Sécuriser les hôtes de session et les applications

Effectué

Les clients peuvent prendre plusieurs actions et utiliser plusieurs outils pour sécuriser leur déploiement de Azure Virtual Desktop. Le tableau suivant répertorie des suggestions testées pour sécuriser votre déploiement Azure Virtual Desktop.

Meilleure pratique Résultat
Activez Microsoft Defender pour le Cloud pour ses fonctions de gestion de la posture de sécurité cloud (CSPM). Utilisez la fonctionnalité CSPM du score de sécurité pour améliorer votre sécurité globale.
Exiger l’authentification multifacteur Améliorez l’authentification des utilisateurs.
Activer l’accès conditionnel Gérez les risques avant d’octroyer l’accès aux utilisateurs.
Collecter les journaux d’audit Examinez l’activité des utilisateurs et des administrateurs.
Utiliser RemoteApp Terminal Services Réduisez les risques en laissant l’utilisateur travailler uniquement avec un sous-ensemble de l’ordinateur distant exposé.
Surveiller l’utilisation avec l’Azure Monitor Créez des alertes d’état du service pour recevoir des notifications pour le service Azure Virtual Desktop.
Activer la protection des points de terminaison Protégez votre déploiement contre les programmes malveillants connus.
Installer un produit de détection de point de terminaison et de réponse (PEPT) Utilisez les services PEPT pour fournir des fonctionnalités avancées de détection et de réponse.
Activer l’évaluation de la gestion des menaces et des vulnérabilités Aidez à identifier les zones de problème à travers les évaluations des vulnérabilités pour les systèmes d’exploitation serveur.
Corriger des vulnérabilités logicielles au niveau de votre environnement Lorsqu’une vulnérabilité est identifiée, en local ou dans un environnement virtuel, vous devez la résoudre.
Établir des stratégies d’inactivité et de déconnexion maximales Dé connectez des utilisateurs lorsqu’ils sont inactifs afin de conserver les ressources et d’empêcher tout accès non autorisé.
Écran de configuration verrouillé pour les sessions inactives Empêchez tout accès système indésirable en configurant Azure Virtual Desktop pour verrouiller l’écran d’un ordinateur pendant un temps d’inactivité et en exigeant une authentification pour le déverrouiller.
N’accordez pas à vos utilisateurs l’accès aux ordinateurs de bureau virtuels Gérez les packages logiciels à l’aide de Gestionnaire de configuration.
Tenir compte des utilisateurs qui doivent accéder aux ressources appropriées Limiter la connexion hôte aux ressources Internet.
Restreindre les fonctionnalités du système d’exploitation Renforcez la sécurité de vos hôtes de session.
Dans les pools d’hôtes de Azure Virtual Desktop, limiter la redirection des appareils sous les propriétés des sites de projet de projet Évitez les fuites de données via les stratégies de protection contre la perte de données.

Activer la protection des points de terminaison à l’aide de Microsoft Defender pour point de terminaison

Pour sécuriser les points de terminaison d’une entreprise, nous vous recommandons de configurer Microsoft Defender pour point de terminaison. Il était auparavant appelé Windows Defender pour point de terminaison. Microsoft Defender pour point de terminaison est généralement utilisé en local, mais il peut également être utilisé dans un environnement VDI (Virtual Desktop Infrastructure).

Pour déployer Microsoft Defender pour point de terminaison sur vos ordinateurs virtuels Azure Virtual Desktop, inscrivez-les dans Microsoft Defender pour le cloud. Defender pour le cloud fournit une licence dans le cadre de son offre standard.

Vous devez également utiliser la mise en service automatique. Les paramètres d’approvisionnement automatique dans Defender pour le cloud ont une bascule pour chaque type d’extension prise en charge. Lorsque vous activez la mise en service automatique d’une extension, vous affectez la stratégie DeployIfNotExists appropriée pour vous assurer que l’extension est mise en service sur toutes les ressources existantes et futures de ce type.

Remarque

Activer la mise en service automatique de l’agent Log Analytics. Lorsque l’approvisionnement automatique est activé pour l’agent Log Analytics, Defender pour le cloud déploie l’agent sur toutes les machines virtuelles Azure et toutes les nouvelles machines créées.

Intégration de Microsoft Endpoint Manager à Microsoft Intune

Microsoft 365 inclut la prise en charge du Centre d’administration Microsoft Endpoint Manager et de Microsoft Endpoint Configuration Manager.

Vous pouvez utiliser Microsoft Intune pour créer et vérifier la conformité. Vous pouvez également l’utiliser pour déployer des applications, des fonctionnalités et des paramètres sur vos appareils qui utilisent Azure.

Microsoft Intune est intégré à l’ID Microsoft Entra pour l’authentification et l’autorisation. Il est également intégré à Azure Information Protection pour la protection des données. Vous pouvez utiliser Microsoft Intune avec la suite de produits Microsoft 365.

Le tableau suivant décrit certaines des fonctionnalités principales de Microsoft Intune.

Les fonctionnalités Description
Gestion des périphériques Les appareils inscrits appartient à l’utilisateur et à l’organisation dans Microsoft Intune reçoivent des règles et des paramètres via les stratégies que vous configurez pour correspondre aux stratégies de sécurité de votre organisation.
Gestion des applications La gestion des applications mobiles dans Microsoft Intune permet de gérer les applications sur les appareils de l’organisation et les appareils personnels.
Conformité et accès conditionnel Intune s’intègre à l’ID Microsoft Entra pour permettre un large éventail de scénarios de contrôle d’accès.

Le contrôle d’application passe d’un modèle de gestion de la confiance d’application qui part de l’hypothèse que toutes les applications sont fiables. Le nouveau modèle exige que les applications gagnent en confiance avant qu’elles ne s’exécutent. Windows 10 inclut deux technologies pour le contrôle d’application : Windows Defender Application Control et AppLocker.

Windows Defender Application Control

Windows 10 a introduit Le contrôle d’application Windows Defender. Les organisations peuvent utiliser cette fonctionnalité pour contrôler les pilotes et applications qui peuvent s’exécuter sur leurs clients Windows 10.

Initialement, dans Windows 10, le contrôle d’application Windows Defender était appelé intégrité du code configurable. L’intégrité du code configurable n’exécute aucune configuration matérielle ou logicielle spécifique autre que l’exécution de Windows 10. C'était également l'une des fonctionnalités qui contenaient le Device Guard, désormais disparu.

AppLocker

Nous vous recommandons d’utiliser AppLocker dans le cadre de votre stratégie globale de contrôle des applications. Elle permet aux applications prédéfines de s’exécuter sur vos systèmes.

Les règles de restriction des stratégies de contrôle AppLocker sont basées sur les :

  • Attributs de fichier tels que la signature numérique
  • Nom du produit
  • Nom de fichier
  • Version du fichier

Les règles par défaut bloquent de nombreux scripts, packages Windows Installer et fichiers exécutables.

AppLocker inclut des règles par défaut pour chaque collection de règles pour garantir que les fichiers nécessaires au bon fonctionnement de Windows sont autorisés dans une collection de règles AppLocker. Les règles par défaut permettent également aux membres du groupe Administrateurs locaux d’exécuter tous les fichiers Windows Installer. Les règles par défaut sont :

  • Autoriser les membres du groupe Tout le monde à exécuter des fichiers Windows Installer signés numériquement.
  • Autorisez les membres du groupe Tout le monde à exécuter tous les fichiers Windows Installer situés dans le dossier Windows\Installer.
  • Autoriser les membres du groupe Administrateurs local à exécuter tous les scripts.

Une collection de règles AppLocker fonctionne comme une liste de fichiers autorisée. Seuls les fichiers répertoriés dans la collection de règles peuvent être exécutés. Cette configuration permet de déterminer plus facilement ce qui se produit lors de l’application d’une règle AppLocker. Comme AppLocker fonctionne comme une liste autorisée par défaut, si aucune règle n’autorise ou refuse explicitement l’exécution d’un fichier, l’action de refus par défaut d’AppLocker bloque le fichier.