Procedure consigliate per la sicurezza
Desktop virtuale di Azure è un servizio desktop virtuale gestito che include molte funzionalità di sicurezza per mantenere la sicurezza dell'organizzazione. In una distribuzione di Desktop virtuale Azure, Microsoft gestisce parti dei servizi per conto del cliente. Il servizio dispone di molte funzionalità di sicurezza avanzate predefinite, ad esempio Reverse Connect, che riducono i rischi correlati alla possibilità di accedere a desktop remoti ovunque ci si trovi.
Questo articolo descrive i passaggi che è possibile eseguire come amministratore per mantenere sicure le distribuzioni di Desktop virtuale Azure dei clienti.
Responsabilità di sicurezza
Ciò che rende i servizi cloud diversi dalle tradizionali infrastrutture di desktop virtuale (VDI) locali è il modo in cui gestiscono le responsabilità di sicurezza. Ad esempio, in un VDI locale tradizionale, il cliente è responsabile di tutti gli aspetti di sicurezza. Tuttavia, nella maggior parte dei servizi cloud, queste responsabilità sono condivise tra il cliente e la società.
Quando si usa Desktop virtuale Azure, è importante comprendere che, sebbene alcuni componenti siano già protetti per l'ambiente in uso, sarà necessario configurare autonomamente altre aree in base alle esigenze di sicurezza dell'organizzazione.
Ecco le esigenze di sicurezza per cui si è responsabili nella distribuzione di Desktop virtuale Azure:
| Esigenza di sicurezza | Il cliente è responsabile di ciò? |
|---|---|
| Identità | Sì |
| Dispositivi utente (dispositivo mobile e PC) | Sì |
| Sicurezza delle app | Sì |
| Sistema operativo host sessione (SISTEMA operativo) | Sì |
| Configurazione della distribuzione | Sì |
| Controlli di rete | Sì |
| Piano di controllo della virtualizzazione | No |
| Host fisici | No |
| Rete fisica | No |
| Data center fisico | No |
Le esigenze di sicurezza di cui il cliente non è responsabile sono gestite da Microsoft.
Procedure consigliate per la sicurezza di Azure
Desktop virtuale di Azure è un servizio in Azure. Per ottimizzare la sicurezza della distribuzione di Desktop virtuale Azure, è necessario assicurarsi di proteggere anche l'infrastruttura e il piano di gestione di Azure circostante. Per proteggere l'infrastruttura, valutare il modo in cui Desktop virtuale Di Azure si adatta all'ecosistema di Azure più grande. Per altre informazioni sull'ecosistema di Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.
La sezione descrive le procedure consigliate per proteggere l'ecosistema di Azure.
Abilitare Microsoft Defender for Cloud
È consigliabile abilitare Microsoft Defender per le funzionalità di sicurezza avanzate di Cloud:
- Gestire le vulnerabilità.
- Valutare la conformità con i framework comuni come PCI.
- Rafforzare la protezione complessiva dell'ambiente.
Per altre informazioni, vedere Abilitare le funzionalità di sicurezza avanzate.
Migliorare il punteggio di sicurezza
Il Punteggio di sicurezza fornisce raccomandazioni e consigli sulle procedure consigliate per migliorare la sicurezza complessiva. Queste raccomandazioni sono classificate in ordine di priorità per facilitare la scelta di quelle più importanti e le opzioni di correzione rapida consentono di risolvere rapidamente le potenziali vulnerabilità. Inoltre, queste raccomandazioni vengono aggiornate nel tempo, mantenendo aggiornati i modi migliori per gestire la sicurezza dell'ambiente. Per altre informazioni, vedere Migliorare il punteggio sicuro in Microsoft Defender for Cloud.
Procedure consigliate per la sicurezza di Desktop virtuale Azure
Desktop virtuale Azure include molti controlli di sicurezza predefiniti. In questa sezione verranno illustrati i controlli di sicurezza che si possono usare per proteggere gli utenti e i dati.
Richiedi autenticazione a più fattori
La richiesta di autenticazione a più fattori per tutti gli utenti e gli amministratori in Desktop virtuale Azure migliora la sicurezza dell'intera distribuzione. Per altre informazioni, vedere Abilitare Azure AD Multi-Factor Authentication per Desktop virtuale di Azure.
Abilitare l'accesso condizionale
L'abilitazione dell'accesso condizionale consente di gestire i rischi prima di concedere agli utenti l'accesso all'ambiente Desktop virtuale di Azure. Quando si decide a quali utenti concedere l'accesso, è consigliabile considerare anche chi è l'utente, il modo in cui accede e il dispositivo in uso.
Raccogliere log di controllo
L'abilitazione della raccolta log di controllo consente di visualizzare l'attività utente e amministratore correlata a Desktop virtuale di Azure. Ecco alcuni esempi di log di controllo principali:
- Log attività di Azure
- Log attività di Azure Active Directory
- Azure Active Directory
- Host di sessione
- Log di insiemi di credenziali delle chiavi
Usare RemoteApp
Quando si sceglie un modello di distribuzione, è possibile fornire agli utenti remoti l'accesso a interi desktop o selezionare solo le applicazioni quando pubblicate come RemoteApp. RemoteApp offre un'esperienza semplice quando l'utente funziona con le app dal proprio desktop virtuale. RemoteApp riduce il rischio solo consentendo all'utente di usare un subset del computer remoto esposto dall'applicazione.
Monitorare l'uso con Monitoraggio di Azure
Monitorare l'utilizzo e la disponibilità del servizio Desktop virtuale di Azure con Monitoraggio di Azure. È consigliabile creare avvisi di integrità dei servizi per il servizio Desktop virtuale di Azure per ricevere notifiche ogni volta che si verifica un evento che influisce sul servizio.
Crittografare la macchina virtuale
Crittografare la macchina virtuale con opzioni di crittografia del disco gestito per proteggere i dati archiviati dall'accesso non autorizzato.
Procedure consigliate per la sicurezza dell'host di sessione
Gli host di sessione sono macchine virtuali che vengono eseguite all'interno di una sottoscrizione di Azure e di una rete virtuale. La sicurezza complessiva di Desktop virtuale di Azure dipende dai controlli di sicurezza inseriti negli host della sessione. Questa sezione descrive le procedure consigliate per proteggere gli host di sessione.
Abilita la protezione dell'endpoint
Per proteggere la distribuzione da software dannosi noti, è consigliabile abilitare la protezione dell'endpoint in tutti gli host di sessione. È possibile usare Windows Defender antivirus o un programma di terze parti. Per altre informazioni, vedere Guida alla distribuzione per Windows Defender Antivirus in un ambiente VDI.
Per le soluzioni di profili come FSLogix o altre soluzioni che montano file VHD, è consigliabile escludere le estensioni di file VHD.
Installare un prodotto di rilevamento di endpoint e risposta
È consigliabile installare un prodotto di rilevamento di endpoint e risposta (EDR) per fornire funzionalità avanzate di rilevamento e risposta. Per i sistemi operativi server con Microsoft Defender per Cloud abilitato, l'installazione di un prodotto EDR distribuirà Microsoft Defender per endpoint. Per i sistemi operativi client, è possibile distribuire Microsoft Defender per endpoint o un prodotto di terze parti in tali endpoint.
Abilitare le valutazioni della gestione delle minacce e delle vulnerabilità
Identificare le vulnerabilità software presenti nei sistemi operativi e nelle applicazioni è essenziale per garantire la protezione dell'ambiente. Microsoft Defender for Cloud consente di identificare i punti di problema tramite la soluzione gestione di minacce e vulnerabilità di Microsoft Defender per endpoint. È anche possibile usare prodotti di terze parti se si è così propensi, anche se è consigliabile usare Microsoft Defender per Cloud e Microsoft Defender per endpoint.
Applicare patch alle vulnerabilità nel proprio ambiente
Una volta identificata una vulnerabilità, è necessario applicarvi una patch. Questo vale anche per gli ambienti virtuali, inclusi i sistemi operativi in esecuzione, le applicazioni distribuite all'interno di essi e le immagini da cui vengono creati nuovi computer. Seguire le comunicazioni delle notifiche sulle patch del fornitore e applicare le patch in maniera tempestiva. Si consiglia di applicare le patch alle immagini di base mensilmente per assicurarsi che i computer appena distribuiti siano più protetti possibile.
Stabilire il tempo massimo di inattività e i criteri di disconnessione
La disconnessione degli utenti quando sono inattivi mantiene le risorse e impedisce l'accesso da parte di utenti non autorizzati. È consigliabile che i timeout bilancino la produttività degli utenti e l'uso delle risorse. Per gli utenti che interagiscono con le applicazioni senza stato, prendere in considerazione criteri più aggressivi che spengano i computer e mantengano le risorse. Disconnettere le applicazioni a esecuzione prolungata che continuano a essere eseguite se un utente è inattivo, ad esempio una simulazione o un rendering CAD, può interrompere il lavoro dell'utente e potrebbe anche richiedere il riavvio del computer.
Configurare i blocchi schermo per le sessioni inattive
È possibile impedire l'accesso al sistema indesiderato configurando Desktop virtuale di Azure per bloccare la schermata di un computer durante il tempo di inattività e richiedere l'autenticazione per sbloccarla.
Stabilire l'accesso amministratore a livelli
Si consiglia di non concedere all'amministratore degli utenti l'accesso ai desktop virtuali. Se sono necessari pacchetti software, è consigliabile renderli disponibili tramite utilità di gestione della configurazione come Microsoft Intune. In un ambiente multisessione, è consigliabile non consentire agli utenti di installare direttamente il software.
Considerare quali utenti hanno accesso a quali risorse
Considerare gli host di sessione come un'estensione della distribuzione desktop esistente. Si consiglia di controllare l'accesso alle risorse di rete in modo analogo ad altri desktop nell'ambiente, ad esempio usando la segmentazione e il filtro di rete. Per impostazione predefinita, gli host di sessione possono connettersi a qualsiasi risorsa in Internet. Esistono diversi modi per limitare il traffico, tra cui l'uso del Firewall di Azure, di appliance virtuali di rete o di proxy. Se è necessario limitare il traffico, assicurarsi di aggiungere le regole appropriate in modo che Desktop virtuale Azure possa funzionare correttamente.
Gestire la sicurezza di Office Pro Plus
Oltre a proteggere gli host di sessione, è importante proteggere anche le applicazioni in esecuzione all'interno di essi. Office Pro Plus è una delle applicazioni più comuni distribuite negli host di sessione. Per migliorare la sicurezza della distribuzione di Office, è consigliabile usare Security Policy Advisor per Microsoft 365 Apps for enterprise. Questo strumento identifica i criteri che è possibile applicare alla distribuzione per una maggiore sicurezza. L'Assistente criteri di sicurezza consiglia inoltre i criteri in base al loro impatto sulla sicurezza e la produttività.
Sicurezza del profilo utente
I profili utente possono contenere informazioni riservate. È consigliabile limitare chi può accedere ai profili utente e ai metodi di accesso, soprattutto se si usa il contenitore del profilo FSLogix per archiviare i profili utente in un file VHDX (Virtual Hard Disk) in una condivisione SMB. È consigliabile seguire le raccomandazioni di sicurezza per il provider della condivisione SMB. Ad esempio, se si usa File di Azure per archiviare questi file VHDX, è possibile usare endpoint privati per renderli accessibili solo all'interno di una rete virtuale di Azure.
Altri suggerimenti per la sicurezza degli host di sessione
Limitando le funzionalità del sistema operativo, è possibile rafforzare la sicurezza degli host di sessione. Ecco alcune operazioni eseguibili:
Controllare il reindirizzamento dei dispositivi reindirizzando le unità, le stampanti e i dispositivi USB al dispositivo locale di un utente in una sessione desktop remoto. Si consiglia di valutare i requisiti di sicurezza e verificare se queste funzionalità devono essere disabilitate o meno.
Limitare l'accesso a Esplora risorse nascondendo i mapping delle unità locali e remote. In questo modo si impedisce agli utenti di individuare informazioni indesiderate sulla configurazione del sistema e sugli utenti.
Evitare l'accesso RDP diretto agli host di sessione nell'ambiente in uso. Se è necessario l'accesso RDP diretto per l'amministrazione o la risoluzione dei problemi, abilitare accesso just-in-time per limitare la superficie di attacco potenziale in un host di sessione.
Concedere agli utenti autorizzazioni limitate quando accedono a file system locali e remoti. È possibile limitare le autorizzazioni assicurandosi che i file system locali e remoti usino gli elenchi di controllo di accesso con privilegi minimi. In questo modo, gli utenti possono accedere solo a ciò di cui hanno bisogno e non possono modificare o eliminare le risorse critiche.
Impedire l'esecuzione di software indesiderati negli host di sessione. È possibile abilitare Blocco dell'app per la sicurezza aggiuntiva sugli host di sessione, assicurando che solo le app consentite possano essere eseguite nell'host.
Avvio attendibile
L'avvio attendibile sono macchine virtuali di Azure gen2 con funzionalità di sicurezza avanzate destinate a proteggere dalle minacce "inferiore dello stack" tramite vettori di attacco, ad esempio rootkit, kit di avvio e malware a livello di kernel. Di seguito sono riportate le funzionalità di sicurezza avanzate di avvio attendibile, tutte supportate in Desktop virtuale Azure. Per altre informazioni sull'avvio attendibile, vedere Avvio attendibile per le macchine virtuali di Azure.
Abilitare l'avvio attendibile come predefinito
L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti. Questa funzionalità consente anche la distribuzione sicura di macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver. L'avvio attendibile protegge anche chiavi, certificati e segreti nelle macchine virtuali. Altre informazioni sull'avvio attendibile all'avvio attendibile per le macchine virtuali di Azure.
Quando si aggiungono host di sessione usando il portale di Azure, il tipo di sicurezza cambia automaticamente nelle macchine virtuali attendibili. Ciò garantisce che la macchina virtuale soddisfi i requisiti obbligatori per Windows 11. Per altre informazioni su questi requisiti, vedere Supporto della macchina virtuale.
Macchine virtuali di calcolo riservate di Azure
Il supporto di Desktop virtuale di Azure per le macchine virtuali di calcolo riservato di Azure garantisce che il desktop virtuale di un utente sia crittografato in memoria, protetto in uso e supportato dalla radice hardware di trust. Le macchine virtuali di calcolo riservate di Azure per Desktop virtuale Azure sono compatibili con i sistemi operativi supportati. La distribuzione di macchine virtuali riservate con Desktop virtuale Azure consente agli utenti di accedere a Microsoft 365 e altre applicazioni in host sessione che usano l'isolamento basato su hardware, che garantisce l'isolamento da altre macchine virtuali, l'hypervisor e il sistema operativo host. Questi desktop virtuali sono basati sulla tecnologia EPYC™ di terza generazione (Gen 3) Advanced Micro Devices (AMD) con tecnologia Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP). Le chiavi di crittografia della memoria vengono generate e protette da un processore sicuro dedicato all'interno della CPU AMD che non può essere letto dal software. Per altre informazioni, vedere Panoramica del calcolo riservato di Azure.
I sistemi operativi seguenti sono supportati per l'uso come host di sessioni con macchine virtuali riservate in Desktop virtuale Azure:
- Windows 11 Enterprise, versione 22H2
- Windows 11 Enterprise multi-sessione, versione 22H2
- Windows Server 2022
- Windows Server 2019
È possibile creare host di sessione usando macchine virtuali riservate quando si crea un pool di host o si aggiungono host di sessione a un pool host.
Crittografia del disco del sistema operativo
La crittografia del disco del sistema operativo è un livello aggiuntivo di crittografia che associa le chiavi di crittografia dei dischi al modulo TPM (Trusted Platform Module) della macchina virtuale di calcolo riservato. Questa crittografia rende il contenuto del disco accessibile solo alla macchina virtuale. Il monitoraggio dell'integrità consente l'attestazione crittografica e la verifica dell'integrità e degli avvisi di monitoraggio delle macchine virtuali se la macchina virtuale non è stata avviata perché l'attestazione non è riuscita con la baseline definita. Per altre informazioni sul monitoraggio dell'integrità, vedere Microsoft Defender for Cloud Integration. È possibile abilitare la crittografia di calcolo riservato quando si creano host di sessione usando macchine virtuali riservate quando si crea un pool di host o si aggiungono host di sessione a un pool host.
Avvio protetto
L'avvio sicuro è una modalità supportata dal firmware della piattaforma che protegge il firmware da rootkit e kit di avvio basati su malware. Questa modalità consente solo ai sistemi operativi e ai driver firmati di avviare il computer.
Monitorare l'integrità dell'avvio usando l'attestazione remota
L'attestazione remota è un ottimo modo per controllare l'integrità delle macchine virtuali. L'attestazione remota verifica che i record di avvio misurati siano presenti, originali e originati dal modulo vTPM (Virtual Trusted Platform Module). Come controllo dell'integrità, fornisce certezza crittografica che una piattaforma è stata avviata correttamente.
vTPM
Una versione vTPM è una versione virtualizzata di un modulo TPM (Trusted Platform Module), con un'istanza virtuale di un TPM per macchina virtuale. vTPM consente l'attestazione remota eseguendo la misurazione dell'integrità dell'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).
È consigliabile abilitare vTPM per usare l'attestazione remota nelle macchine virtuali. Con vTPM abilitato, è anche possibile abilitare la funzionalità BitLocker con Crittografia dischi di Azure, che fornisce la crittografia full-volume per proteggere i dati inattivi. Tutte le funzionalità che usano vTPM comportano segreti associati alla macchina virtuale specifica. Quando gli utenti si connettono al servizio Desktop virtuale Di Azure in uno scenario in pool, gli utenti possono essere reindirizzati a qualsiasi macchina virtuale nel pool host. A seconda del modo in cui la funzionalità è progettata, potrebbe avere un impatto.
Nota
BitLocker non deve essere usato per crittografare il disco specifico in cui si archiviano i dati del profilo FSLogix.
Sicurezza basata su virtualizzazione
La sicurezza basata su virtualizzazione usa l'hypervisor per creare e isolare un'area sicura di memoria non accessibile al sistema operativo. Hypervisor-Protected Integrità del codice (HVCI) e Windows Defender Credential Guard usano entrambi VBS per garantire una maggiore protezione dalle vulnerabilità.
integrità del codice Hypervisor-Protected
HVCI è una potente mitigazione del sistema che usa VBS per proteggere i processi in modalità kernel Di Windows contro l'inserimento e l'esecuzione di codice dannoso o non verificato.
Windows Defender Credential Guard
Windows Defender Credential Guard usa VBS per isolare e proteggere i segreti in modo che solo il software di sistema con privilegi possa accedervi. Ciò impedisce l'accesso non autorizzato a questi segreti e attacchi di furto delle credenziali, ad esempio attacchi Pass-the-Hash.
Virtualizzazione annidata
I sistemi operativi seguenti supportano l'esecuzione della virtualizzazione annidata in Desktop virtuale Azure:
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise
- Windows 10 Enterprise multisessione
- Windows 11 Enterprise
- Windows 11 Enterprise multi-sessione
Controllo delle applicazioni di Windows Defender
I sistemi operativi seguenti supportano l'uso di Windows Defender Controllo applicazioni con Desktop virtuale Azure:
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise
- Windows 10 Enterprise multisessione
- Windows 11 Enterprise
- Windows 11 Enterprise multi-sessione
Nota
Quando si usa Windows Defender Controllo di accesso, è consigliabile usare solo criteri di destinazione a livello di dispositivo. Anche se è possibile indirizzare i criteri a singoli utenti, una volta applicati i criteri, tutti gli utenti del dispositivo hanno un impatto uguale a quello di tutti gli utenti.
Windows Update
Windows Update offre un modo sicuro per mantenere aggiornati i dispositivi. La protezione end-to-end impedisce la manipolazione degli scambi di protocolli e garantisce che gli aggiornamenti includano solo contenuto approvato. Potrebbe essere necessario aggiornare le regole del firewall e del proxy per alcuni ambienti protetti per ottenere l'accesso appropriato a Windows Aggiornamenti. Per altre informazioni, vedere sicurezza Windows Update.
Aggiornamenti client in altre piattaforme del sistema operativo
Gli aggiornamenti software per i client Desktop remoto che è possibile usare per accedere ai servizi desktop virtuale di Azure in altre piattaforme del sistema operativo sono protetti in base ai criteri di sicurezza delle rispettive piattaforme. Tutti gli aggiornamenti client vengono recapitati direttamente dalle piattaforme. Per altre informazioni, vedere le rispettive pagine dello store per ogni app: