Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Virtual Desktop est un service de bureau virtuel managé qui inclut de nombreuses fonctionnalités de sécurité pour assurer la sécurité de vos organization. L’architecture d’Azure Virtual Desktop comprend de nombreux composants qui composent le service qui connecte les utilisateurs à leurs bureaux et applications.
Azure Virtual Desktop dispose de nombreuses fonctionnalités de sécurité avancées intégrées, telles que la connexion inversée, où aucun port réseau entrant n’est nécessaire pour être ouvert, ce qui réduit le risque lié à l’accès des bureaux à distance depuis n’importe où. Le service bénéficie également de nombreuses autres fonctionnalités de sécurité d’Azure, telles que l’authentification multifacteur et l’accès conditionnel. Cet article décrit les étapes que vous pouvez suivre en tant qu’administrateur pour sécuriser vos déploiements Azure Virtual Desktop, que vous fournissiez des bureaux et des applications aux utilisateurs de votre organization ou à des utilisateurs externes.
Responsabilités de sécurité partagées
Avant Azure Virtual Desktop, les solutions de virtualisation locales telles que les services Bureau à distance nécessitent d’accorder aux utilisateurs l’accès à des rôles tels que passerelle, broker, accès web, etc. Ces rôles devaient être entièrement redondants et capables de gérer les pics de capacité. Les administrateurs installaient ces rôles dans le cadre du système d’exploitation Windows Server, et ils devaient être joints à un domaine avec des ports spécifiques accessibles aux connexions publiques. Pour sécuriser les déploiements, les administrateurs devaient constamment s’assurer que tous les éléments de l’infrastructure étaient conservés et à jour.
Toutefois, dans la plupart des services cloud, il existe un ensemble partagé de responsabilités de sécurité entre Microsoft et le client ou le partenaire. Pour Azure Virtual Desktop, la plupart des composants sont gérés par Microsoft, mais les hôtes de session et certains services et composants de prise en charge sont gérés par le client ou par un partenaire. Pour en savoir plus sur les composants gérés par Microsoft d’Azure Virtual Desktop, consultez Architecture et résilience du service Azure Virtual Desktop.
Bien que certains composants sont déjà sécurisés pour votre environnement, vous devez configurer vous-même d’autres zones pour répondre aux besoins de sécurité de votre organization ou de votre client. Voici les composants dont vous êtes responsable de la sécurité dans votre déploiement Azure Virtual Desktop :
Composant | Responsabilité |
---|---|
Identité | Client ou partenaire |
Appareils utilisateur (mobile et PC) | Client ou partenaire |
Sécurité des applications | Client ou partenaire |
Système d’exploitation hôte de session | Client ou partenaire |
Configuration du déploiement | Client ou partenaire |
Contrôles du réseau | Client ou partenaire |
Plan de contrôle de la virtualisation | Microsoft |
Hôtes physiques | Microsoft |
Réseau physique | Microsoft |
Centre de données physique | Microsoft |
Limites de sécurité
Les limites de sécurité séparent le code et les données des domaines de sécurité avec différents niveaux de confiance. Par exemple, il existe généralement une limite de sécurité entre le mode noyau et le mode utilisateur. La plupart des logiciels et services Microsoft dépendent de plusieurs limites de sécurité pour isoler les appareils sur les réseaux, les machines virtuelles et les applications sur les appareils. Le tableau suivant répertorie chaque limite de sécurité pour Windows et ce qu’elles font pour la sécurité globale.
Limite de sécurité | Description |
---|---|
Limite du réseau | Un point de terminaison réseau non autorisé ne peut pas accéder ou falsifier le code et les données sur l’appareil d’un client. |
Limite du noyau | Un processus en mode utilisateur non administratif ne peut pas accéder ou falsifier le code et les données du noyau. L’administrateur au noyau n’est pas une limite de sécurité. |
Limite du processus | Un processus en mode utilisateur non autorisé ne peut pas accéder ou falsifier le code et les données d’un autre processus. |
Limite du bac à sable AppContainer | Un processus de bac à sable basé sur AppContainer ne peut pas accéder ou falsifier le code et les données en dehors du bac à sable en fonction des fonctionnalités du conteneur. |
Limite utilisateur | Un utilisateur ne peut pas accéder ou falsifier le code et les données d’un autre utilisateur sans être autorisé. |
Limite de session | Une session utilisateur ne peut pas accéder à une autre session utilisateur ou la falsifier sans être autorisée. |
Limite du navigateur web | Un site web non autorisé ne peut pas violer la stratégie de même origine, ni accéder au code et aux données natifs du bac à sable du navigateur web Microsoft Edge ou les falsifier. |
Limite de machine virtuelle | Une machine virtuelle invitée Hyper-V non autorisée ne peut pas accéder ou falsifier le code et les données d’une autre machine virtuelle invitée ; cela inclut les conteneurs isolés Hyper-V. |
Limite du mode vsM (Virtual Secure Mode) | Le code exécuté en dehors du processus ou de l’enclave de confiance VSM ne peut pas accéder aux données et au code au sein du processus approuvé ni le falsifier. |
Limites de sécurité recommandées pour les scénarios Azure Virtual Desktop
Vous devez également faire certains choix concernant les limites de sécurité au cas par cas. Par exemple, si un utilisateur de votre organization a besoin de privilèges d’administrateur local pour installer des applications, vous devez lui donner un bureau personnel au lieu d’un hôte de session partagé. Nous vous déconseillons de donner aux utilisateurs des privilèges d’administrateur local dans les scénarios mis en pool à plusieurs sessions, car ces utilisateurs peuvent franchir les limites de sécurité pour les sessions ou les autorisations de données NTFS, arrêter des machines virtuelles multisession ou effectuer d’autres opérations susceptibles d’interrompre le service ou d’entraîner des pertes de données.
Les utilisateurs de la même organization, comme les travailleurs du savoir avec des applications qui ne nécessitent pas de privilèges d’administrateur, sont d’excellents candidats pour les hôtes de session multisession, comme Windows 11 Entreprise multisession. Ces hôtes de session réduisent les coûts de votre organization, car plusieurs utilisateurs peuvent partager une seule machine virtuelle, avec uniquement les coûts généraux d’une machine virtuelle par utilisateur. Avec les produits de gestion des profils utilisateur tels que FSLogix, les utilisateurs peuvent se voir attribuer n’importe quelle machine virtuelle dans un pool d’hôtes sans remarquer d’interruptions de service. Cette fonctionnalité vous permet également d’optimiser les coûts en effectuant des opérations telles que l’arrêt des machines virtuelles pendant les heures creuses.
Si votre situation exige que des utilisateurs de différentes organisations se connectent à votre déploiement, nous vous recommandons d’avoir un locataire distinct pour les services d’identité comme Active Directory et Microsoft Entra ID. Nous vous recommandons également de disposer d’un abonnement distinct pour ces utilisateurs pour l’hébergement de ressources Azure telles qu’Azure Virtual Desktop et les machines virtuelles.
Dans de nombreux cas, l’utilisation de plusieurs sessions est un moyen acceptable de réduire les coûts, mais si nous le recommandons dépend du niveau de confiance entre les utilisateurs ayant un accès simultané à un instance multisession partagé. En règle générale, les utilisateurs qui appartiennent au même organization ont une relation d’approbation suffisante et convenue. Par exemple, un service ou un groupe de travail où les personnes collaborent et peuvent accéder aux informations personnelles de l’autre est un organization avec un niveau de confiance élevé.
Windows utilise des limites de sécurité et des contrôles pour s’assurer que les processus et les données utilisateur sont isolés entre les sessions. Toutefois, Windows fournit toujours l’accès à l’instance l’utilisateur travaille.
Les déploiements multisession bénéficieraient d’une stratégie de sécurité en profondeur qui ajoute des limites de sécurité supplémentaires qui empêchent les utilisateurs à l’intérieur et à l’extérieur de l’organization d’obtenir un accès non autorisé aux informations personnelles d’autres utilisateurs. L’accès aux données non autorisé se produit en raison d’une erreur dans le processus de configuration par l’administrateur système, telle qu’une vulnérabilité de sécurité non divulguée ou une vulnérabilité connue qui n’a pas encore été corrigée.
Nous vous déconseillons d’accorder aux utilisateurs qui travaillent pour des entreprises différentes ou concurrentes l’accès au même environnement multisession. Ces scénarios ont plusieurs limites de sécurité qui peuvent être attaquées ou abusives, comme le réseau, le noyau, le processus, l’utilisateur ou les sessions. Une vulnérabilité de sécurité unique peut entraîner un vol de données et d’informations d’identification non autorisé, des fuites d’informations personnelles, un vol d’identité et d’autres problèmes. Les fournisseurs d’environnements virtualisés sont chargés d’offrir des systèmes bien conçus avec plusieurs limites de sécurité fortes et des fonctionnalités de sécurité supplémentaires activées dans la mesure du possible.
La réduction de ces menaces potentielles nécessite une configuration à l’épreuve des pannes, un processus de conception de gestion des correctifs et des planifications de déploiement de correctifs régulières. Il est préférable de suivre les principes de défense en profondeur et de séparer les environnements.
Le tableau suivant récapitule nos recommandations pour chaque scénario.
Scénario de niveau de confiance | Solution recommandée |
---|---|
Utilisateurs d’un organization disposant de privilèges standard | Utilisez un système d’exploitation Multisession (OS) Windows Entreprise. |
Les utilisateurs ont besoin de privilèges d’administration | Utilisez un pool d’hôtes personnel et attribuez à chaque utilisateur son propre hôte de session. |
Utilisateurs de différentes organisations se connectant | Séparer le locataire Azure et l’abonnement Azure |
Meilleures pratiques en matière de sécurité Azure
Azure Virtual Desktop est un service sous Azure. Pour optimiser la sécurité de votre déploiement Azure Virtual Desktop, vous devez également sécuriser l’infrastructure Et le plan de gestion Azure environnants. Pour sécuriser votre infrastructure, réfléchissez à la façon dont Azure Virtual Desktop s’intègre dans votre écosystème Azure. Pour en savoir plus sur l’écosystème Azure, consultez Bonnes pratiques et modèles de sécurité Azure.
Le paysage des menaces d’aujourd’hui nécessite des conceptions avec des approches de sécurité à l’esprit. Dans l’idéal, vous souhaiterez créer une série de mécanismes de sécurité et de contrôles en couches sur l’ensemble de votre réseau informatique pour protéger vos données et votre réseau contre toute compromission ou attaque. Ce type de conception de la sécurité est ce que la États-Unis l’Agence de sécurité de l’infrastructure et de la cybersécurité (CISA) appelle la défense en profondeur.
Les sections suivantes contiennent des recommandations pour sécuriser un déploiement Azure Virtual Desktop.
Activer Microsoft Defender pour le cloud
Nous vous recommandons d’activer Microsoft Defender pour les fonctionnalités de sécurité renforcée du cloud pour :
- Gérer les vulnérabilités.
- Évaluez la conformité avec les frameworks courants tels que le Conseil des normes de sécurité PCI.
- Renforcez la sécurité globale de votre environnement.
Pour en savoir plus, consultez Activer les fonctionnalités de sécurité renforcée.
Améliorer votre degré de sécurité
Le degré de sécurisation fournit des recommandations et des conseils sur les meilleures pratiques pour améliorer votre sécurité globale. Ces recommandations sont hiérarchisées pour vous aider à choisir celles qui sont les plus importantes, et les options de correctif rapide vous aident à résoudre rapidement les vulnérabilités potentielles. Ces recommandations sont également mises à jour au fil du temps, ce qui vous permet de vous tenir informé des meilleures façons de maintenir la sécurité de votre environnement. Pour plus d’informations, consultez Améliorer votre degré de sécurité dans Microsoft Defender pour le cloud.
Exiger l’authentification multifacteur
L’exigence d’une authentification multifacteur pour tous les utilisateurs et administrateurs dans Azure Virtual Desktop améliore la sécurité de l’ensemble de votre déploiement. Pour plus d’informations, consultez Activer l’authentification multifacteur Microsoft Entra pour Azure Virtual Desktop.
Activer l’accès conditionnel
L’activation de l’accès conditionnel vous permet de gérer les risques avant d’accorder aux utilisateurs l’accès à votre environnement Azure Virtual Desktop. Lorsque vous décidez des utilisateurs auxquels accorder l’accès, nous vous recommandons également de prendre en compte qui est l’utilisateur, la façon dont il se connecte et l’appareil qu’il utilise.
Collecter les journaux d’audit
L’activation de la collecte des journaux d’audit vous permet d’afficher l’activité des utilisateurs et des administrateurs liés à Azure Virtual Desktop. Voici quelques exemples de journaux d’audit clés :
- Journal d’activité Azure
- journal d’activité Microsoft Entra
- Identifiant Microsoft Entra
- Hôtes de session
- journaux Key Vault
Surveiller l’utilisation avec l’Azure Monitor
Surveillez l’utilisation et la disponibilité de votre service Azure Virtual Desktop avec Azure Monitor. Envisagez de créer des alertes d’intégrité du service pour que le service Azure Virtual Desktop reçoive des notifications chaque fois qu’un événement de service a un impact sur le service.
Chiffrer vos hôtes de session
Chiffrez vos hôtes de session avec des options de chiffrement de disque managé pour protéger les données stockées contre tout accès non autorisé.
Meilleures pratiques en matière de sécurité de l’hôte de session
Les hôtes de session sont des machines virtuelles qui s’exécutent à l’intérieur d’un abonnement Azure et d’un réseau virtuel. La sécurité globale de votre déploiement Azure Virtual Desktop dépend des contrôles de sécurité que vous avez placés sur vos hôtes de session. Cette section décrit les meilleures pratiques pour sécuriser vos hôtes de session.
Activer la protection des points de terminaison
Pour protéger votre déploiement contre les logiciels malveillants connus, nous vous recommandons d’activer endpoint Protection sur tous les hôtes de session. Vous pouvez utiliser Windows Defender Antivirus ou un programme tiers. Pour plus d’informations, consultez Guide de déploiement pour Windows Defender Antivirus dans un environnement VDI.
Pour les solutions de profil comme FSLogix ou d’autres solutions qui montent des fichiers de disque dur virtuel, nous vous recommandons d’exclure ces extensions de fichier. Pour plus d’informations sur les exclusions FSLogix, consultez Configurer les exclusions de fichiers et de dossiers antivirus.
Installer un produit de détection et de réponse de point de terminaison
Nous vous recommandons d’installer un produit de détection et de réponse de point de terminaison (EDR) pour fournir des fonctionnalités avancées de détection et de réponse. Pour les systèmes d’exploitation serveur avec Microsoft Defender pour le cloud activé, l’installation d’un produit EDR déploie Microsoft Defender pour point de terminaison. Pour les systèmes d’exploitation clients, vous pouvez déployer Microsoft Defender pour point de terminaison ou un produit tiers sur ces points de terminaison.
Activer l’évaluation de la gestion des menaces et des vulnérabilités
L’identification des vulnérabilités logicielles qui existent dans les systèmes d’exploitation et les applications est essentielle pour assurer la sécurité de votre environnement. Microsoft Defender pour le cloud peut vous aider à identifier les problèmes via la solution de Gestion des menaces et des vulnérabilités de Microsoft Defender pour point de terminaison. Vous pouvez également utiliser des produits tiers si vous le souhaitez, bien que nous vous recommandons d’utiliser Microsoft Defender pour le cloud et Microsoft Defender pour point de terminaison.
Corriger les vulnérabilités logicielles dans votre environnement
Une fois que vous avez identifié une vulnérabilité, vous devez la corriger. Cela s’applique également aux environnements virtuels, qui incluent les systèmes d’exploitation en cours d’exécution, les applications déployées à l’intérieur de ceux-ci et les images à partir desquelles vous créez de nouvelles machines. Suivez les communications de notification des correctifs de votre fournisseur et appliquez les correctifs en temps voulu. Nous vous recommandons de mettre à jour vos images de base mensuellement pour vous assurer que les machines nouvellement déployées sont aussi sécurisées que possible.
Établir des stratégies d’inactivité et de déconnexion maximales
La déconnexion des utilisateurs lorsqu’ils sont inactifs préserve les ressources et empêche l’accès des utilisateurs non autorisés. Nous recommandons que les délais d’expiration équilibrent la productivité des utilisateurs et l’utilisation des ressources. Pour les utilisateurs qui interagissent avec des applications sans état, envisagez des stratégies plus agressives qui désactivent les machines et préservent les ressources. La déconnexion des applications de longue durée qui continuent de s’exécuter si un utilisateur est inactif, comme une simulation ou un rendu CAO, peut interrompre le travail de l’utilisateur et peut même nécessiter un redémarrage de l’ordinateur.
Configurer des verrous d’écran pour les sessions inactives
Vous pouvez empêcher l’accès indésirable au système en configurant Azure Virtual Desktop pour verrouiller l’écran d’une machine pendant le temps d’inactivité et en exigeant une authentification pour le déverrouiller.
Établir un accès administrateur hiérarchisé
Nous vous recommandons de ne pas accorder à vos utilisateurs l’accès administrateur aux bureaux virtuels. Si vous avez besoin de packages logiciels, nous vous recommandons de les rendre disponibles via des utilitaires de gestion de la configuration tels que Microsoft Intune. Dans un environnement multisession, nous vous recommandons de ne pas laisser les utilisateurs installer des logiciels directement.
Tenir compte des utilisateurs qui doivent accéder aux ressources appropriées
Considérez les hôtes de session comme une extension de votre déploiement de bureau existant. Nous vous recommandons de contrôler l’accès aux ressources réseau de la même façon que pour d’autres bureaux de votre environnement, par exemple en utilisant la segmentation et le filtrage réseau. Par défaut, les hôtes de session peuvent se connecter à n’importe quelle ressource sur Internet. Il existe plusieurs façons de limiter le trafic, notamment l’utilisation de Pare-feu Azure, d’appliances virtuelles réseau ou de proxys. Si vous devez limiter le trafic, veillez à ajouter les règles appropriées afin qu’Azure Virtual Desktop puisse fonctionner correctement.
Gérer la sécurité des applications Microsoft 365
En plus de sécuriser vos hôtes de session, il est important de sécuriser les applications qui s’y exécutent. Les applications Microsoft 365 font partie des applications les plus courantes déployées dans les hôtes de session. Pour améliorer la sécurité du déploiement de Microsoft 365, nous vous recommandons d’utiliser l’Assistant Stratégie de sécurité pour Applications Microsoft 365 pour les grandes entreprises. Cet outil identifie les stratégies que vous pouvez appliquer à votre déploiement pour plus de sécurité. Le Conseiller en stratégie de sécurité recommande également des stratégies en fonction de leur impact sur votre sécurité et votre productivité.
Sécurité des profils utilisateur
Les profils utilisateur peuvent contenir des informations sensibles. Vous devez restreindre qui a accès aux profils utilisateur et aux méthodes d’accès à ceux-ci, en particulier si vous utilisez FSLogix Profile Container pour stocker des profils utilisateur dans un fichier de disque dur virtuel sur un partage SMB. Vous devez suivre les recommandations de sécurité pour le fournisseur de votre partage SMB. Par exemple, si vous utilisez Azure Files pour stocker ces fichiers de disque dur virtuel, vous pouvez utiliser des points de terminaison privés pour les rendre accessibles uniquement au sein d’un réseau virtuel Azure.
Autres conseils de sécurité pour les hôtes de session
En limitant les fonctionnalités du système d’exploitation, vous pouvez renforcer la sécurité de vos hôtes de session. Voici quelques opérations que vous pouvez effectuer :
Contrôlez la redirection des appareils en redirigeant les lecteurs, les imprimantes et les périphériques USB vers l’appareil local d’un utilisateur dans une session Bureau à distance. Nous vous recommandons d’évaluer vos exigences de sécurité et de case activée si ces fonctionnalités doivent être désactivées ou non.
Limitez l’accès Explorer Windows en masquant les mappages de lecteurs locaux et distants. Cela empêche les utilisateurs de découvrir des informations indésirables sur la configuration du système et les utilisateurs.
Évitez l’accès RDP direct aux hôtes de session dans votre environnement. Si vous avez besoin d’un accès RDP direct pour l’administration ou la résolution des problèmes, activez l’accès juste-à-temps pour limiter la surface d’attaque potentielle sur un hôte de session.
Accordez aux utilisateurs des autorisations limitées lorsqu’ils accèdent aux systèmes de fichiers locaux et distants. Vous pouvez restreindre les autorisations en vous assurant que vos systèmes de fichiers locaux et distants utilisent des listes de contrôle d’accès avec des privilèges minimum. De cette façon, les utilisateurs peuvent uniquement accéder à ce dont ils ont besoin et ne peuvent pas modifier ou supprimer des ressources critiques.
Empêcher l’exécution de logiciels indésirables sur les hôtes de session. RemoteApp n’est pas une fonctionnalité de sécurité et son utilisation n’empêche pas le lancement d’applications au-delà de celles publiées dans un groupe d’applications. Pour vous assurer que seules les applications que vous autorisez peuvent s’exécuter sur un hôte de session, vous pouvez utiliser des fonctionnalités Contrôle d’application pour Windows telles que App Control ou AppLocker.
Lancement approuvé
Les lancements approuvés sont des machines virtuelles Azure avec des fonctionnalités de sécurité renforcée destinées à se protéger contre les techniques d’attaque persistantes telles que les menaces de fond de la pile via des vecteurs d’attaque tels que les rootkits, les kits de démarrage et les programmes malveillants au niveau du noyau. Il permet un déploiement sécurisé de machines virtuelles avec des chargeurs de démarrage vérifiés, des noyaux de système d’exploitation et des pilotes, et protège également les clés, les certificats et les secrets dans les machines virtuelles. Pour en savoir plus sur le lancement approuvé, consultez Lancement approuvé pour les machines virtuelles Azure.
Lorsque vous ajoutez des hôtes de session à l’aide de la Portail Azure, le type de sécurité par défaut est Machines virtuelles de confiance. Cela garantit que votre machine virtuelle répond aux exigences obligatoires pour Windows 11. Pour plus d’informations sur ces exigences, consultez Prise en charge des machines virtuelles.
Machines virtuelles d’informatique confidentielle Azure
La prise en charge d’Azure Virtual Desktop pour les machines virtuelles d’informatique confidentielle Azure garantit que le bureau virtuel d’un utilisateur est chiffré en mémoire, protégé en cours d’utilisation et soutenu par une racine matérielle de confiance.
Le déploiement de machines virtuelles confidentielles avec Azure Virtual Desktop permet aux utilisateurs d’accéder à Microsoft 365 et à d’autres applications sur des hôtes de session qui utilisent l’isolation matérielle, ce qui renforce l’isolation par rapport aux autres machines virtuelles, à l’hyperviseur et au système d’exploitation hôte. Les clés de chiffrement de mémoire sont générées et protégées par un processeur sécurisé dédié à l’intérieur du processeur qui ne peut pas être lu à partir du logiciel. Pour plus d’informations, notamment les tailles de machine virtuelle disponibles, consultez vue d’ensemble de l’informatique confidentielle Azure.
Les systèmes d’exploitation suivants sont pris en charge pour une utilisation en tant qu’hôtes de session avec des machines virtuelles confidentielles sur Azure Virtual Desktop, pour les versions qui sont prises en charge active. Pour connaître les dates de support, consultez Politique de cycle de vie Microsoft.
- Windows 11 Entreprise
- Multisession Windows 11 Entreprise
- Windows 10 Entreprise
- Windows 10 Entreprise à sessions multiples
- Windows Server 2022
- Windows Server 2019
Vous pouvez créer des hôtes de session à l’aide de machines virtuelles confidentielles lorsque vous déployez Azure Virtual Desktop ou ajoutez des hôtes de session à un pool d’hôtes.
Chiffrement de disque du système d’exploitation
Le chiffrement du disque du système d’exploitation est une couche supplémentaire de chiffrement qui lie les clés de chiffrement de disque au module de plateforme sécurisée (TPM) de la machine virtuelle de calcul confidentiel. Ce chiffrement rend le contenu du disque accessible uniquement à la machine virtuelle. La surveillance de l’intégrité permet l’attestation de chiffrement et la vérification de l’intégrité du démarrage de la machine virtuelle et les alertes de surveillance si la machine virtuelle n’a pas démarré car l’attestation a échoué avec la base de référence définie. Pour plus d’informations sur la surveillance de l’intégrité, consultez Microsoft Defender pour l’intégration cloud. Vous pouvez activer le chiffrement du calcul confidentiel lorsque vous créez des hôtes de session à l’aide de machines virtuelles confidentielles lorsque vous créez un pool d’hôtes ou ajoutez des hôtes de session à un pool d’hôtes.
Démarrage sécurisé
Le démarrage sécurisé est un mode pris en charge par le microprogramme de plateforme qui protège votre microprogramme contre les rootkits et les kits de démarrage basés sur des programmes malveillants. Ce mode autorise uniquement le démarrage des pilotes et des systèmes d’exploitation signés.
Surveiller l’intégrité du démarrage à l’aide de l’attestation à distance
L’attestation à distance est un excellent moyen de case activée l’intégrité de vos machines virtuelles. L’attestation distante vérifie que les enregistrements de démarrage mesuré sont présents, authentiques et proviennent du module vTPM (Virtual Trusted Platform Module). En tant que case activée d’intégrité, il fournit la certitude de chiffrement qu’une plateforme a démarré correctement.
vTPM
Un vTPM est une version virtualisée d’un module de plateforme sécurisée (TPM) matériel, avec un instance virtuel d’un TPM par machine virtuelle. vTPM permet l’attestation à distance en effectuant une mesure d’intégrité de l’ensemble de la chaîne de démarrage de la machine virtuelle (UEFI, système d’exploitation, système et pilotes).
Nous vous recommandons d’activer vTPM pour utiliser l’attestation à distance sur vos machines virtuelles. Avec vTPM activé, vous pouvez également activer la fonctionnalité BitLocker avec Azure Disk Encryption, qui fournit un chiffrement de volume complet pour protéger les données au repos. Toutes les fonctionnalités utilisant vTPM entraînent des secrets liés à la machine virtuelle spécifique. Lorsque les utilisateurs se connectent au service Azure Virtual Desktop dans un scénario mis en pool, les utilisateurs peuvent être redirigés vers n’importe quelle machine virtuelle du pool d’hôtes. Selon la façon dont la fonctionnalité est conçue, cela peut avoir un impact.
Remarque
BitLocker ne doit pas être utilisé pour chiffrer le disque spécifique sur lequel vous stockez vos données de profil FSLogix.
Sécurité basée sur la virtualisation
La sécurité basée sur la virtualisation (VBS) utilise l’hyperviseur pour créer et isoler une région sécurisée de mémoire inaccessible au système d’exploitation. Hypervisor-Protected l’intégrité du code (HVCI) et Windows Defender Credential Guard utilisent tous deux VBS pour fournir une protection accrue contre les vulnérabilités.
intégrité du code Hypervisor-Protected
HVCI est une puissante atténuation système qui utilise VBS pour protéger les processus en mode noyau Windows contre l’injection et l’exécution de code malveillant ou non vérifié.
Windows Defender Credential Guard
Activez Windows Defender Credential Guard. Windows Defender Credential Guard utilise VBS pour isoler et protéger les secrets afin que seuls les logiciels système privilégiés puissent y accéder. Cela empêche l’accès non autorisé à ces secrets et les attaques de vol d’informations d’identification, telles que les attaques Pass-the-Hash. Pour plus d’informations, consultez Vue d’ensemble de Credential Guard.
Windows Defender Application Control
Activez le contrôle d’application Windows Defender. Windows Defender Application Control est conçu pour protéger les appareils contre les programmes malveillants et autres logiciels non approuvés. Il empêche l’exécution de code malveillant en garantissant que seul le code approuvé, que vous connaissez, peut être exécuté. Pour plus d’informations, consultez Contrôle d’application pour Windows.
Remarque
Lorsque vous utilisez Windows Defender Access Control, nous vous recommandons de cibler uniquement les stratégies au niveau de l’appareil. Bien qu’il soit possible de cibler des stratégies sur des utilisateurs individuels, une fois la stratégie appliquée, elle affecte tous les utilisateurs de l’appareil de la même manière.
Windows Update
Tenez vos hôtes de session à jour avec les mises à jour de Windows Update. Windows Update offre un moyen sécurisé de maintenir à jour vos appareils. Sa protection de bout en bout empêche la manipulation des échanges de protocole et garantit que les mises à jour incluent uniquement du contenu approuvé. Vous devrez peut-être mettre à jour les règles de pare-feu et de proxy pour certains de vos environnements protégés afin d’obtenir un accès approprié à Windows Mises à jour. Pour plus d’informations, consultez Windows Update sécurité.
Client Bureau à distance et mises à jour sur d’autres plateformes de système d’exploitation
Les mises à jour logicielles des clients Bureau à distance que vous pouvez utiliser pour accéder aux services Azure Virtual Desktop sur d’autres plateformes de système d’exploitation sont sécurisées en fonction des stratégies de sécurité de leurs plateformes respectives. Toutes les mises à jour du client sont fournies directement par leurs plateformes. Pour plus d’informations, consultez les pages de magasin respectives pour chaque application :