Raccomandazioni sulla sicurezza per Desktop virtuale Azure
Desktop virtuale Azure è un servizio desktop virtuale gestito che include molte funzionalità di sicurezza per garantire la sicurezza dell'organizzazione. L'architettura di Desktop virtuale Azure comprende molti componenti che costituiscono il servizio che connette gli utenti ai desktop e alle app.
Desktop virtuale Azure include molte funzionalità di sicurezza avanzate predefinite, ad esempio reverse Connessione in cui non è necessario aprire porte di rete in ingresso, riducendo così il rischio di avere desktop remoti accessibili da qualsiasi posizione. Il servizio trae vantaggio anche da molte altre funzionalità di sicurezza di Azure, ad esempio l'autenticazione a più fattori e l'accesso condizionale. Questo articolo descrive i passaggi che è possibile eseguire come amministratore per proteggere le distribuzioni di Desktop virtuale Azure, indipendentemente dal fatto che si forniscano desktop e app agli utenti dell'organizzazione o agli utenti esterni.
Responsabilità condivise della sicurezza
Prima di Desktop virtuale Azure, le soluzioni di virtualizzazione locali come Servizi Desktop remoto richiedono la concessione agli utenti dell'accesso a ruoli come Gateway, Broker, Accesso Web e così via. Questi ruoli devono essere completamente ridondanti e in grado di gestire la capacità massima. Amministrazione istrator installerebbe questi ruoli come parte del sistema operativo Windows Server e doveva essere aggiunto a un dominio con porte specifiche accessibili alle connessioni pubbliche. Per garantire la sicurezza delle distribuzioni, gli amministratori hanno dovuto assicurarsi costantemente che tutti gli elementi dell'infrastruttura siano stati mantenuti e aggiornati.
Nella maggior parte dei servizi cloud, tuttavia, esiste un set condiviso di responsabilità di sicurezza tra Microsoft e il cliente o il partner. Per Desktop virtuale Azure, la maggior parte dei componenti è gestita da Microsoft, ma gli host di sessione e alcuni servizi e componenti di supporto sono gestiti dal cliente o gestiti dai partner. Per altre informazioni sui componenti gestiti da Microsoft di Desktop virtuale Azure, vedere Architettura e resilienza del servizio Desktop virtuale Azure.
Anche se alcuni componenti sono già protetti per l'ambiente, è necessario configurare altre aree per soddisfare le esigenze di sicurezza dell'organizzazione o del cliente. Ecco i componenti di cui si è responsabili della sicurezza nella distribuzione di Desktop virtuale Azure:
| Componente | Responsabilità |
|---|---|
| Identità | Cliente o partner |
| Dispositivi utente (dispositivo mobile e PC) | Cliente o partner |
| Sicurezza delle app | Cliente o partner |
| Sistema operativo host sessione | Cliente o partner |
| Configurazione della distribuzione | Cliente o partner |
| Controlli di rete | Cliente o partner |
| Piano di controllo della virtualizzazione | Microsoft |
| Host fisici | Microsoft |
| Rete fisica | Microsoft |
| Data center fisico | Microsoft |
Limiti di sicurezza
I limiti di sicurezza separano il codice e i dati dei domini di sicurezza con livelli di attendibilità diversi. Ad esempio, esiste in genere un limite di sicurezza tra la modalità kernel e la modalità utente. La maggior parte dei software e dei servizi Microsoft dipende da più limiti di sicurezza per isolare i dispositivi su reti, macchine virtuali e applicazioni nei dispositivi. La tabella seguente elenca ogni limite di sicurezza per Windows e le operazioni eseguite per la sicurezza complessiva.
| Limite di sicurezza | Descrizione |
|---|---|
| Limite di rete | Un endpoint di rete non autorizzato non può accedere o manomettere il codice e i dati nel dispositivo di un cliente. |
| Limite del kernel | Un processo in modalità utente non amministrativa non può accedere o manomettere il codice e i dati del kernel. Amministrazione istrator-to-kernel non è un limite di sicurezza. |
| Limite del processo | Un processo in modalità utente non autorizzato non può accedere o manomettere il codice e i dati di un altro processo. |
| Limite sandbox AppContainer | Un processo sandbox basato su AppContainer non può accedere o manomettere il codice e i dati all'esterno della sandbox in base alle funzionalità del contenitore. |
| Limite utente | Un utente non può accedere o manomettere il codice e i dati di un altro utente senza essere autorizzati. |
| Limite sessione | Una sessione utente non può accedere o manomettere un'altra sessione utente senza essere autorizzata. |
| Limite del Web browser | Un sito Web non autorizzato non può violare i criteri di stessa origine, né può accedere o manomettere il codice nativo e i dati della sandbox del Web browser Microsoft Edge. |
| Limite della macchina virtuale | Una macchina virtuale guest Hyper-V non autorizzata non può accedere o manomettere il codice e i dati di un'altra macchina virtuale guest; sono inclusi i contenitori isolati di Hyper-V. |
| Limite della modalità sicura virtuale (VSM) | Il codice in esecuzione all'esterno del processo attendibile o dell'enclave vsm non può accedere o manomettere i dati e il codice all'interno del processo attendibile. |
Limiti di sicurezza consigliati per gli scenari di Desktop virtuale Azure
È anche necessario effettuare alcune scelte sui limiti di sicurezza caso per caso. Ad esempio, se un utente dell'organizzazione richiede privilegi di amministratore locale per installare le app, è necessario assegnargli un desktop personale anziché un host di sessione condiviso. Non è consigliabile concedere agli utenti privilegi di amministratore locale in scenari in pool multisessione perché questi utenti possono superare i limiti di sicurezza per sessioni o autorizzazioni di dati NTFS, arrestare le macchine virtuali multisessione o eseguire altre operazioni che potrebbero interrompere il servizio o causare perdite di dati.
Gli utenti della stessa organizzazione, come i knowledge worker con app che non richiedono privilegi di amministratore, sono ottimi candidati per gli host di sessioni multisessione come Windows 11 Enterprise multisessione. Questi host di sessione riducono i costi per l'organizzazione perché più utenti possono condividere una singola macchina virtuale, con solo i costi generali di una macchina virtuale per utente. Con i prodotti di gestione dei profili utente come FSLogix, gli utenti possono essere assegnati a qualsiasi macchina virtuale in un pool di host senza notare interruzioni del servizio. Questa funzionalità consente anche di ottimizzare i costi eseguendo operazioni come l'arresto delle macchine virtuali durante le ore di minore attività.
Se la situazione richiede agli utenti di organizzazioni diverse di connettersi alla distribuzione, è consigliabile disporre di un tenant separato per i servizi di gestione delle identità, ad esempio Active Directory e Microsoft Entra ID. È anche consigliabile avere una sottoscrizione separata per gli utenti per l'hosting di risorse di Azure, ad esempio Desktop virtuale Azure e macchine virtuali.
In molti casi, l'uso di più sessioni è un modo accettabile per ridurre i costi, ma se è consigliabile dipende dal livello di attendibilità tra gli utenti con accesso simultaneo a un'istanza condivisa di più sessioni. In genere, gli utenti che appartengono alla stessa organizzazione hanno una relazione di trust sufficiente e concordata. Ad esempio, un reparto o un gruppo di lavoro in cui le persone collaborano e possono accedere alle informazioni personali dell'altro è un'organizzazione con un livello di attendibilità elevato.
Windows usa i limiti di sicurezza e i controlli per garantire che i processi e i dati degli utenti siano isolati tra le sessioni. Tuttavia, Windows fornisce ancora l'accesso all'istanza su cui l'utente sta lavorando.
Le distribuzioni multisessione traggono vantaggio da una strategia di sicurezza approfondita che aggiunge più limiti di sicurezza che impediscono agli utenti all'interno e all'esterno dell'organizzazione di ottenere l'accesso non autorizzato alle informazioni personali di altri utenti. L'accesso non autorizzato ai dati si verifica a causa di un errore nel processo di configurazione da parte dell'amministratore di sistema, ad esempio una vulnerabilità di sicurezza non divulgata o una vulnerabilità nota che non è ancora stata applicata tramite patch.
Non è consigliabile concedere agli utenti che lavorano per aziende diverse o concorrenti l'accesso allo stesso ambiente multisessione. Questi scenari hanno diversi limiti di sicurezza che possono essere attaccati o usati in modo improprio, ad esempio rete, kernel, processo, utente o sessioni. Una singola vulnerabilità di sicurezza può causare dati e furti di credenziali non autorizzati, perdite di informazioni personali, furti di identità e altri problemi. I provider di ambienti virtualizzati sono responsabili dell'offerta di sistemi ben progettati con più limiti di sicurezza sicuri e funzionalità di sicurezza aggiuntive abilitate laddove possibile.
La riduzione di queste potenziali minacce richiede una configurazione a prova di errore, un processo di progettazione della gestione delle patch e pianificazioni regolari della distribuzione delle patch. È preferibile seguire i principi di difesa in profondità e mantenere separati gli ambienti.
La tabella seguente riepiloga le raccomandazioni per ogni scenario.
| Scenario a livello di attendibilità | Soluzione consigliata |
|---|---|
| Utenti di un'organizzazione con privilegi standard | Usare un sistema operativo Windows Enterprise multisessione. |
| Gli utenti richiedono privilegi amministrativi | Usare un pool di host personale e assegnare a ogni utente il proprio host di sessione. |
| Utenti di organizzazioni diverse che si connettono | Separare il tenant di Azure e la sottoscrizione di Azure |
Procedure consigliate per la sicurezza di Azure
Desktop virtuale Azure è un servizio in Azure. Per ottimizzare la sicurezza della distribuzione di Desktop virtuale Azure, è necessario assicurarsi di proteggere anche l'infrastruttura e il piano di gestione di Azure circostanti. Per proteggere l'infrastruttura, prendere in considerazione il modo in cui Desktop virtuale Azure rientra nell'ecosistema di Azure più ampio. Per altre informazioni sull'ecosistema di Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.
Il panorama delle minacce di oggi richiede progetti con approcci alla sicurezza in mente. Idealmente, è consigliabile creare una serie di meccanismi di sicurezza e controlli su più livelli in tutta la rete del computer per proteggere i dati e la rete da essere compromessi o attaccati. Questo tipo di progettazione della sicurezza è ciò che il Stati Uniti Cybersecurity and Infrastructure Security Agency (CISA) chiama difesa in profondità.
Le sezioni seguenti contengono raccomandazioni per la protezione di una distribuzione di Desktop virtuale Azure.
Abilitare Microsoft Defender for Cloud
È consigliabile abilitare le funzionalità di sicurezza avanzate di Microsoft Defender per il cloud per:
- Gestire le vulnerabilità.
- Valutare la conformità ai framework comuni, ad esempio dal PCI Security Standards Council.
- Rafforzare la protezione complessiva dell'ambiente.
Per altre informazioni, vedere Abilitare le funzionalità di sicurezza avanzate.
Migliorare il punteggio di sicurezza
Il Punteggio di sicurezza fornisce raccomandazioni e consigli sulle procedure consigliate per migliorare la sicurezza complessiva. Queste raccomandazioni sono classificate in ordine di priorità per facilitare la scelta di quelle più importanti e le opzioni di correzione rapida consentono di risolvere rapidamente le potenziali vulnerabilità. Inoltre, queste raccomandazioni vengono aggiornate nel tempo, mantenendo aggiornati i modi migliori per gestire la sicurezza dell'ambiente. Per altre informazioni, vedere Migliorare il punteggio di sicurezza in Microsoft Defender per il cloud.
Richiedere l'autenticazione a più fattori
La richiesta di autenticazione a più fattori per tutti gli utenti e gli amministratori in Desktop virtuale Azure migliora la sicurezza dell'intera distribuzione. Per altre informazioni, vedere Abilitare l'autenticazione a più fattori Di Microsoft Entra per Desktop virtuale Azure.
Abilitare l'accesso condizionale
L'abilitazione dell'accesso condizionale consente di gestire i rischi prima di concedere agli utenti l'accesso all'ambiente Desktop virtuale Azure. Quando si decide a quali utenti concedere l'accesso, è consigliabile considerare anche chi è l'utente, il modo in cui accede e il dispositivo in uso.
Raccogliere log di controllo
L'abilitazione della raccolta dei log di controllo consente di visualizzare le attività utente e amministrative correlate a Desktop virtuale Azure. Ecco alcuni esempi di log di controllo principali:
- Log attività di Azure
- Log attività di Microsoft Entra
- Microsoft Entra ID
- Host sessione
- Log di insiemi di credenziali delle chiavi
Usare RemoteApp
Quando si sceglie un modello di distribuzione, è possibile fornire agli utenti remoti l'accesso a interi desktop o selezionare solo le applicazioni quando vengono pubblicate come RemoteApp. RemoteApp offre un'esperienza senza problemi quando l'utente lavora con le app dal desktop virtuale. RemoteApp riduce il rischio consentendo all'utente di lavorare con un subset del computer remoto esposto dall'applicazione.
Monitorare l'uso con Monitoraggio di Azure
Monitorare l'utilizzo e la disponibilità del servizio Desktop virtuale Azure con Monitoraggio di Azure. Prendere in considerazione la creazione di avvisi di integrità dei servizi per il servizio Desktop virtuale Azure per ricevere notifiche ogni volta che si verifica un evento che influisce sul servizio.
Crittografare gli host di sessione
Crittografare gli host di sessione con opzioni di crittografia del disco gestito per proteggere i dati archiviati da accessi non autorizzati.
Procedure consigliate per la sicurezza dell'host di sessione
Gli host di sessione sono macchine virtuali che vengono eseguite all'interno di una sottoscrizione di Azure e di una rete virtuale. La sicurezza complessiva della distribuzione di Desktop virtuale Azure dipende dai controlli di sicurezza inseriti negli host di sessione. Questa sezione descrive le procedure consigliate per proteggere gli host di sessione.
Abilitare Endpoint Protection
Per proteggere la distribuzione da software dannosi noti, è consigliabile abilitare la protezione dell'endpoint in tutti gli host di sessione. È possibile usare Windows Defender antivirus o un programma di terze parti. Per altre informazioni, vedere Guida alla distribuzione per Windows Defender Antivirus in un ambiente VDI.
Per soluzioni di profilo come FSLogix o altre soluzioni che montano i file del disco rigido virtuale, è consigliabile escludere tali estensioni di file.
Installare un prodotto di rilevamento di endpoint e risposta
È consigliabile installare un prodotto di rilevamento di endpoint e risposta (EDR) per fornire funzionalità avanzate di rilevamento e risposta. Per i sistemi operativi server con Microsoft Defender per il cloud abilitato, l'installazione di un prodotto EDR distribuirà Microsoft Defender per endpoint. Per i sistemi operativi client, è possibile distribuire Microsoft Defender per endpoint o un prodotto di terze parti in tali endpoint.
Abilitare le valutazioni della gestione delle minacce e delle vulnerabilità
Identificare le vulnerabilità software presenti nei sistemi operativi e nelle applicazioni è essenziale per garantire la protezione dell'ambiente. Microsoft Defender per il cloud consente di identificare le aree problematiche tramite la soluzione di gestione di minacce e vulnerabilità Microsoft Defender per endpoint. È anche possibile usare prodotti di terze parti se si è così propensi, anche se è consigliabile usare Microsoft Defender per il cloud e Microsoft Defender per endpoint.
Applicare patch alle vulnerabilità nel proprio ambiente
Una volta identificata una vulnerabilità, è necessario applicarvi una patch. Questo vale anche per gli ambienti virtuali, inclusi i sistemi operativi in esecuzione, le applicazioni distribuite all'interno di essi e le immagini da cui vengono creati nuovi computer. Seguire le comunicazioni delle notifiche sulle patch del fornitore e applicare le patch in maniera tempestiva. Si consiglia di applicare le patch alle immagini di base mensilmente per assicurarsi che i computer appena distribuiti siano più protetti possibile.
Stabilire il tempo massimo di inattività e i criteri di disconnessione
La disconnessione degli utenti quando sono inattivi mantiene le risorse e impedisce l'accesso da parte di utenti non autorizzati. È consigliabile che i timeout bilancino la produttività degli utenti e l'uso delle risorse. Per gli utenti che interagiscono con le applicazioni senza stato, prendere in considerazione criteri più aggressivi che spengano i computer e mantengano le risorse. Disconnettere le applicazioni a esecuzione prolungata che continuano a essere eseguite se un utente è inattivo, ad esempio una simulazione o un rendering CAD, può interrompere il lavoro dell'utente e potrebbe anche richiedere il riavvio del computer.
Configurare i blocchi schermo per le sessioni inattive
È possibile impedire l'accesso al sistema indesiderato configurando Desktop virtuale Azure per bloccare la schermata di un computer durante il tempo di inattività e richiedendo l'autenticazione per sbloccarla.
Stabilire l'accesso amministratore a livelli
Si consiglia di non concedere all'amministratore degli utenti l'accesso ai desktop virtuali. Se sono necessari pacchetti software, è consigliabile renderli disponibili tramite utilità di gestione della configurazione come Microsoft Intune. In un ambiente multisessione, è consigliabile non consentire agli utenti di installare direttamente il software.
Considerare quali utenti hanno accesso a quali risorse
Considerare gli host di sessione come un'estensione della distribuzione desktop esistente. Si consiglia di controllare l'accesso alle risorse di rete in modo analogo ad altri desktop nell'ambiente, ad esempio usando la segmentazione e il filtro di rete. Per impostazione predefinita, gli host di sessione possono connettersi a qualsiasi risorsa in Internet. Esistono diversi modi per limitare il traffico, tra cui l'uso del Firewall di Azure, di appliance virtuali di rete o di proxy. Se è necessario limitare il traffico, assicurarsi di aggiungere le regole appropriate in modo che Desktop virtuale Azure possa funzionare correttamente.
Gestire la sicurezza delle app di Microsoft 365
Oltre a proteggere gli host di sessione, è importante proteggere anche le applicazioni in esecuzione all'interno di essi. Le app di Microsoft 365 sono alcune delle applicazioni più comuni distribuite negli host sessione. Per migliorare la sicurezza della distribuzione di Microsoft 365, è consigliabile usare Security Policy Advisor per Microsoft 365 Apps for enterprise. Questo strumento identifica i criteri che è possibile applicare alla distribuzione per una maggiore sicurezza. L'Assistente criteri di sicurezza consiglia inoltre i criteri in base al loro impatto sulla sicurezza e la produttività.
Sicurezza del profilo utente
I profili utente possono contenere informazioni riservate. È consigliabile limitare gli utenti che hanno accesso ai profili utente e i metodi di accesso, soprattutto se si usa il contenitore del profilo FSLogix per archiviare i profili utente in un file disco rigido virtuale in una condivisione SMB. È consigliabile seguire le raccomandazioni di sicurezza per il provider della condivisione SMB. Ad esempio, se si usa File di Azure per archiviare questi file di disco rigido virtuale, è possibile usare endpoint privati per renderli accessibili solo all'interno di una rete virtuale di Azure.
Altri suggerimenti per la sicurezza degli host di sessione
Limitando le funzionalità del sistema operativo, è possibile rafforzare la sicurezza degli host di sessione. Ecco alcune operazioni eseguibili:
Controllare il reindirizzamento dei dispositivi reindirizzando le unità, le stampanti e i dispositivi USB al dispositivo locale di un utente in una sessione desktop remoto. Si consiglia di valutare i requisiti di sicurezza e verificare se queste funzionalità devono essere disabilitate o meno.
Limitare l'accesso a Esplora risorse nascondendo i mapping delle unità locali e remote. In questo modo si impedisce agli utenti di individuare informazioni indesiderate sulla configurazione del sistema e sugli utenti.
Evitare l'accesso RDP diretto agli host di sessione nell'ambiente in uso. Se è necessario l'accesso RDP diretto per l'amministrazione o la risoluzione dei problemi, abilitare accesso just-in-time per limitare la superficie di attacco potenziale in un host di sessione.
Concedere agli utenti autorizzazioni limitate quando accedono a file system locali e remoti. È possibile limitare le autorizzazioni assicurandosi che i file system locali e remoti usino gli elenchi di controllo di accesso con privilegi minimi. In questo modo, gli utenti possono accedere solo a ciò di cui hanno bisogno e non possono modificare o eliminare le risorse critiche.
Impedire l'esecuzione di software indesiderati negli host di sessione. È possibile abilitare Blocco dell'app per la sicurezza aggiuntiva sugli host di sessione, assicurando che solo le app consentite possano essere eseguite nell'host.
Avvio attendibile
L'avvio attendibile è costituito da macchine virtuali di Azure gen2 con funzionalità di sicurezza avanzate destinate a proteggersi dalle minacce bottom-of-the-stack tramite vettori di attacco, ad esempio rootkit, kit di avvio e malware a livello di kernel. Di seguito sono riportate le funzionalità di sicurezza avanzate di avvio attendibile, tutte supportate in Desktop virtuale Azure. Per altre informazioni sull'avvio attendibile, vedere Avvio attendibile per le macchine virtuali di Azure.
Abilitare l'avvio attendibile come predefinito
L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti. Questa funzionalità consente anche la distribuzione sicura di macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver. L'avvio attendibile protegge anche chiavi, certificati e segreti nelle macchine virtuali. Altre informazioni sull'avvio attendibile sono disponibili all'avvio attendibile per le macchine virtuali di Azure.
Quando si aggiungono host di sessione usando il portale di Azure, il tipo di sicurezza cambia automaticamente in Macchine virtuali attendibili. In questo modo la macchina virtuale soddisfa i requisiti obbligatori per Windows 11. Per altre informazioni su questi requisiti, vedere Supporto delle macchine virtuali.
Macchine virtuali di Confidential computing di Azure
Il supporto di Desktop virtuale Azure per le macchine virtuali di Confidential computing di Azure garantisce che il desktop virtuale di un utente sia crittografato in memoria, protetto in uso e supportato dalla radice hardware di attendibilità. Le macchine virtuali di Confidential computing di Azure per Desktop virtuale Azure sono compatibili con i sistemi operativi supportati. La distribuzione di macchine virtuali riservate con Desktop virtuale Azure consente agli utenti di accedere a Microsoft 365 e ad altre applicazioni negli host sessione che usano l'isolamento basato su hardware, che rafforza l'isolamento da altre macchine virtuali, l'hypervisor e il sistema operativo host. Questi desktop virtuali sono basati sul processore EPYC™ di terza generazione (Gen 3) Advanced Micro Devices (AMD) con tecnologia Secure Encrypted Virtualization Secure Nested Paging (edizione Standard V-SNP). Le chiavi di crittografia della memoria vengono generate e protette da un processore sicuro dedicato all'interno della CPU AMD che non può essere letto dal software. Per altre informazioni, vedere Panoramica del confidential computing di Azure.
I sistemi operativi seguenti sono supportati per l'uso come host di sessione con macchine virtuali riservate in Desktop virtuale Azure:
- Windows 11 Enterprise, versione 22H2
- Windows 11 Enterprise multisessione, versione 22H2
- Windows Server 2022
- Windows Server 2019
È possibile creare host di sessione usando macchine virtuali riservate quando si crea un pool di host o si aggiungono host di sessione a un pool di host.
Crittografia del disco del sistema operativo
La crittografia del disco del sistema operativo è un livello aggiuntivo di crittografia che associa le chiavi di crittografia del disco al modulo TPM (Trusted Platform Module) della macchina virtuale di confidential computing. Questa crittografia rende il contenuto del disco accessibile solo alla macchina virtuale. Il monitoraggio dell'integrità consente l'attestazione crittografica e la verifica dell'integrità dell'avvio della macchina virtuale e gli avvisi di monitoraggio se la macchina virtuale non è stata avviata perché l'attestazione non è riuscita con la baseline definita. Per altre informazioni sul monitoraggio dell'integrità, vedere integrazione Microsoft Defender per il cloud. È possibile abilitare la crittografia di confidential compute quando si creano host di sessione usando macchine virtuali riservate quando si crea un pool di host o si aggiungono host di sessione a un pool di host.
Avvio protetto
L'avvio protetto è una modalità supportata dal firmware della piattaforma che protegge il firmware da rootkit e kit di avvio basati su malware. Questa modalità consente solo l'avvio di sistemi operativi e driver firmati.
Monitorare l'integrità dell'avvio usando l'attestazione remota
L'attestazione remota è un ottimo modo per controllare l'integrità delle macchine virtuali. L'attestazione remota verifica che i record di avvio misurati siano presenti, originali e originati dal Virtual Trusted Platform Module (vTPM). Come controllo di integrità, garantisce la certezza crittografica dell'avvio corretto di una piattaforma.
vTPM
VTPM è una versione virtualizzata di un TPM (Trusted Platform Module), con un'istanza virtuale di un TPM per macchina virtuale. VTPM abilita l'attestazione remota eseguendo la misurazione dell'integrità dell'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).
È consigliabile abilitare vTPM per usare l'attestazione remota nelle macchine virtuali. Con vTPM abilitato, è anche possibile abilitare la funzionalità BitLocker con Crittografia dischi di Azure, che fornisce la crittografia del volume completo per proteggere i dati inattivi. Tutte le funzionalità che usano vTPM genereranno segreti associati alla macchina virtuale specifica. Quando gli utenti si connettono al servizio Desktop virtuale Azure in uno scenario in pool, gli utenti possono essere reindirizzati a qualsiasi macchina virtuale nel pool di host. A seconda del modo in cui la funzionalità è progettata, questo può avere un impatto.
Nota
BitLocker non deve essere usato per crittografare il disco specifico in cui si archiviano i dati del profilo FSLogix.
Sicurezza basata su virtualizzazione
La sicurezza basata su virtualizzazione usa l'hypervisor per creare e isolare un'area sicura di memoria inaccessibile al sistema operativo. L'integrità del codice protetto da Hypervisor (HVCI) e Windows Defender Credential Guard usano entrambe la sicurezza basata su vbs per garantire una maggiore protezione dalle vulnerabilità.
Integrità del codice protetto da Hypervisor
HVCI è una potente mitigazione del sistema che usa la sicurezza basata su vbs per proteggere i processi in modalità kernel di Windows contro l'inserimento e l'esecuzione di codice dannoso o non verificato.
Windows Defender Credential Guard
Abilitare Windows Defender Credential Guard. Windows Defender Credential Guard usa la sicurezza basata su vbs per isolare e proteggere i segreti in modo che solo il software di sistema con privilegi possa accedervi. In questo modo si impedisce l'accesso non autorizzato a questi segreti e attacchi di furto di credenziali, ad esempio attacchi Pass-the-Hash. Per altre informazioni, vedere Panoramica di Credential Guard.
Controllo di applicazioni di Windows Defender
Abilitare Windows Defender Application Control. Windows Defender Application Control è progettato per proteggere i dispositivi da malware e altri software non attendibili. Impedisce l'esecuzione di codice dannoso assicurando che sia possibile eseguire solo il codice approvato, noto. Per altre informazioni, vedere Controllo delle applicazioni per Windows.
Nota
Quando si usa Windows Defender Controllo di accesso, è consigliabile impostare come destinazione solo i criteri a livello di dispositivo. Anche se è possibile impostare come destinazione i criteri a singoli utenti, una volta applicati i criteri, influisce ugualmente su tutti gli utenti del dispositivo.
Windows Update
Mantenere aggiornati gli host di sessione con gli aggiornamenti di Windows Update. Windows Update offre un modo sicuro per mantenere aggiornati i dispositivi. La protezione end-to-end impedisce la manipolazione degli scambi di protocolli e garantisce che gli aggiornamenti includano solo contenuto approvato. Potrebbe essere necessario aggiornare le regole del firewall e del proxy per alcuni ambienti protetti per ottenere l'accesso appropriato a Windows Aggiornamenti. Per altre informazioni, vedere Sicurezza di Windows Update.
Client Desktop remoto e aggiornamenti in altre piattaforme del sistema operativo
Gli aggiornamenti software per i client Desktop remoto che è possibile usare per accedere ai servizi Desktop virtuale Azure in altre piattaforme del sistema operativo sono protetti in base ai criteri di sicurezza delle rispettive piattaforme. Tutti gli aggiornamenti client vengono distribuiti direttamente dalle piattaforme. Per altre informazioni, vedere le rispettive pagine dello store per ogni app:
Passaggi successivi
- Informazioni su come configurare l'autenticazione a più fattori.
- Applicare i principi Zero Trust per una distribuzione di Desktop virtuale Azure.