Recommandations de sécurité pour Azure Virtual Desktop
Azure Virtual Desktop est un service de bureau virtuel géré qui comprend de nombreuses fonctionnalités de sécurité pour garantir la sécurité de votre organisation. L'architecture Azure Virtual Desktop comprend de nombreux composants qui constituent le service reliant les utilisateurs à leurs bureaux et applications.
Azure Virtual Desktop dispose de nombreuses fonctionnalités de sécurité avancées intégrées, telles que l’Connecter inverse, où aucun port réseau entrant n’est requis pour être ouverts, ce qui réduit le risque lié à l’accessibilité des bureaux distants à partir de n’importe où. Le service bénéficie également de nombreuses autres fonctionnalités de sécurité d’Azure, telles que l’authentification multifacteur et l’accès conditionnel. Cet article décrit les étapes à suivre en tant qu’administrateur pour sécuriser vos déploiements Azure Virtual Desktop, que vous fournissiez des ordinateurs de bureau et des applications aux utilisateurs de votre organisation ou à des utilisateurs externes.
Responsabilités de sécurité partagées
Avant Azure Virtual Desktop, les solutions de virtualisation locales telles que les services Bureau à distance exigeaient d’accorder aux utilisateurs l'accès à des rôles tels que Passerelle, Répartiteur, Accès web, etc. Ces rôles devaient être entièrement redondants et capables de gérer les pics de capacité. Administration istrators installeraient ces rôles dans le cadre du système d’exploitation Windows Server, et ils devaient être joints à un domaine avec des ports spécifiques accessibles aux connexions publiques. Pour sécuriser les déploiements, les administrateurs doivent constamment s’assurer que tout ce qui se trouve dans l’infrastructure a été maintenu et à jour.
Toutefois, dans la plupart des services cloud, il existe un ensemble partagé de responsabilités de sécurité entre Microsoft et le client ou le partenaire. Pour Azure Virtual Desktop, la plupart des composants sont gérés par Microsoft, mais les hôtes de session et certains services et composants de prise en charge sont gérés par le client ou gérés par un partenaire. Pour en savoir plus sur les composants gérés par Microsoft d’Azure Virtual Desktop, consultez l’architecture et la résilience du service Azure Virtual Desktop.
Bien que certains composants soient déjà sécurisés pour votre environnement, vous devez configurer d’autres domaines vous-même pour répondre aux besoins de sécurité de votre organisation ou du client. Voici les composants dont vous êtes responsable de la sécurité dans votre déploiement Azure Virtual Desktop :
| Composant | Responsabilité |
|---|---|
| Identité | Client ou partenaire |
| Appareils utilisateur (mobiles et PC) | Client ou partenaire |
| Sécurité de l’application | Client ou partenaire |
| Système d’exploitation hôte de session | Client ou partenaire |
| Configuration du déploiement | Client ou partenaire |
| Contrôles de réseau | Client ou partenaire |
| Plan de contrôle de virtualisation | Microsoft |
| Hôtes physiques | Microsoft |
| Réseau physique | Microsoft |
| Centre de données physique | Microsoft |
Limites de sécurité
Les limites de sécurité séparent le code et les données des domaines de sécurité avec différents niveaux de confiance. Par exemple, il existe généralement une limite de sécurité entre le mode noyau et le mode utilisateur. La plupart des logiciels et services Microsoft dépendent de plusieurs limites de sécurité pour isoler les appareils sur les réseaux, les machines virtuelles et les applications sur les appareils. Le tableau suivant répertorie chaque limite de sécurité pour Windows et sa contribution à la sécurité globale.
| Limite de sécurité | Description |
|---|---|
| Limite de réseau | Un point de terminaison réseau non autorisé ne peut pas accéder au code ni aux données sur l’appareil d’un client, ni les falsifier. |
| Limite de noyau | Un processus en mode utilisateur non administratif ne peut pas accéder au code ni aux données du noyau, ni les falsifier. Administrateur-vers-noyau n’est pas une limite de sécurité. |
| Limite de processus | Un processus en mode utilisateur non autorisé ne peut pas accéder au code ni aux données d’un autre processus, ni les falsifier. |
| Limite de bac à sable AppContainer | Un processus de bac à sable basé sur AppContainer ne peut pas accéder au code ni aux données, ni les falsifier, en dehors du bac à sable en fonction des capacités du conteneur. |
| Limite d’utilisateur | Un utilisateur ne peut pas accéder au code ni aux données d’un autre utilisateur, ni les falsifier, sans y être autorisé. |
| Limite de session | Une session utilisateur ne peut pas accéder au code ni aux données d’une autre session utilisateur, ni les falsifier, sans y être autorisé. |
| Limite de navigateur web | Un site web non autorisé ne peut pas violer la stratégie d’origine identique, ni accéder au code natif ni aux données du bac à sable du navigateur web Microsoft Edge, ni les falsifier. |
| Limite de machine virtuelle | Une machine virtuelle invitée Hyper-V non autorisée ne peut pas accéder au code ni aux données d’une autre machine virtuelle invitée, ni les falsifier. Les conteneurs isolés Hyper-V sont également concernés. |
| Limite du mode sécurisé virtuel (VSM) | Le code qui s’exécute en dehors de l’enclave ou du processus de confiance VSM ne peut pas accéder au code ni aux données du processus de confiance, ni les falsifier. |
Limites de sécurité recommandées pour les scénarios Azure Virtual Desktop
Vous devrez également faire certains choix concernant les limites de sécurité au cas par cas. Par exemple, si un utilisateur de votre organisation a besoin de privilèges d’administrateur local pour installer des applications, vous devez leur donner un bureau personnel au lieu d’un hôte de session partagé. Nous vous déconseillons d’accorder aux utilisateurs des privilèges d’administrateur local dans des scénarios mis en pool à plusieurs sessions, car ces utilisateurs peuvent franchir des limites de sécurité pour les sessions ou les autorisations de données NTFS, arrêter des machines virtuelles multisession ou effectuer d’autres opérations susceptibles d’interrompre le service ou de provoquer des pertes de données.
Les utilisateurs de la même organisation, tels que les travailleurs des connaissances avec des applications qui ne nécessitent pas de privilèges d’administrateur, sont des candidats idéals pour les hôtes de session multisession comme Windows 11 Entreprise multisession. Ces hôtes de session réduisent les coûts pour votre organisation, car plusieurs utilisateurs peuvent partager une seule machine virtuelle, avec uniquement les coûts de surcharge d’une machine virtuelle par utilisateur. Avec les produits de gestion des profils utilisateur tels que FSLogix, les utilisateurs peuvent être affectés à n’importe quelle machine virtuelle dans un pool d’hôtes sans interrompre les services. Cette fonctionnalité vous permet également d’optimiser les coûts en arrêtant, par exemple, les machines virtuelles pendant les heures creuses.
Si, dans votre cas, des utilisateurs de différentes organisations doivent se connecter à votre déploiement, nous vous recommandons d’avoir un locataire distinct pour les services d’identité comme Active Directory et Microsoft Entra ID. Nous vous recommandons également d’avoir un abonnement distinct pour ces utilisateurs pour héberger des ressources Azure telles qu’Azure Virtual Desktop et des machines virtuelles.
Dans de nombreux cas, l’utilisation de plusieurs sessions est un moyen acceptable de réduire les coûts, mais le fait de la recommander ou non dépend du niveau de confiance entre les utilisateurs possédant un accès simultané à une instance multisession partagée. En règle générale, les utilisateurs qui appartiennent à la même organisation ont une relation de confiance suffisante et approuvée. Par exemple, un service ou un groupe de travail où les utilisateurs collaborent et peuvent accéder aux informations personnelles de chacun est une organisation où le niveau de confiance est élevé.
Windows utilise des limites et des contrôles de sécurité pour s’assurer que les processus et les données des utilisateurs sont isolés entre les sessions. Cependant, Windows donne toujours accès à l’instance sur laquelle l’utilisateur travaille.
Les déploiements multisession bénéficient d’une stratégie de sécurité approfondie qui ajoute des limites de sécurité supplémentaires qui empêchent les utilisateurs au sein et à l’extérieur de l’organisation d’obtenir un accès non autorisé aux informations personnelles d’autres utilisateurs. L’accès non autorisé aux données est lié à une erreur dans le processus de configuration par l’administrateur système, telle qu’une faille de sécurité non divulguée ou une vulnérabilité connue qui n’a pas encore été corrigée.
Nous vous déconseillons d’accorder aux utilisateurs qui travaillent pour des entreprises différentes ou concurrentes l’accès au même environnement multisession. Ces scénarios comportent plusieurs limites de sécurité qui peuvent être attaquées ou utilisées abusivement, telles que le réseau, le noyau, le processus, l’utilisateur ou les sessions. Une seule vulnérabilité de sécurité peut entraîner le vol d’informations d’identification et de données non autorisées, la fuite d’informations personnelles, l’usurpation d’identité et d’autres problèmes. Les fournisseurs d’environnements virtualisés sont tenus de proposer des systèmes bien conçus, dotés de plusieurs limites de sécurité fortes et de fonctionnalités de sécurité supplémentaires si possible activées.
Pour réduire ces menaces potentielles, il faut une configuration sans faille, un processus de conception de la gestion des correctifs et des calendriers réguliers pour le déploiement de ces correctifs. Il est préférable de respecter les principes de défense en profondeur et de séparer les environnements.
Le tableau suivant récapitule nos recommandations pour chaque scénario.
| Scénario de niveau de confiance | Solution recommandée |
|---|---|
| Utilisateurs d’une même organisation avec des privilèges standard | Utilisez un système d’exploitation multisession Windows Entreprise. |
| Les utilisateurs nécessitent des privilèges d’administrateur | Utilisez un pool d’hôtes personnel et attribuez à chaque utilisateur son propre hôte de session. |
| Utilisateurs de différentes organisations qui se connectent | Séparez le locataire Azure et l’abonnement Azure |
Meilleures pratiques relatives à la sécurité Azure
Azure Virtual Desktop est un service sous Azure. Pour optimiser la sécurité de votre déploiement Azure Virtual Desktop, veillez à sécuriser également l’infrastructure Azure et le plan de gestion environnants. Pour sécuriser votre infrastructure, réfléchissez à la façon dont Azure Virtual Desktop s’intègre à votre écosystème Azure plus vaste. Pour en savoir plus sur l’écosystème Azure, consultez Meilleures pratiques et tendances Azure relatives à la sécurité.
Le paysage des menaces d’aujourd'hui exige des conceptions tenant compte des approches de sécurité. Dans l’idéal, vous souhaiterez créer une série de contrôles et de mécanismes de sécurité répartis sur l’ensemble de votre réseau informatique afin de protéger vos données et votre réseau contre toute compromission ou attaque. Ce type de conception de sécurité est ce que le États-Unis Cybersécurité et l’Agence de sécurité de l’infrastructure (CISA) appelle la défense en profondeur.
Les sections suivantes contiennent des recommandations pour sécuriser un déploiement Azure Virtual Desktop.
Activer Microsoft Defender pour le cloud
Nous vous recommandons d’activer les fonctionnalités de sécurité renforcée de Microsoft Defender pour le cloud pour :
- Gérer les vulnérabilités.
- Évaluez la conformité avec les infrastructures courantes comme celles du Conseil des normes de sécurité PCI.
- Renforcer la sécurité globale de votre environnement.
Pour en savoir plus, consultez Activer les fonctionnalités de sécurité améliorées.
Améliorer votre score de sécurité
Le Degré de sécurisation fournit des suggestions et des conseils sur les meilleures pratiques pour améliorer votre sécurité globale. Ces suggestions sont hiérarchisées pour vous aider à choisir celles qui sont les plus importantes, et les options de correction rapide vous aident à résoudre rapidement les vulnérabilités potentielles. Ces suggestions sont également mises à jour au fil du temps, ce qui vous permet de mettre à jour la sécurité de votre environnement. Pour plus d’informations, consultez Améliorer votre score de sécurité dans Microsoft Defender pour le cloud.
Exiger l’authentification multifacteur
L’authentification multifacteur obligatoire pour tous les utilisateurs et administrateurs dans Azure Virtual Desktop améliore la sécurité de l’ensemble de votre déploiement. Pour en savoir plus, consultez Activer l’authentification multifacteur Microsoft Entra pour Azure Virtual Desktop.
Activer l’accès conditionnel
L’activation de l’accès conditionnel vous permet de gérer les risques avant d’accorder aux utilisateurs l’accès à votre environnement Azure Virtual Desktop Virtual Desktop. Lorsque vous choisissez les utilisateurs auxquels accorder l’accès, nous vous recommandons également de déterminer qui est l’utilisateur, comment il se connecte et quel appareil il utilise.
Collecter des journaux d’audit
L’activation de la collecte des journaux d’audit vous permet d’afficher l’activité des utilisateurs et des administrateurs en rapport avec Azure Virtual Desktop. Voici quelques exemples de journaux d’audit clés :
- Journal d'activité Azure
- Journaux d’activité Microsoft Entra
- Microsoft Entra ID
- Hôtes de session
- Journaux d’activité Key Vault
Utiliser RemoteApp
Lors du choix d’un modèle de déploiement, vous pouvez fournir aux utilisateurs distants l’accès à des bureaux entiers ou uniquement à des applications sélectionnées lors de la publication comme RemoteApp. RemoteApp fournit une expérience transparente lorsque l’utilisateur travaille avec des applications depuis son bureau virtuel. RemoteApp réduit les risques en permettant uniquement à l’utilisateur de travailler avec un sous-ensemble de l’ordinateur distant exposé par l’application.
Superviser l’utilisation avec Azure Monitor
Surveillez l’utilisation et la disponibilité de votre service Azure Virtual Desktop avec Azure Monitor. Envisagez de créer des alertes d’intégrité de service pour le service Azure Virtual Desktop afin de recevoir des notifications chaque fois que se produit un événement de service marquant.
Chiffrer vos hôtes de session
Chiffrez vos hôtes de session avec des options de chiffrement de disque managé pour protéger les données stockées contre l’accès non autorisé.
Meilleures pratiques pour la sécurité de l’hôte de session
Les hôtes de session sont des machines virtuelles qui s’exécutent au sein d’un abonnement Azure et d’un réseau virtuel. La sécurité globale de votre déploiement Azure Virtual Desktop dépend des contrôles de sécurité que vous placez sur vos hôtes de session. Cette section décrit les meilleures pratiques pour assurer la sécurité de vos hôtes de session.
Activer Endpoint Protection
Pour protéger votre déploiement contre les logiciels malveillants connus, nous vous recommandons d’activer Endpoint Protection sur tous les hôtes de session. Vous pouvez utiliser l’antivirus Windows Defender ou un programme tiers. Pour plus d’informations, consultez Guide de déploiement de l’antivirus Windows Defender dans un environnement VDI.
Pour les solutions de profil telles que FSLogix ou d’autres solutions qui montent des fichiers de disque dur virtuel, nous vous recommandons d’exclure ces extensions de fichier.
Installer un produit de détection et de réponse de point de terminaison
Nous vous recommandons d’installer un produit de détection et de réponse de point de terminaison (EDR) pour fournir des fonctionnalités avancées de détection et de réponse. Pour les systèmes d’exploitation serveur sur lesquels Microsoft Defender pour le cloud est activé, l’installation d’un produit EDR déploie Microsoft Defender pour point de terminaison. Pour les systèmes d’exploitation client, vous pouvez déployer Microsoft Defender pour point de terminaison ou un produit tiers sur ces points de terminaison.
Activer les évaluations de gestion des menaces et des vulnérabilités
L’identification des vulnérabilités logicielles qui existent dans les systèmes d’exploitation et les applications est essentielle pour garantir la sécurité de votre environnement. Microsoft Defender pour le cloud peut vous aider à identifier où sont les problèmes grâce à la solution de gestion des menaces et des vulnérabilités de Microsoft defender pour point de terminaison. Vous pouvez également utiliser des produits tiers si vous le souhaitez, mais nous vous recommandons d’utiliser Microsoft Defender pour le cloud et Microsoft Defender pour point de terminaison.
Corriger les vulnérabilités des logiciels dans votre environnement
Une fois que vous avez identifié une vulnérabilité, vous devez la corriger. Cela s’applique également aux environnements virtuels, qui comprennent les systèmes d’exploitation en cours d’exécution, les applications qui y sont déployées et les images à partir desquelles vous créez de nouvelles machines. Soyez attentif aux messages de notification de correctifs et appliquez les correctifs en temps utile. Nous vous recommandons d’appliquer des correctifs mensuels à vos images de base pour vous assurer que les machines nouvellement déployées sont aussi sécurisées que possible.
Établir des stratégies de temps d’inactivité et de déconnexion maximales
La déconnexion des utilisateurs inactifs préserve les ressources et empêche l'accès des utilisateurs non autorisés. De préférence, les délais d’expiration équilibrent la productivité des utilisateurs ainsi que l’utilisation des ressources. Pour les utilisateurs qui interagissent avec des applications sans état, envisagez des stratégies plus agressives qui éteignent les machines et préservent les ressources. La déconnexion d’applications en cours d’exécution depuis longtemps et qui continuent à fonctionner si un utilisateur est inactif, comme une simulation ou un rendu CAO, peut interrompre le travail de l’utilisateur et peut même nécessiter le redémarrage de l’ordinateur.
Configurer des verrous d’écran pour les sessions inactives
Vous pouvez empêcher l’accès au système indésirable en configurant Azure Virtual Desktop de façon à verrouiller l’écran d’une machine pendant la durée d’inactivité, et en exigeant une authentification pour le déverrouiller.
Établir un accès administrateur à plusieurs niveaux
Nous vous recommandons de ne pas accorder à vos utilisateurs un accès administrateur aux bureaux virtuels. Si vous avez besoin de logiciels, nous vous recommandons de les rendre disponibles par le biais d’utilitaires de gestion de la configuration comme Microsoft Intune. Dans un environnement multi-session, nous vous recommandons de ne pas laisser les utilisateurs installer directement les logiciels.
Déterminer quels utilisateurs doivent accéder à telles ou telles ressources
Considérez les hôtes de session comme une extension de votre déploiement de postes de travail existant. Nous vous recommandons de contrôler l’accès aux ressources du réseau de la même manière que vous le feriez pour les autres ordinateurs de votre environnement, par exemple en utilisant la segmentation et le filtrage du réseau. Par défaut, les hôtes de session peuvent se connecter à n’importe quelle ressource sur Internet. Vous pouvez limiter le trafic de plusieurs façons, notamment en utilisant le Pare-feu Azure, des appliances virtuelles réseau ou des proxies. Si vous devez limiter le trafic, veillez à ajouter les règles appropriées afin qu’Azure Virtual Desktop puisse fonctionner correctement.
Gérer la sécurité des applications Microsoft 365
En plus de sécuriser vos hôtes de session, il est important de sécuriser également les applications qui s'y exécutent. Les applications Microsoft 365 sont certaines des applications les plus courantes déployées dans les hôtes de session. Pour améliorer la sécurité du déploiement Microsoft 365, nous vous recommandons d’utiliser l’Assistant Stratégie de sécurité pour Applications Microsoft 365 pour les grandes entreprises. Cet outil identifie les stratégies que vous pouvez appliquer à votre déploiement pour davantage de sécurité. Conseiller en stratégie de sécurité recommande également des stratégies en fonction de leur impact sur votre sécurité et votre productivité.
Sécurité du profil de l’utilisateur :
Les profils utilisateur peuvent contenir des informations sensibles. Vous devez restreindre les personnes ayant accès aux profils utilisateur et les méthodes d’accès à ces profils, en particulier si vous utilisez le conteneur de profil FSLogix pour stocker des profils utilisateur dans un fichier de disque dur virtuel sur un partage S Mo. Vous devez suivre les recommandations de sécurité pour le fournisseur de votre partage SMB. Par exemple, si vous utilisez Azure Files pour stocker ces fichiers de disque dur virtuel, vous pouvez utiliser des points de terminaison privés pour les rendre accessibles uniquement dans un réseau virtuel Azure.
Autres conseils de sécurité pour les hôtes de session
En limitant les capacités du système d'exploitation, vous pouvez renforcer la sécurité de vos hôtes de session. Voici quelques opérations que vous pouvez effectuer :
Contrôlez la redirection des périphériques en redirigeant les lecteurs, les imprimantes et les périphériques USB vers le périphérique local d’un utilisateur dans une session de bureau à distance. Nous vous recommandons d'évaluer vos besoins en matière de sécurité et de vérifier si ces fonctionnalités doivent être désactivées ou non.
Limitez l’accès de l’Explorateur Windows en masquant les mappages de lecteurs locaux et distants. Cela empêche les utilisateurs de découvrir des informations non désirées sur la configuration du système et les utilisateurs.
Empêchez l’accès RDP direct aux hôtes de session dans votre environnement. Si vous avez besoin d’un accès RDP direct pour l’administration ou le dépannage, activez l’accès juste-à-temps pour limiter la surface d’attaque potentielle sur un hôte de session.
Accordez aux utilisateurs des autorisations limitées lorsqu’ils accèdent à des systèmes de fichiers locaux et distants. Vous pouvez limiter les autorisations en vous assurant que vos systèmes de fichiers locaux et distants utilisent des listes de contrôle d’accès avec le moins de privilèges possible. De cette façon, les utilisateurs peuvent accéder uniquement à ce dont ils ont besoin et ne peuvent pas modifier ou supprimer les ressources critiques.
Empêchez l’exécution de logiciels indésirables sur les hôtes de session. Vous pouvez activer App Locker pour une sécurité supplémentaire sur les hôtes de session, en vous assurant que seules les applications que vous autorisez peuvent fonctionner sur l'hôte.
Lancement approuvé
Les lancements approuvés sont des machines virtuelles Azure Gen2 avec des fonctionnalités de sécurité améliorées destinées à vous protéger contre les menaces de fond de la pile via des vecteurs d’attaque tels que des rootkits, des kits de démarrage et des programmes malveillants au niveau du noyau. Voici les fonctionnalités de sécurité renforcée du lancement fiable, qui sont toutes prises en charge dans Azure Virtual Desktop. Pour en savoir plus sur le lancement fiable, consultez Lancement fiable pour les machines virtuelles Azure.
Activer le lancement fiable par défaut
Le lancement fiable protège contre les techniques d’attaque avancées et persistantes. Cette fonctionnalité permet également de sécuriser le déploiement de machines virtuelles avec des chargeurs de démarrage vérifiés, des noyaux de système d’exploitation et des pilotes. Le lancement fiable protège également les clés, les certificats et les secrets dans les machines virtuelles. Pour en savoir plus sur le lancement fiable, consultez Lancement fiable pour les machines virtuelles Azure.
Lorsque vous ajoutez des hôtes de session à l’aide du Portail Azure, le type de sécurité devient automatiquement Machines virtuelles approuvées. Cela garantit que votre machine virtuelle répond aux exigences obligatoires pour Windows 11. Pour plus d’informations sur ces exigences, consultez Prise en charge des machines virtuelles.
Machines virtuelles d’informatique confidentielle Azure
La prise en charge d’Azure Virtual Desktop pour les machines virtuelles d’informatique confidentielle Azure garantit que le bureau virtuel d’un utilisateur est chiffré en mémoire, protégé en cours d’utilisation et sauvegardé par la racine matérielle de confiance. Les machines virtuelles d’informatique confidentielle Azure pour Azure Virtual Desktop sont compatibles avec les systèmes d’exploitation pris en charge. Le déploiement de machines virtuelles confidentielles avec Azure Virtual Desktop permet aux utilisateurs d’accéder à Microsoft 365 et à d’autres applications sur des hôtes de session qui utilisent l’isolation matérielle, ce qui renforce l’isolation d’autres machines virtuelles, l’hyperviseur et le système d’exploitation hôte. Ces bureaux virtuels sont alimentés par le dernier processeur Advanced Micro Devices (AMD) EPYC™ de troisième génération (Gen 3) avec la technologie Secure Encrypted Virtualization Nested Paging (SEV-SNP). Les clés de chiffrement de mémoire sont générées et protégées par un processeur sécurisé dédié à l’intérieur du processeur AMD qui ne peut pas être lu à partir du logiciel. Pour plus d’informations, consultez Vue d’ensemble de l’informatique confidentielle Azure.
Les systèmes d’exploitation suivants sont pris en charge pour une utilisation en tant qu’hôtes de session avec des machines virtuelles confidentielles sur Azure Virtual Desktop :
- Windows 11 Entreprise, version 22H2
- Windows 11 Entreprise multisession, version 22H2
- Windows Server 2022
- Windows Server 2019
Vous pouvez créer des hôtes de session à l’aide de machines virtuelles confidentielles lorsque vous créez un pool d’hôtes ou ajoutez des hôtes de session à un pool d’hôtes.
Chiffrement de disque de système d’exploitation
Le chiffrement du disque du système d’exploitation est une couche supplémentaire de chiffrement qui lie les clés de chiffrement de disque au module de plateforme sécurisée (TPM) de la machine virtuelle d’informatique confidentielle. Ce chiffrement rend le contenu du disque accessible uniquement à la machine virtuelle. La supervision de l’intégrité permet l’attestation de chiffrement et la vérification de l’intégrité de démarrage de la machine virtuelle, ainsi que des alertes de surveillance si la machine virtuelle n’a pas démarré, car l’attestation a échoué avec la ligne de base définie. Pour plus d’informations sur la supervision de l’intégrité, consultez Intégration de Microsoft Defender pour le cloud. Vous pouvez activer le chiffrement de calcul confidentiel lorsque vous créez des hôtes de session à l’aide de machines virtuelles confidentielles lorsque vous créez un pool d’hôtes ou ajoutez des hôtes de session à un pool d’hôtes.
Démarrage sécurisé
Le démarrage sécurisé est un mode pris en charge par le microprogramme de la plateforme qui protège votre microprogramme des rootkits et kits de démarrage basés sur des programmes malveillants. Ce mode permet uniquement aux systèmes d’exploitation et pilotes signés de démarrer.
Surveiller l’intégrité du démarrage à l’aide de l’attestation distante
L’attestation distante est un excellent moyen de vérifier l’intégrité de vos machines virtuelles. L’attestation distante vérifie que les enregistrements de démarrage mesurés sont présents et authentiques et qu’ils proviennent du module de plateforme sécurisé virtuel (vTPM). En guise de vérification de l’intégrité, elle fournit la certitude cryptographique qu’une plateforme a démarré correctement.
vTPM
Un vTPM est une version virtualisée d’un Module de plateforme sécurisée (TPM) matériel, avec une instance virtuelle par machine virtuelle. Le vTPM opère une attestation à distance en effectuant une mesure d’intégrité de la chaîne de démarrage complète de la machine virtuelle (UEFI, SE, système et pilotes).
Nous vous recommandons d’activer le vTPM pour utiliser l’attestation distante sur vos machines virtuelles. Lorsqu’un vTPM est activé, vous pouvez également activer la fonctionnalité BitLocker avec Azure Disk Encryption, qui assure un chiffrement complet du volume pour protéger les données au repos. Toutes les fonctionnalités qui utilisent un vTPM entraînent la liaison de secrets à la machine virtuelle spécifique. Lorsque les utilisateurs se connectent au service Azure Virtual Desktop dans un scénario groupé, les utilisateurs peuvent être redirigés vers n’importe quelle machine virtuelle du pool d’hôtes. Selon la façon dont la fonctionnalité est conçue, cela peut avoir un impact.
Remarque
BitLocker ne doit pas être utilisé pour chiffrer le disque spécifique dans lequel vous stockez vos données de profil FSLogix.
Sécurité basée sur la virtualisation
La sécurité basée sur la virtualisation (VBS) utilise l’hyperviseur pour créer et isoler une région sécurisée de mémoire inaccessible au système d’exploitation. Hypervisor-Protected Code Integrity (HVCI) et Windows Defender Credential Guard utilisent tous deux la VBS pour offrir une protection accrue contre les vulnérabilités.
Hypervisor-Protected Code Integrity
HVCI est un système d’atténuation puissant qui utilise la VBS pour protéger les processus en mode noyau de Windows contre l’injection et l’exécution de code malveillant ou non vérifié.
Windows Defender Credential Guard
Activer Microsoft Defender Credential Guard. Windows Defender Credential Guard utilise la VBS pour isoler et protéger les secrets afin que seuls les logiciels système privilégiés puissent y accéder. Cela empêche tout accès non autorisé à ces secrets et les attaques de vol d’informations d’identification, telles que les attaques de type Pass-the-hash. Pour plus d’informations, consultez la vue d’ensemble d’Credential Guard.
Windows Defender Application Control
Activez le contrôle d’application Windows Defender. Windows Defender Application Control est conçu pour protéger les appareils contre les programmes malveillants et d’autres logiciels non approuvés. Il empêche l’exécution de code malveillant en s’assurant que seul le code approuvé, que vous savez, peut être exécuté. Pour plus d’informations, consultez Contrôle d’application pour Windows.
Remarque
Lorsque vous utilisez Windows Defender Access Control, nous vous recommandons de cibler uniquement les stratégies au niveau de l’appareil. Bien qu’il soit possible de cibler des stratégies pour des utilisateurs individuels, une fois la stratégie appliquée, elle affecte également tous les utilisateurs sur l’appareil.
Windows Update
Conservez les hôtes de session à jour avec les mises à jour de Windows Update. Windows Update offre un moyen sécurisé de maintenir vos appareils à jour. Sa protection de bout en bout empêche la manipulation des échanges de protocoles et veille à ce que les mises à jour incluent uniquement du contenu approuvé. Vous devrez peut-être mettre à jour les règles de pare-feu et de proxy pour certains de vos environnements protégés afin d’obtenir un accès approprié aux mises à jour Windows. Pour plus d’informations, voir Sécurité Windows Update.
Client Bureau à distance et mises à jour sur d’autres plateformes de système d’exploitation
Les mises à jour logicielles pour les clients Bureau à distance que vous pouvez utiliser pour accéder aux services Azure Virtual Desktop sur d’autres plateformes de système d’exploitation sont sécurisées en fonction des stratégies de sécurité de leurs plateformes respectives. Toutes les mises à jour clientes sont fournies directement par leurs plateformes. Pour obtenir plus d’informations, consultez les pages de magasin respectives pour chaque application :