Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Desktop virtuale Azure è un servizio desktop virtuale gestito che include molte funzionalità di sicurezza per garantire la sicurezza dell'organizzazione. L'architettura di Desktop virtuale Azure comprende molti componenti che costituiscono il servizio che connette gli utenti ai desktop e alle app.
Desktop virtuale Azure include molte funzionalità di sicurezza avanzate predefinite, ad esempio Reverse Connect in cui non è necessario aprire porte di rete in ingresso, riducendo così il rischio di avere desktop remoti accessibili ovunque. Il servizio trae vantaggio anche da molte altre funzionalità di sicurezza di Azure, ad esempio l'autenticazione a più fattori e l'accesso condizionale. Questo articolo descrive i passaggi che è possibile eseguire come amministratore per proteggere le distribuzioni di Desktop virtuale Azure, indipendentemente dal fatto che si forniscano desktop e app agli utenti dell'organizzazione o agli utenti esterni.
Responsabilità di sicurezza condivise
Prima di Desktop virtuale Azure, le soluzioni di virtualizzazione locali come Servizi Desktop remoto richiedono la concessione agli utenti dell'accesso a ruoli come Gateway, Broker, Accesso Web e così via. Questi ruoli dovevano essere completamente ridondanti e in grado di gestire la capacità massima. Gli amministratori installano questi ruoli come parte del sistema operativo Windows Server e devono essere aggiunti a un dominio con porte specifiche accessibili alle connessioni pubbliche. Per garantire la sicurezza delle distribuzioni, gli amministratori dovevano assicurarsi costantemente che tutti gli elementi dell'infrastruttura fossero mantenuti e aggiornati.
Nella maggior parte dei servizi cloud, tuttavia, esiste un set condiviso di responsabilità di sicurezza tra Microsoft e il cliente o il partner. Per Desktop virtuale Azure, la maggior parte dei componenti è gestita da Microsoft, ma gli host di sessione e alcuni servizi e componenti di supporto sono gestiti dal cliente o gestiti dal partner. Per altre informazioni sui componenti gestiti da Microsoft di Desktop virtuale Azure, vedere Architettura e resilienza del servizio Desktop virtuale Azure.
Anche se alcuni componenti sono già protetti per l'ambiente, è necessario configurare autonomamente altre aree in base alle esigenze di sicurezza dell'organizzazione o del cliente. Di seguito sono riportati i componenti di cui si è responsabili per la sicurezza nella distribuzione di Desktop virtuale Azure:
| Componente | Responsabilità |
|---|---|
| Identità | Cliente o partner |
| Dispositivi utente (dispositivi mobili e PC) | Cliente o partner |
| Sicurezza delle app | Cliente o partner |
| Sistema operativo host sessione | Cliente o partner |
| Configurazione della distribuzione | Cliente o partner |
| Controlli di rete | Cliente o partner |
| Piano di controllo di virtualizzazione | Microsoft |
| Host fisici | Microsoft |
| Rete fisica | Microsoft |
| Data center fisico | Microsoft |
Limiti di sicurezza
I limiti di sicurezza separano il codice e i dati dei domini di sicurezza con livelli di attendibilità diversi. Ad esempio, esiste in genere un limite di sicurezza tra la modalità kernel e la modalità utente. La maggior parte del software e dei servizi Microsoft dipende da più limiti di sicurezza per isolare i dispositivi in reti, macchine virtuali e applicazioni nei dispositivi. La tabella seguente elenca ogni limite di sicurezza per Windows e le operazioni da eseguire per la sicurezza complessiva.
| Limite di sicurezza | Descrizione |
|---|---|
| Limite di rete | Un endpoint di rete non autorizzato non può accedere o manomettere codice e dati nel dispositivo di un cliente. |
| Limite del kernel | Un processo in modalità utente non amministrativo non può accedere o manomettere il codice e i dati del kernel. Da amministratore a kernel non è un limite di sicurezza. |
| Limite del processo | Un processo in modalità utente non autorizzato non può accedere o manomettere il codice e i dati di un altro processo. |
| Limite della sandbox di AppContainer | Un processo sandbox basato su AppContainer non può accedere o manomettere codice e dati all'esterno della sandbox in base alle funzionalità del contenitore. |
| Limite utente | Un utente non può accedere o manomettere il codice e i dati di un altro utente senza essere autorizzato. |
| Limite sessione | Una sessione utente non può accedere o manomettere un'altra sessione utente senza essere autorizzata. |
| Limite del Web browser | Un sito Web non autorizzato non può violare i criteri della stessa origine, né può accedere o manomettere il codice nativo e i dati della sandbox del Web browser Microsoft Edge. |
| Limite della macchina virtuale | Una macchina virtuale guest Hyper-V non autorizzata non può accedere o manomettere il codice e i dati di un'altra macchina virtuale guest; inclusi i contenitori isolati Hyper-V. |
| Limite della modalità protetta virtuale (VSM) | Il codice in esecuzione all'esterno del processo o dell'enclave attendibile di VSM non può accedere o manomettere dati e codice all'interno del processo attendibile. |
Limiti di sicurezza consigliati per gli scenari di Desktop virtuale Azure
Sarà anche necessario effettuare determinate scelte sui limiti di sicurezza caso per caso. Ad esempio, se un utente dell'organizzazione ha bisogno di privilegi di amministratore locale per installare le app, sarà necessario fornire un desktop personale anziché un host sessione condiviso. Non è consigliabile concedere agli utenti privilegi di amministratore locale in scenari in pool multisessione perché questi utenti possono superare i limiti di sicurezza per le sessioni o le autorizzazioni dei dati NTFS, arrestare le macchine virtuali a più sessioni o eseguire altre operazioni che potrebbero interrompere il servizio o causare perdite di dati.
Gli utenti della stessa organizzazione, ad esempio i knowledge worker con app che non richiedono privilegi di amministratore, sono ottimi candidati per gli host di sessioni multisessione come Windows 11 Enterprise multisessione. Questi host di sessione riducono i costi per l'organizzazione perché più utenti possono condividere una singola macchina virtuale, con solo i costi generali di una macchina virtuale per utente. Con prodotti di gestione dei profili utente come FSLogix, agli utenti è possibile assegnare qualsiasi macchina virtuale in un pool di host senza notare interruzioni del servizio. Questa funzionalità consente anche di ottimizzare i costi, ad esempio l'arresto delle macchine virtuali durante le ore di bassa attività.
Se la situazione richiede che utenti di organizzazioni diverse si connettono alla distribuzione, è consigliabile avere un tenant separato per i servizi di identità come Active Directory e Microsoft Entra ID. È anche consigliabile avere una sottoscrizione separata per gli utenti per l'hosting di risorse di Azure, ad esempio Desktop virtuale Azure e macchine virtuali.
In molti casi, l'uso di più sessioni è un modo accettabile per ridurre i costi, ma se è consigliabile dipende dal livello di attendibilità tra gli utenti con accesso simultaneo a un'istanza multisessione condivisa. In genere, gli utenti che appartengono alla stessa organizzazione hanno una relazione di trust sufficiente e concordata. Ad esempio, un reparto o un gruppo di lavoro in cui gli utenti collaborano e possono accedere reciprocamente alle informazioni personali è un'organizzazione con un alto livello di attendibilità.
Windows usa limiti e controlli di sicurezza per garantire che i processi utente e i dati siano isolati tra le sessioni. Tuttavia, Windows fornisce comunque l'accesso all'istanza su cui sta lavorando l'utente.
Le distribuzioni multisessione trarrebbero vantaggio da una strategia di sicurezza approfondita che aggiunge più limiti di sicurezza che impediscono agli utenti all'interno e all'esterno dell'organizzazione di ottenere l'accesso non autorizzato alle informazioni personali di altri utenti. L'accesso ai dati non autorizzato si verifica a causa di un errore nel processo di configurazione da parte dell'amministratore di sistema, ad esempio una vulnerabilità di sicurezza non divulgata o una vulnerabilità nota che non è ancora stata patchata.
Non è consigliabile concedere agli utenti che lavorano per aziende diverse o concorrenti l'accesso allo stesso ambiente multisessione. Questi scenari hanno diversi limiti di sicurezza che possono essere attaccati o abusati, ad esempio rete, kernel, processo, utente o sessioni. Una singola vulnerabilità di sicurezza potrebbe causare furti non autorizzati di dati e credenziali, perdite di informazioni personali, furto di identità e altri problemi. I provider di ambienti virtualizzati sono responsabili dell'offerta di sistemi ben progettati con più limiti di sicurezza sicuri e funzionalità di sicurezza aggiuntive abilitate laddove possibile.
La riduzione di queste potenziali minacce richiede una configurazione a prova di errore, un processo di progettazione della gestione delle patch e pianificazioni regolari della distribuzione delle patch. È meglio seguire i principi della difesa in modo approfondito e mantenere separati gli ambienti.
Nella tabella seguente vengono riepilogate le raccomandazioni per ogni scenario.
| Scenario del livello di attendibilità | Soluzione consigliata |
|---|---|
| Utenti di un'organizzazione con privilegi standard | Usare un sistema operativo Windows Enterprise multisessione. |
| Gli utenti richiedono privilegi amministrativi | Usare un pool di host personale e assegnare a ogni utente il proprio host di sessione. |
| Utenti di organizzazioni diverse che si connettono | Separare il tenant di Azure e la sottoscrizione di Azure |
Procedure consigliate per la sicurezza di Azure
Desktop virtuale Azure è un servizio in Azure. Per ottimizzare la sicurezza della distribuzione di Desktop virtuale Azure, è necessario assicurarsi di proteggere anche l'infrastruttura e il piano di gestione di Azure circostanti. Per proteggere l'infrastruttura, considerare il modo in cui Desktop virtuale Azure si adatta all'ecosistema di Azure più grande. Per altre informazioni sull'ecosistema di Azure, vedere Procedure consigliate e modelli di sicurezza di Azure.
Il panorama delle minacce di oggi richiede progettazioni che tenga conto degli approcci alla sicurezza. Idealmente, è consigliabile creare una serie di meccanismi di sicurezza e controlli a più livelli nella rete del computer per proteggere i dati e la rete da compromissioni o attacchi. Questo tipo di progettazione della sicurezza è ciò che il Stati Uniti Cybersecurity and Infrastructure Security Agency (CISA) chiama difesa in profondità.
Le sezioni seguenti contengono raccomandazioni per la protezione di una distribuzione di Desktop virtuale Azure.
Abilitare Microsoft Defender per il cloud
È consigliabile abilitare Microsoft Defender per le funzionalità di sicurezza avanzate del cloud per:
- Gestire le vulnerabilità.
- Valutare la conformità con i framework comuni, ad esempio dal PCI Security Standards Council.
- Rafforzare la sicurezza complessiva dell'ambiente.
Per altre informazioni, vedere Abilitare le funzionalità di sicurezza avanzate.
Migliorare il punteggio di sicurezza
Secure Score offre consigli e consigli sulle procedure consigliate per migliorare la sicurezza complessiva. Queste raccomandazioni hanno la priorità per aiutarti a scegliere quali sono le più importanti e le opzioni correzione rapida consentono di risolvere rapidamente le potenziali vulnerabilità. Queste raccomandazioni vengono aggiornate anche nel tempo, mantenendo l'utente aggiornato sui modi migliori per mantenere la sicurezza dell'ambiente. Per altre informazioni, vedere Migliorare il punteggio di sicurezza in Microsoft Defender per il cloud.
Richiedere l'autenticazione a più fattori
La richiesta di autenticazione a più fattori per tutti gli utenti e gli amministratori in Desktop virtuale Azure migliora la sicurezza dell'intera distribuzione. Per altre informazioni, vedere Abilitare l'autenticazione a più fattori Microsoft Entra per Desktop virtuale Azure.
Abilitare l'accesso condizionale
L'abilitazione dell'accesso condizionale consente di gestire i rischi prima di concedere agli utenti l'accesso all'ambiente Desktop virtuale Azure. Quando si decide a quali utenti concedere l'accesso, è consigliabile considerare anche chi è l'utente, come accede e quale dispositivo sta usando.
Raccogliere i log di controllo
L'abilitazione della raccolta dei log di controllo consente di visualizzare le attività utente e amministratore correlate a Desktop virtuale Azure. Alcuni esempi di log di controllo chiave sono:
Monitorare l'utilizzo con Monitoraggio di Azure
Monitorare l'utilizzo e la disponibilità del servizio Desktop virtuale Azure con Monitoraggio di Azure. È consigliabile creare avvisi di integrità del servizio per il servizio Desktop virtuale Azure per ricevere notifiche ogni volta che si verifica un evento che influisce sul servizio.
Crittografare gli host di sessione
Crittografare gli host sessione con le opzioni di crittografia del disco gestito per proteggere i dati archiviati da accessi non autorizzati.
Procedure consigliate per la sicurezza dell'host di sessione
Gli host di sessione sono macchine virtuali eseguite all'interno di una sottoscrizione di Azure e di una rete virtuale. La sicurezza complessiva della distribuzione di Desktop virtuale Azure dipende dai controlli di sicurezza inseriti negli host di sessione. Questa sezione descrive le procedure consigliate per proteggere gli host di sessione.
Abilitare la protezione degli endpoint
Per proteggere la distribuzione da software dannoso noto, è consigliabile abilitare Endpoint Protection in tutti gli host di sessione. È possibile usare Windows Antivirus Defender o un programma di terze parti. Per altre informazioni, vedere Guida alla distribuzione per Windows Antivirus Defender in un ambiente VDI.
Per soluzioni di profilo come FSLogix o altre soluzioni che montano file disco rigido virtuale, è consigliabile escludere tali estensioni di file. Per altre informazioni sulle esclusioni di FSLogix, vedere Configurare le esclusioni di file e cartelle antivirus.
Installare un prodotto di rilevamento e risposta degli endpoint
È consigliabile installare un prodotto edr (Endpoint Detection and Response) per fornire funzionalità avanzate di rilevamento e risposta. Per i sistemi operativi server con Microsoft Defender per cloud abilitato, l'installazione di un prodotto EDR distribuirà Microsoft Defender per endpoint. Per i sistemi operativi client, è possibile distribuire Microsoft Defender per endpoint o un prodotto di terze parti a tali endpoint.
Abilitare le valutazioni di gestione di minacce e vulnerabilità
L'identificazione delle vulnerabilità software presenti nei sistemi operativi e nelle applicazioni è fondamentale per garantire la sicurezza dell'ambiente. Microsoft Defender per il cloud consente di identificare i punti problematici tramite la soluzione gestione di minacce e vulnerabilità di Microsoft Defender per endpoint. È anche possibile usare prodotti di terze parti se si è così inclinati, anche se è consigliabile usare Microsoft Defender per cloud e Microsoft Defender per endpoint.
Applicare patch alle vulnerabilità software nell'ambiente in uso
Dopo aver identificato una vulnerabilità, è necessario applicare una patch. Questo vale anche per gli ambienti virtuali, che includono i sistemi operativi in esecuzione, le applicazioni distribuite al loro interno e le immagini da cui si creano nuovi computer. Seguire le comunicazioni di notifica delle patch del fornitore e applicare le patch in modo tempestivo. È consigliabile applicare patch mensili alle immagini di base per garantire che i computer appena distribuiti siano il più sicuri possibile.
Stabilire il tempo di inattività massimo e i criteri di disconnessione
La disconnessione degli utenti quando sono inattivi mantiene le risorse e impedisce l'accesso da parte di utenti non autorizzati. È consigliabile che i timeout bilanciano la produttività degli utenti e l'utilizzo delle risorse. Per gli utenti che interagiscono con applicazioni senza stato, prendere in considerazione criteri più aggressivi che disattivano i computer e mantengono le risorse. La disconnessione di applicazioni a esecuzione prolungata che continuano a essere eseguite se un utente è inattivo, ad esempio una simulazione o un rendering CAD, può interrompere il lavoro dell'utente e potrebbe anche richiedere il riavvio del computer.
Configurare i blocchi dello schermo per le sessioni inattive
È possibile impedire l'accesso indesiderato al sistema configurando Desktop virtuale Azure per bloccare lo schermo di un computer durante il tempo di inattività e richiedendo l'autenticazione per sbloccarlo.
Stabilire l'accesso amministratore a livelli
È consigliabile non concedere agli utenti l'accesso amministratore ai desktop virtuali. Se sono necessari pacchetti software, è consigliabile renderli disponibili tramite utilità di gestione della configurazione come Microsoft Intune. In un ambiente multisessione è consigliabile non consentire agli utenti di installare direttamente il software.
Valutare quali utenti dovrebbero accedere a quali risorse
Considerare gli host di sessione come estensione della distribuzione desktop esistente. È consigliabile controllare l'accesso alle risorse di rete nello stesso modo in cui si farebbe per altri desktop nell'ambiente, ad esempio l'uso della segmentazione e del filtro di rete. Per impostazione predefinita, gli host sessione possono connettersi a qualsiasi risorsa su Internet. Esistono diversi modi per limitare il traffico, tra cui l'uso di Firewall di Azure, appliance virtuali di rete o proxy. Se è necessario limitare il traffico, assicurarsi di aggiungere le regole appropriate in modo che Desktop virtuale Azure possa funzionare correttamente.
Gestire la sicurezza delle app di Microsoft 365
Oltre a proteggere gli host di sessione, è importante proteggere anche le applicazioni in esecuzione al loro interno. Le app di Microsoft 365 sono alcune delle applicazioni più comuni distribuite negli host di sessione. Per migliorare la sicurezza della distribuzione di Microsoft 365, è consigliabile usare Security Policy Advisor per Microsoft 365 Apps for enterprise. Questo strumento identifica i criteri che è possibile applicare alla distribuzione per una maggiore sicurezza. Security Policy Advisor consiglia anche criteri in base al loro impatto sulla sicurezza e sulla produttività.
Sicurezza del profilo utente
I profili utente possono contenere informazioni riservate. È consigliabile limitare l'accesso ai profili utente e ai metodi di accesso, in particolare se si usa il contenitore di profili FSLogix per archiviare i profili utente in un file di disco rigido virtuale in una condivisione SMB. È consigliabile seguire le raccomandazioni sulla sicurezza per il provider della condivisione SMB. Ad esempio, se si usa File di Azure per archiviare questi file del disco rigido virtuale, è possibile usare endpoint privati per renderli accessibili solo all'interno di una rete virtuale di Azure.
Altri suggerimenti sulla sicurezza per gli host di sessione
Limitando le funzionalità del sistema operativo, è possibile rafforzare la sicurezza degli host sessione. Ecco alcune operazioni che è possibile eseguire:
Controllare il reindirizzamento dei dispositivi reindirizzando unità, stampanti e dispositivi USB al dispositivo locale di un utente in una sessione desktop remoto. È consigliabile valutare i requisiti di sicurezza e verificare se queste funzionalità devono essere disabilitate o meno.
Limitare l'accesso a Esplora risorse nascondendo i mapping di unità locali e remote. Ciò impedisce agli utenti di individuare informazioni indesiderate sulla configurazione del sistema e sugli utenti.
Evitare l'accesso RDP diretto agli host di sessione nell'ambiente. Se è necessario l'accesso RDP diretto per l'amministrazione o la risoluzione dei problemi, abilitare l'accesso JIT per limitare la potenziale superficie di attacco in un host di sessione.
Concedere agli utenti autorizzazioni limitate quando accedono a file system locali e remoti. È possibile limitare le autorizzazioni assicurandosi che i file system locali e remoti usno elenchi di controllo di accesso con privilegi minimi. In questo modo, gli utenti possono accedere solo a ciò di cui hanno bisogno e non possono modificare o eliminare risorse critiche.
Impedire l'esecuzione di software indesiderato negli host di sessione. RemoteApp non è una funzionalità di sicurezza e il suo uso non impedisce l'avvio di applicazioni oltre a quelle pubblicate in un gruppo di applicazioni. Per assicurarsi che solo le applicazioni consentite possano essere eseguite in un host sessione, è possibile usare il controllo delle applicazioni per le funzionalità di Windows , ad esempio Controllo app o AppLocker.
Avvio attendibile
Il lancio attendibile è costituito da macchine virtuali di Azure con funzionalità di sicurezza avanzate volte a proteggere da tecniche di attacco persistenti, ad esempio minacce bottom-of-the-stack tramite vettori di attacco come rootkit, kit di avvio e malware a livello di kernel. Consente la distribuzione sicura di macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver, oltre a proteggere chiavi, certificati e segreti nelle macchine virtuali. Per altre informazioni sull'avvio attendibile, vedere Avvio attendibile per le macchine virtuali di Azure.
Quando si aggiungono host di sessione usando il portale di Azure, il tipo di sicurezza predefinito è Macchine virtuali attendibili. Ciò garantisce che la macchina virtuale soddisfi i requisiti obbligatori per Windows 11. Per altre informazioni su questi requisiti, vedere Supporto delle macchine virtuali.
Macchine virtuali di confidential computing di Azure
Il supporto di Desktop virtuale Azure per le macchine virtuali di confidential computing di Azure garantisce che il desktop virtuale di un utente sia crittografato in memoria, protetto in uso e supportato da una radice hardware di attendibilità.
La distribuzione di macchine virtuali riservate con Desktop virtuale Azure consente agli utenti di accedere a Microsoft 365 e ad altre applicazioni negli host di sessione che usano l'isolamento basato su hardware, che rafforza l'isolamento da altre macchine virtuali, dall'hypervisor e dal sistema operativo host. Le chiavi di crittografia della memoria vengono generate e protette da un processore sicuro dedicato all'interno della CPU che non può essere letto dal software. Per altre informazioni, incluse le dimensioni delle macchine virtuali disponibili, vedere Panoramica del confidential computing di Azure.
I sistemi operativi seguenti sono supportati per l'uso come host di sessione con macchine virtuali riservate in Desktop virtuale Azure, per le versioni in supporto attivo. Per le date di supporto, vedere Criteri relativi al ciclo di vita microsoft.
- Windows 11 Enterprise
- Windows 11 Enterprise multisessione
- Windows 10 Enterprise
- Windows 10 Enterprise multisessione
- Windows Server 2022
- Windows Server 2019
È possibile creare host di sessione usando macchine virtuali riservate quando si distribuisce Desktop virtuale Azure o si aggiungono host di sessione a un pool di host.
Crittografia dischi del sistema operativo
La crittografia del disco del sistema operativo è un livello aggiuntivo di crittografia che associa le chiavi di crittografia del disco al TPM (Trusted Platform Module) della macchina virtuale di confidential computing. Questa crittografia rende il contenuto del disco accessibile solo alla macchina virtuale. Il monitoraggio dell'integrità consente l'attestazione crittografica e la verifica dell'integrità di avvio della macchina virtuale e il monitoraggio degli avvisi se la macchina virtuale non è stata avviata perché l'attestazione non è riuscita con la baseline definita. Per altre informazioni sul monitoraggio dell'integrità, vedere Microsoft Defender per l'integrazione cloud. È possibile abilitare la crittografia di calcolo riservato quando si creano host di sessione usando macchine virtuali riservate quando si crea un pool di host o si aggiungono host di sessione a un pool di host.
Avvio protetto
L'avvio protetto è una modalità supportata dal firmware della piattaforma che protegge il firmware da rootkit e kit di avvio basati su malware. Questa modalità consente solo l'avvio di sistemi operativi e driver firmati.
Monitorare l'integrità di avvio tramite attestazione remota
L'attestazione remota è un ottimo modo per controllare l'integrità delle macchine virtuali. L'attestazione remota verifica che i record di avvio misurato siano presenti, originali e provengano da Virtual Trusted Platform Module (vTPM). Come controllo dell'integrità, fornisce la certezza crittografica che una piattaforma sia stata avviata correttamente.
vTPM
Un vTPM è una versione virtualizzata di un modulo TPM (Trusted Platform Module) hardware, con un'istanza virtuale di un TPM per ogni macchina virtuale. vTPM abilita l'attestazione remota eseguendo la misurazione dell'integrità dell'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).
È consigliabile abilitare vTPM per usare l'attestazione remota nelle macchine virtuali. Con vTPM abilitato, è anche possibile abilitare la funzionalità BitLocker con Crittografia dischi di Azure, che fornisce la crittografia a volume completo per proteggere i dati inattivi. Tutte le funzionalità che usano vTPM genereranno segreti associati alla macchina virtuale specifica. Quando gli utenti si connettono al servizio Desktop virtuale Azure in uno scenario in pool, gli utenti possono essere reindirizzati a qualsiasi macchina virtuale nel pool di host. A seconda di come è progettata la funzionalità, questo potrebbe avere un impatto.
Nota
BitLocker non deve essere usato per crittografare il disco specifico in cui si archiviano i dati del profilo FSLogix.
Sicurezza basata su virtualizzazione
La sicurezza basata su virtualizzazione (VBS) usa l'hypervisor per creare e isolare un'area sicura di memoria inaccessibile al sistema operativo. Hypervisor-Protected Code Integrity (HVCI) e Windows Defender Credential Guard usano entrambi VBS per offrire una maggiore protezione dalle vulnerabilità.
integrità del codice Hypervisor-Protected
HVCI è una potente mitigazione del sistema che usa VBS per proteggere i processi in modalità kernel di Windows dall'inserimento e dall'esecuzione di codice dannoso o non verificato.
Windows Defender Credential Guard
Abilitare Windows Defender Credential Guard. Windows Defender Credential Guard usa VBS per isolare e proteggere i segreti in modo che solo il software di sistema con privilegi possa accedervi. Ciò impedisce l'accesso non autorizzato a questi segreti e attacchi di furto di credenziali, ad esempio attacchi Pass-the-Hash. Per altre informazioni, vedere Panoramica di Credential Guard.
Controllo di applicazioni di Windows Defender
Abilitare Il controllo delle applicazioni di Windows Defender. Windows Defender Application Control è progettato per proteggere i dispositivi da malware e altro software non attendibile. Impedisce l'esecuzione di codice dannoso assicurandosi che sia possibile eseguire solo il codice approvato, che si conosce. Per altre informazioni, vedere Controllo applicazioni per Windows.
Nota
Quando si usa Windows Defender Controllo di accesso, è consigliabile definire come destinazione solo i criteri a livello di dispositivo. Anche se è possibile indirizzare i criteri ai singoli utenti, dopo l'applicazione dei criteri, influisce ugualmente su tutti gli utenti del dispositivo.
Windows Update
Mantenere aggiornati gli host della sessione con gli aggiornamenti di Windows Update. Windows Update offre un modo sicuro per mantenere aggiornati i dispositivi. La protezione end-to-end impedisce la manipolazione degli scambi di protocolli e garantisce che gli aggiornamenti includano solo contenuto approvato. Potrebbe essere necessario aggiornare le regole del firewall e del proxy per alcuni ambienti protetti per ottenere l'accesso corretto a Windows Aggiornamenti. Per altre informazioni, vedere sicurezza Windows Update.
Client Desktop remoto e aggiornamenti in altre piattaforme del sistema operativo
Gli aggiornamenti software per i client Desktop remoto che è possibile usare per accedere ai servizi Desktop virtuale Azure in altre piattaforme del sistema operativo sono protetti in base ai criteri di sicurezza delle rispettive piattaforme. Tutti gli aggiornamenti client vengono recapitati direttamente dalle piattaforme. Per altre informazioni, vedere le rispettive pagine dello Store per ogni app: