivas más agresivas que apaguen las máquinas y conserven los recursos. La desconexión de las aplicaciones de ejecución prolongada que continúan ejecutándose si un usuario está inactivo, como una simulación o representación de CAD, puede interrumpir el trabajo del usuario e incluso puede requerir que se reinicie el equipo.
Configuración de bloqueos de pantalla para sesiones inactivas
Para evitar los accesos no deseados al sistema, configure Azure Virtual Desktop para que bloquee la pantalla de una máquina durante el tiempo de inactividad y solicite una autenticación para desbloquearla.
Establecimiento del acceso de administrador en capas
Se recomienda no conceder a los usuarios acceso de administrador para escritorios virtuales. Si necesita paquetes de software, se recomienda que estén disponibles a través de utilidades de administración de configuración, como Microsoft Intune. En un entorno de varias sesiones, se recomienda impedir que los usuarios instalen software directamente.
Cuáles usuarios que deben tener acceso a qué recursos
Considere a los hosts de sesión como una extensión de la implementación de escritorio existente. Se recomienda controlar el acceso a los recursos de red del mismo modo que lo haría con otros equipos de escritorio del entorno, como la segmentación y filtrado de la red. De forma predeterminada, los hosts de sesión pueden conectarse a cualquier recurso de Internet. Hay varias maneras de limitar el tráfico, incluido el uso de Azure Firewall, dispositivos virtuales de red o servidores proxy. Si necesita limitar el tráfico, asegúrese de agregar las reglas adecuadas para que Azure Virtual Desktop pueda funcionar correctamente.
Administración de La seguridad de aplicaciones de Microsoft 365
Además de proteger los hosts de sesión, es importante proteger también las aplicaciones que se ejecutan dentro de ellos. Las aplicaciones de Microsoft 365 son algunas de las aplicaciones más comunes implementadas en hosts de sesión. Para mejorar la seguridad de implementación de Microsoft 365, se recomienda usar el Asesor de directivas de seguridad para Aplicaciones Microsoft 365 para empresas. Esta herramienta identifica las directivas que se pueden aplicar a la implementación para mayor seguridad. El Asesor de directivas de seguridad también recomienda directivas en función del impacto que tendrán en la seguridad y la productividad.
Seguridad de los perfiles de usuario
Los perfiles de usuario pueden contener información confidencial. Debe restringir quién tiene acceso a perfiles de usuario y los métodos de acceso a ellos, especialmente si usa FSLogix Profile Container para almacenar perfiles de usuario en un archivo de disco duro virtual en un recurso compartido de SMB. Debe seguir las recomendaciones de seguridad para el proveedor del recurso compartido de SMB. Por ejemplo, si usa Azure Files para almacenar estos archivos de disco duro virtual, puede usar puntos de conexión privados para que solo sean accesibles dentro de una red virtual de Azure.
Otras sugerencias de seguridad para hosts de sesión
Al restringir las funcionalidades del sistema operativo, puede mejorar la seguridad de los hosts de sesión. A continuación se incluyen algunas cosas que puede realizar:
Controlar el redireccionamiento de dispositivos al redirigir las unidades, impresoras y dispositivos USB al dispositivo local de un usuario en una sesión de escritorio remoto. Se recomienda evaluar sus requisitos de seguridad y comprobar si estas características deben deshabilitarse o no.
Restringir el acceso al Explorador de Windows al ocultar las asignaciones de unidades locales y remotas. De este modo, los usuarios no pueden detectar información no deseada acerca de la configuración del sistema y de los usuarios.
Evitar el acceso directo de RDP a los hosts de sesión en su entorno. Si necesita acceso directo de RDP para administración o solución de problemas, habilite el acceso Just-in-Time para limitar la posible superficie expuesta a ataques en un host de sesión.
Conceder permisos limitados a los usuarios cuando accedan a sistemas de archivos locales y remotos. Puede restringir los permisos al garantizar que los sistemas de archivos locales y remotos usan listas de control de acceso con privilegios mínimos. De este modo, los usuarios solo pueden tener acceso a lo que necesitan y no pueden cambiar ni eliminar recursos críticos.
Impedir que el software no deseado se ejecute en los hosts de sesión. Puede habilitar el Bloqueo de aplicación para mayor seguridad en los hosts de sesión. Así, se asegura de que solo las aplicaciones que habilite se pueden ejecutar en el host.
Inicio de confianza
El lanzamiento de confianza son máquinas virtuales de Azure Gen2 con características de seguridad mejoradas destinadas a protegerse frente a amenazas de la parte inferior de la pila a través de vectores de ataque, como rootkits, kits de arranque y malware de nivel de kernel. A continuación se muestran las características de seguridad mejoradas del inicio seguro, que se admiten en su totalidad en Azure Virtual Desktop. Para más información sobre el inicio seguro, visite Inicio seguro para máquinas virtuales de Azure.
Habilitación del inicio de confianza como predeterminado
El inicio seguro protege frente a técnicas de ataque persistentes y avanzadas. Esta característica también permite una implementación segura de máquinas virtuales con cargadores de arranque comprobados, kernels del sistema operativo y controladores. El inicio de confianza también protege las claves, los certificados y los secretos en las máquinas virtuales. Para más información sobre el inicio seguro, consulte Inicio seguro para máquinas virtuales de Azure.
Al agregar hosts de sesión mediante Azure Portal, el tipo de seguridad cambia automáticamente a máquinas virtuales de confianza. Esto garantiza que la máquina virtual cumpla los requisitos obligatorios para Windows 11. Para más información sobre estos requisitos, consulte Compatibilidad con máquinas virtuales.
Máquinas virtuales de computación confidencial de Azure
La compatibilidad de Azure Virtual Desktop con máquinas virtuales de computación confidencial de Azure garantiza que el escritorio virtual de un usuario esté cifrado en memoria, protegido en uso y respaldado por la raíz de confianza del hardware. Las máquinas virtuales de computación confidencial de Azure para Azure Virtual Desktop son compatibles con los sistemas operativos compatibles. La implementación de VM confidenciales con Azure Virtual Desktop da a los usuarios acceso a Microsoft 365 y otras aplicaciones en hosts de sesión que usan aislamiento basado en hardware, que protege el aislamiento de otras máquinas virtuales, el hipervisor y el sistema operativo host. Estos escritorios virtuales cuentan con tecnología del procesador EPYC™ de la tercera y más reciente generación (Gen 3) de Advanced Micro Devices (AMD) con la tecnología Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP). Las claves de cifrado de memoria se generan y protegen mediante un procesador seguro dedicado dentro de la CPU AMD que no se puede leer desde el software. Para más información, consulte Información general sobre la computación confidencial de Azure.
Los siguientes sistemas operativos se admiten para su uso como hosts de sesión con máquinas virtuales confidenciales en Azure Virtual Desktop:
- Windows 11 Enterprise, versión 22H2
- Windows 11 Enterprise multisesión, versión 22H2
- Windows Server 2022
- Windows Server 2019
Puede crear hosts de sesión mediante máquinas virtuales confidenciales al crear un grupo de hosts o agregar hosts de sesión a un grupo de hosts.
Cifrado del disco del sistema operativo
El cifrado del disco del sistema operativo es una capa adicional de cifrado que enlaza las claves de cifrado de disco al módulo de plataforma segura (TPM) de la máquina virtual de computación confidencial. Este cifrado hace que el contenido del disco sea accesible solo para la máquina virtual. Si la máquina virtual no se inició por un error en la atestación con la línea base definida, la supervisión de la integridad habilitará la atestación criptográfica y la comprobación de la integridad de arranque de la máquina virtual y las alertas de supervisión. Para más información sobre la supervisión de la integridad, consulte Microsoft Defender for Cloud Integration. Puede habilitar el cifrado de proceso confidencial al crear hosts de sesión mediante máquinas virtuales confidenciales al crear un grupo de hosts o agregar hosts de sesión a un grupo de hosts.
Arranque seguro
El arranque seguro es un modo que admite el firmware de la plataforma y protege el firmware de kits de arranque y rootkits basados en malware. Este modo solo permite que los controladores y sistemas operativos firmados arranquen.
Supervisión de la integridad de arranque mediante atestación remota
La atestación remota es una excelente forma de comprobar el estado de las máquinas virtuales. La atestación remota comprueba que los registros de arranque medido están presentes, son auténticos y se originan desde el Módulo de plataforma segura virtual (vTPM). Como comprobación de estado, proporciona certeza criptográfica de que una plataforma se ha iniciado correctamente.
vTPM
vTPM es una versión virtualizada de un Módulo de plataforma segura (TPM) de hardware, con una instancia virtual de un TPM por máquina virtual. vTPM permite la atestación remota mediante la medición de la integridad de toda la cadena de arranque de la máquina virtual (UEFI, sistema operativo, sistema y controladores).
Se recomienda habilitar vTPM para usar la atestación remota en las máquinas virtuales. Con vTPM habilitado, también puede habilitar la funcionalidad de BitLocker con Azure Disk Encryption, que proporciona cifrado de volumen completo para proteger los datos en reposo. Cualquier característica que use vTPM producirá secretos enlazados a la máquina virtual específica. Cuando los usuarios se conectan al servicio de Azure Virtual Desktop en un escenario agrupado, los usuarios se pueden redirigir a cualquier máquina virtual en el grupo hosts. En función de cómo esté diseñada la característica, puede repercutir de una forma determinada.
Nota:
BitLocker no debe usarse para cifrar el disco específico donde se almacenan los datos del perfil de FSLogix.
Seguridad basada en virtualización
La seguridad basada en virtualización (VBS) utiliza el hipervisor para crear y aislar una región segura de memoria que no es accesible para el sistema operativo. La integridad de código protegido por hipervisor (HVCI) y Credential Guard de Windows Defender usan VBS para proporcionar una mayor protección frente a vulnerabilidades.
Integridad de código protegido por hipervisor
HVCI es una mitigación del sistema eficaz que usa VBS para proteger los procesos del modo kernel de Windows contra la inyección y la ejecución de código malintencionado o no comprobado.
Credential Guard de Windows Defender
Habilitar Credential Guard de Windows Defender. Credential Guard de Windows Defender utiliza VBS para aislar y proteger los secretos, de modo que solo el software del sistema con privilegios pueda acceder a ellos. Esto evita el acceso no autorizado a estos secretos y ataques de robo de credenciales, como los ataques Pass-the-Hash. Para obtener más información, consulte Introducción a Credential Guard.
Control de aplicaciones de Windows Defender
Habilitar el Control de aplicaciones de Windows Defender El Control de aplicaciones de Windows Defender está diseñado para proteger dispositivos contra malware y otro software que no es de confianza. Evita que se ejecute código malintencionado asegurándose de que solo se puede ejecutar código aprobado, que sabe. Para obtener más información, consulte Control de aplicaciones para Windows.
Nota:
Al usar Windows Defender Access Control, se recomienda destinar las directivas solo al nivel de dispositivo. Aunque es posible destinar las directivas a usuarios individuales, una vez que se aplica la directiva, afecta a todos los usuarios del dispositivo por igual.
Windows Update
Mantenga actualizados los hosts de sesión con las actualizaciones de Windows Update. Windows Update ofrece una manera segura de mantener actualizados los dispositivos. Su protección de un extremo a otro evita la manipulación de intercambios de protocolos y garantiza que las actualizaciones solo incluyan contenido aprobado. Es posible que tenga que actualizar las reglas de firewall y proxy de algunos de los entornos protegidos para obtener el acceso adecuado a Windows Update. Para obtener más información, consulte Seguridad de Windows Update.
Cliente y actualizaciones de Escritorio remoto en otras plataformas del sistema operativo
Las actualizaciones de software para los clientes de Escritorio remoto que puede usar para acceder a los servicios de Azure Virtual Desktop en otras plataformas del sistema operativo se protegen según las directivas de seguridad de sus respectivas plataformas. Todas las actualizaciones de cliente se entregan directamente mediante sus plataformas. Para obtener más información, consulte las páginas de la tienda correspondientes para cada aplicación: