Condividi tramite


Raccomandazioni sulla sicurezza per Desktop virtuale Azure

Desktop virtuale Azure è un servizio desktop virtuale gestito che include molte funzionalità di sicurezza per garantire la sicurezza dell'organizzazione. L'architettura di Desktop virtuale Azure comprende molti componenti che costituiscono il servizio che connette gli utenti ai desktop e alle app.

Desktop virtuale Azure include molte funzionalità di sicurezza avanzate predefinite, ad esempio Reverse Connect, in cui non è necessario aprire porte di rete in ingresso, che riducono i rischi correlati alla possibilità di accedere a desktop remoti ovunque ci si trovi. Il servizio trae vantaggio anche da numerose altre funzionalità di sicurezza di Azure, ad esempio l'autenticazione a più fattori e l'accesso condizionale. Il presente articolo descrive i passaggi che è possibile eseguire come amministratore per proteggere le distribuzioni di Desktop virtuale Azure, indipendentemente dal fatto che si forniscano desktop e app agli utenti dell'organizzazione o agli utenti esterni.

Responsabilità condivise della sicurezza

Prima di Desktop virtuale Azure, le soluzioni di virtualizzazione locali come Servizi Desktop remoto richiedono la concessione agli utenti dell'accesso a ruoli quali Gateway, Broker, Accesso Web e così via. Questi ruoli devono essere completamente ridondanti e in grado di gestire la capacità massima. Gli amministratori installavano questi ruoli come parte del sistema operativo Windows Server e dovevano essere aggiunti a un dominio con porte specifiche accessibili alle connessioni pubbliche. Per garantire la sicurezza delle distribuzioni, gli amministratori dovevano assicurarsi costantemente che tutti gli elementi dell'infrastruttura fossero gestiti ed aggiornati.

Nella maggior parte dei servizi cloud, tuttavia, esiste un set condiviso di responsabilità di sicurezza tra Microsoft e il cliente o il partner. Per Desktop virtuale Azure, la maggior parte dei componenti è gestita da Microsoft, ma gli host di sessione e alcuni servizi e componenti di supporto sono gestiti dal cliente o dai partner. Per altre informazioni sui componenti gestiti da Microsoft di Desktop virtuale Azure, vedere Architettura e resilienza del servizio Desktop virtuale Azure.

Sebbene alcuni componenti siano già protetti per l'ambiente in uso, sarà necessario configurare autonomamente altre aree in modo che si adattino alle esigenze di sicurezza dell'organizzazione o del cliente. Ecco i componenti di cui si è responsabili della sicurezza nella distribuzione di Desktop virtuale Azure:

Componente Responsabilità
Identità Cliente o partner
Dispositivi utente (dispositivo mobile e PC) Cliente o partner
Sicurezza delle app Cliente o partner
Sistema operativo host sessione Cliente o partner
Configurazione della distribuzione Cliente o partner
Controlli di rete Cliente o partner
Piano di controllo della virtualizzazione Microsoft
Host fisici Microsoft
Rete fisica Microsoft
Data center fisico Microsoft

Limiti di sicurezza

I limiti di sicurezza separano il codice e i dati dei domini di sicurezza in base a livelli di attendibilità diversi. Ad esempio, esiste in genere un limite di sicurezza tra la modalità kernel e la modalità utente. La maggior parte dei software e dei servizi Microsoft dipende da più limiti di sicurezza per isolare i dispositivi su reti, macchine virtuali e applicazioni nei dispositivi. La tabella seguente elenca ogni limite di sicurezza per Windows e le operazioni eseguite per la sicurezza generale.

Limite di sicurezza Descrizione
Limite di rete Un endpoint di rete non autorizzato non può accedere o manomettere il codice e i dati nel dispositivo di un cliente.
Limite del kernel Un processo in modalità utente non amministrativa non può accedere o manomettere il codice e i dati del kernel. Da amministratore a kernel non è un limite di sicurezza.
Limite del processo Un processo in modalità utente non autorizzato non può accedere o manomettere il codice e i dati di un altro processo.
Limite sandbox AppContainer Un processo sandbox basato su AppContainer non può accedere o manomettere il codice e i dati all'esterno della sandbox in base alle funzionalità del contenitore.
Limite utente Un utente non può accedere o manomettere il codice e i dati di un altro utente senza essere autorizzato.
Limite sessione Una sessione utente non può accedere o manomettere un'altra sessione utente senza essere autorizzata.
Limite del Web browser Un sito Web non autorizzato non può violare i criteri della stessa origine, né può accedere o manomettere il codice nativo e i dati della sandbox del Web browser Microsoft Edge.
Limite della macchina virtuale Una macchina virtuale guest Hyper-V non autorizzata non può accedere o manomettere il codice e i dati di un'altra macchina virtuale guest; ciò include i contenitori isolati di Hyper-V.
Limite della modalità protetta virtuale (VSM) Il codice in esecuzione all'esterno del processo attendibile o dell'enclave VSM non può accedere o manomettere i dati e il codice all'interno del processo attendibile.

È anche necessario effettuare alcune scelte sui limiti di sicurezza caso per caso. Ad esempio, se un utente dell'organizzazione richiede privilegi di amministratore locale per installare le app, è necessario assegnargli un desktop personale, anziché un host di sessione condiviso. Non è consigliabile concedere agli utenti privilegi di amministratore locale in scenari in pool multisessione perché questi utenti possono superare i limiti di sicurezza per sessioni o autorizzazioni di dati NTFS, arrestare le macchine virtuali multisessione o eseguire altre operazioni che potrebbero interrompere il servizio o causare perdite di dati.

Gli utenti della stessa organizzazione, come i knowledge worker con app che non richiedono privilegi di amministratore, sono ottimi candidati per gli host di sessioni multisessione come Windows 11 Enterprise multisessione. Questi host di sessione riducono i costi per l'organizzazione perché più utenti possono condividere una singola macchina virtuale, a fronte del pagamento di solo i costi generali di una macchina virtuale per utente. Con i prodotti di gestione dei profili utente come FSLogix, gli utenti possono essere assegnati a qualsiasi macchina virtuale in un pool di host senza notare interruzioni del servizio. Questa funzionalità consente anche di ottimizzare i costi, eseguendo operazioni come l'arresto delle macchine virtuali durante le ore di minore attività.

Se la situazione richiede agli utenti di organizzazioni diverse di connettersi alla distribuzione, è consigliabile disporre di un tenant separato per i servizi di gestione delle identità, ad esempio Active Directory e Microsoft Entra ID. È anche consigliabile avere una sottoscrizione separata per gli utenti per l'hosting di risorse di Azure, ad esempio Desktop virtuale Azure e macchine virtuali.

In molti casi, l'uso di più sessioni risulta un modo accettabile per ridurre i costi, ma la raccomandazione dipende dal livello di attendibilità tra gli utenti con accesso simultaneo a un'istanza condivisa di più sessioni. In genere, gli utenti che appartengono alla stessa organizzazione hanno una relazione di trust sufficiente e concordata. Ad esempio, un reparto o un gruppo di lavoro in cui le persone collaborano e possono accedere alle informazioni personali reciproche rappresenta un'organizzazione con un livello di trust elevato.

Windows si avvale dei limiti di sicurezza e dei controlli per garantire che i processi e i dati degli utenti siano isolati tra le sessioni. Tuttavia, Windows fornisce ancora l'accesso all'istanza su cui l'utente sta lavorando.

Le distribuzioni multisessione traggono vantaggio da una strategia di sicurezza approfondita che aggiunge più limiti di sicurezza che impediscono agli utenti all'interno e all'esterno dell'organizzazione di ottenere l'accesso non autorizzato alle informazioni personali di altri. L'accesso non autorizzato ai dati si verifica a causa di un errore nel processo di configurazione da parte dell'amministratore di sistema, ad esempio una vulnerabilità di sicurezza non divulgata o una vulnerabilità nota a cui non è ancora stata applicata una patch.

Non è consigliabile concedere l'accesso allo stesso ambiente multisessione a utenti che lavorano per aziende diverse o concorrenti. Questi scenari hanno diversi limiti di sicurezza che possono essere attaccati o utilizzati in modo improprio, ad esempio rete, kernel, processo, utente o sessioni. Una singola vulnerabilità di sicurezza potrebbe causare furti di dati e credenziali non autorizzati, perdite di informazioni personali, furti di identità e altri problemi. I fornitori di ambienti virtualizzati hanno la responsabilità di offrire sistemi ben progettati, con molteplici e solidi limiti di sicurezza e funzioni di sicurezza aggiuntive attivate ove possibile.

La riduzione di queste potenziali minacce richiede una configurazione a prova di errore, un processo di progettazione della gestione delle patch e pianificazioni regolari della distribuzione di queste ultime. È preferibile seguire i principi di difesa in profondità e tenere separati gli ambienti.

La tabella seguente riepiloga le raccomandazioni per ciascun scenario.

Scenario del livello di trust Soluzione consigliata
Utenti di un'organizzazione con privilegi standard Utilizzare un sistema operativo Windows Enterprise multisessione.
Gli utenti richiedono privilegi amministrativi Usare un pool di host personale e assegnare a ciascun utente il proprio host di sessione.
Utenti di organizzazioni diverse che si connettono Separare il tenant di Azure e la sottoscrizione di Azure

Procedure consigliate per la sicurezza di Azure

Desktop virtuale Azure è un servizio di Azure. Per ottimizzare la sicurezza della distribuzione di Desktop virtuale Azure, occorre assicurarsi di proteggere anche l'infrastruttura di Azure e il piano di gestione circostanti. Per proteggere l'infrastruttura, valutare il modo in cui Desktop virtuale Azure si inserisce nel più ampio ecosistema di Azure. Per altre informazioni sull'ecosistema di Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.

Il panorama odierno delle minacce richiede progetti che tengano conto degli approcci alla sicurezza. L'ideale sarebbe costruire una serie di meccanismi e controlli di sicurezza stratificati su tutta la rete informatica per proteggere i dati e la rete da eventuali attacchi o compromissioni. Questo tipo di progettazione della sicurezza è ciò che la United States Cybersecurity and Infrastructure Security Agency (CISA) definisce difesa in profondità.

Le sezioni seguenti contengono raccomandazioni per la protezione di una distribuzione di Desktop virtuale Azure.

Abilitare Microsoft Defender for Cloud

È consigliabile abilitare le funzionalità di sicurezza avanzate di Microsoft Defender per il cloud per:

  • Gestire le vulnerabilità.
  • Valutare la conformità ai framework comuni, ad esempio dal PCI Security Standards Council.
  • Rafforzare la protezione complessiva dell'ambiente.

Per altre informazioni, vedere Abilitare le funzionalità di sicurezza avanzate.

Migliorare il punteggio di sicurezza

Il Punteggio di sicurezza fornisce raccomandazioni e consigli sulle procedure consigliate per migliorare la sicurezza complessiva. Queste raccomandazioni sono classificate in ordine di priorità per facilitare la scelta di quelle più importanti e le opzioni di correzione rapida consentono di risolvere rapidamente le potenziali vulnerabilità. Inoltre, queste raccomandazioni vengono aggiornate nel tempo, mantenendo aggiornati i modi migliori per gestire la sicurezza dell'ambiente. Per altre informazioni, vedere Migliorare il punteggio di sicurezza in Microsoft Defender per il cloud.

Richiedere l'autenticazione a più fattori

La richiesta dell'autenticazione a più fattori per tutti gli utenti e gli amministratori in Desktop virtuale Azure migliora la sicurezza dell'intera distribuzione. Per altre informazioni, vedere Abilitare l'autenticazione a più fattori di Microsoft Entra per Desktop virtuale Azure.

Abilitare l'accesso condizionale

L'abilitazione dell'accesso condizionale consente di gestire i rischi prima di concedere agli utenti l'accesso all'ambiente Desktop virtuale Azure. Quando si decide a quali utenti concedere l'accesso, è consigliabile considerare anche chi è l'utente, il modo in cui accede e il dispositivo in uso.

Raccogliere log di controllo

L'abilitazione della raccolta dei log di controllo consente di visualizzare l'attività di utenti e amministratori correlata a Desktop virtuale Azure. Ecco alcuni esempi di log di controllo principali:

Monitorare l'uso con Monitoraggio di Azure

Monitorare l'uso e la disponibilità del servizio Desktop virtuale Azure con Monitoraggio di Azure. Prendere in considerazione la creazione di avvisi di integrità dei servizi per il servizio Desktop virtuale Azure per ricevere notifiche ogni volta che si verifica un evento che ha un impatto sui servizi.

Crittografare gli host di sessione

Crittografare gli host di sessione con opzioni di crittografia del disco gestito per proteggere i dati archiviati da accessi non autorizzati.

Procedure consigliate per la sicurezza dell'host di sessione

Gli host di sessione sono macchine virtuali che vengono eseguite all'interno di una sottoscrizione di Azure e di una rete virtuale. La sicurezza complessiva della distribuzione di Desktop virtuale Azure dipende dai controlli di sicurezza associati agli host di sessione. Questa sezione descrive le procedure consigliate per proteggere gli host di sessione.

Abilitare Endpoint Protection

Per proteggere la distribuzione da software dannosi noti, è consigliabile abilitare la protezione dell'endpoint in tutti gli host di sessione. È possibile usare Windows Defender antivirus o un programma di terze parti. Per altre informazioni, vedere la Guida alla distribuzione per Windows Defender Antivirus in un ambiente VDI.

Per le soluzioni di profili come FSLogix o altre soluzioni che montano file disco rigido virtuale, è consigliabile escludere le estensioni di tali file. Per ulteriori informazioni, vedere,

Installare un prodotto di rilevamento di endpoint e risposta

È consigliabile installare un prodotto di rilevamento di endpoint e risposta (EDR) per fornire funzionalità avanzate di rilevamento e risposta. Per i sistemi operativi server con Microsoft Defender per il cloud abilitato, l'installazione di un prodotto EDR distribuirà Microsoft Defender per endpoint. Per i sistemi operativi client, è possibile distribuire Microsoft Defender per endpoint o un prodotto di terze parti in tali endpoint.

Abilitare le valutazioni della gestione delle minacce e delle vulnerabilità

Identificare le vulnerabilità software presenti nei sistemi operativi e nelle applicazioni è essenziale per garantire la protezione dell'ambiente. Microsoft Defender per il cloud consente di identificare le aree problematiche tramite la soluzione di gestione delle minacce e delle vulnerabilità di Microsoft Defender per endpoint. È anche possibile usare prodotti di terze parti se si è particolarmente propensi, anche se è consigliabile usare Microsoft Defender per il cloud e Microsoft Defender per endpoint.

Applicare patch alle vulnerabilità nel proprio ambiente

Una volta identificata una vulnerabilità, è necessario applicarvi una patch. Questo vale anche per gli ambienti virtuali, inclusi i sistemi operativi in esecuzione, le applicazioni distribuite all'interno di essi e le immagini da cui vengono creati nuovi computer. Seguire le comunicazioni delle notifiche sulle patch del fornitore e applicare le patch in maniera tempestiva. Si consiglia di applicare le patch alle immagini di base mensilmente per assicurarsi che i computer appena distribuiti siano più protetti possibile.

Stabilire il tempo massimo di inattività e i criteri di disconnessione

La disconnessione degli utenti quando sono inattivi mantiene le risorse e impedisce l'accesso da parte di utenti non autorizzati. È consigliabile che i timeout bilancino la produttività degli utenti e l'uso delle risorse. Per gli utenti che interagiscono con le applicazioni senza stato, prendere in considerazione criteri più aggressivi che spengano i computer e mantengano le risorse. Disconnettere le applicazioni a esecuzione prolungata che continuano a essere eseguite se un utente è inattivo, ad esempio una simulazione o un rendering CAD, può interrompere il lavoro dell'utente e potrebbe anche richiedere il riavvio del computer.

Configurare i blocchi schermo per le sessioni inattive

È possibile impedire l'accesso indesiderato al sistema configurando Desktop virtuale Azure affinché blocchi lo schermo di un computer durante il tempo di inattività e richieda l'autenticazione per sbloccarlo.

Stabilire l'accesso amministratore a livelli

Si consiglia di non concedere all'amministratore degli utenti l'accesso ai desktop virtuali. Se sono necessari pacchetti software, è consigliabile renderli disponibili tramite utilità di gestione della configurazione come Microsoft Intune. In un ambiente multisessione, è consigliabile non consentire agli utenti di installare direttamente il software.

Considerare quali utenti hanno accesso a quali risorse

Considerare gli host di sessione come un'estensione della distribuzione desktop esistente. Si consiglia di controllare l'accesso alle risorse di rete in modo analogo ad altri desktop nell'ambiente, ad esempio usando la segmentazione e il filtro di rete. Per impostazione predefinita, gli host di sessione possono connettersi a qualsiasi risorsa in Internet. Esistono diversi modi per limitare il traffico, tra cui l'uso del Firewall di Azure, di appliance virtuali di rete o di proxy. Se è necessario limitare il traffico, assicurarsi di aggiungere le regole appropriate in modo che Desktop virtuale Azure possa funzionare correttamente.

Gestire la sicurezza delle app di Microsoft 365

Oltre a proteggere gli host di sessione, è importante proteggere anche le applicazioni in esecuzione all'interno di essi. Le app di Microsoft 365 sono alcune delle applicazioni più comuni distribuite negli host di sessione. Per migliorare la sicurezza della distribuzione di Microsoft 365, è consigliabile usare l'Assistente criteri di sicurezza per Microsoft 365 Apps for Enterprise. Questo strumento identifica i criteri che è possibile applicare alla distribuzione per una maggiore sicurezza. L'Assistente criteri di sicurezza consiglia inoltre i criteri in base al loro impatto sulla sicurezza e la produttività.

Sicurezza del profilo utente

I profili utente possono contenere informazioni riservate. È consigliabile limitare gli utenti che hanno accesso ai profili utente e i metodi di accesso, soprattutto se si usa il contenitore del profilo FSLogix per archiviare i profili utente in un file disco rigido virtuale in una condivisione SMB. È consigliabile seguire le raccomandazioni di sicurezza per il provider della condivisione SMB. Ad esempio, se si usa File di Azure per archiviare questi file del disco rigido virtuale, è possibile usare endpoint privati per renderli accessibili solo all'interno di una rete virtuale di Azure.

Altri suggerimenti per la sicurezza degli host di sessione

Limitando le funzionalità del sistema operativo, è possibile rafforzare la sicurezza degli host di sessione. Ecco alcune operazioni eseguibili:

  • Controllare il reindirizzamento dei dispositivi reindirizzando le unità, le stampanti e i dispositivi USB al dispositivo locale di un utente in una sessione desktop remoto. Si consiglia di valutare i requisiti di sicurezza e verificare se queste funzionalità devono essere disabilitate o meno.

  • Limitare l'accesso a Esplora risorse nascondendo i mapping delle unità locali e remote. In questo modo si impedisce agli utenti di individuare informazioni indesiderate sulla configurazione del sistema e sugli utenti.

  • Evitare l'accesso RDP diretto agli host di sessione nell'ambiente in uso. Se è necessario l'accesso RDP diretto per l'amministrazione o la risoluzione dei problemi, abilitare accesso just-in-time per limitare la superficie di attacco potenziale in un host di sessione.

  • Concedere agli utenti autorizzazioni limitate quando accedono a file system locali e remoti. È possibile limitare le autorizzazioni assicurandosi che i file system locali e remoti usino gli elenchi di controllo di accesso con privilegi minimi. In questo modo, gli utenti possono accedere solo a ciò di cui hanno bisogno e non possono modificare o eliminare le risorse critiche.

  • Impedire l'esecuzione di software indesiderati negli host di sessione. È possibile abilitare Blocco dell'app per la sicurezza aggiuntiva sugli host di sessione, assicurando che solo le app consentite possano essere eseguite nell'host.

Avvio attendibile

L'avvio attendibile è costituito da macchine virtuali di Azure con funzionalità di sicurezza avanzate destinate a proteggersi da tecniche di attacco persistenti, ad esempio minacce bottom-of-the-stack tramite vettori di attacco, quali rootkit, kit di avvio e malware a livello di kernel. Consente la distribuzione sicura di macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver e protegge anche chiavi, certificati e segreti nelle macchine virtuali. Altre informazioni sull'avvio attendibile sono disponibili in Avvio attendibile per le macchine virtuali di Azure.

Quando si aggiungono host di sessione usando il portale di Azure, il tipo di sicurezza predefinito è Macchine virtuali attendibili. In questo modo, la macchina virtuale soddisfa i requisiti obbligatori per Windows 11. Per altre informazioni su questi requisiti, vedere Supporto delle macchine virtuali.

Macchine virtuali di computing riservato di Azure

Il supporto di Desktop virtuale Azure per le macchine virtuali di computing riservato di Azure garantisce che il desktop virtuale di un utente venga crittografato in memoria, protetto in uso e supportato da una radice hardware attendibile.

La distribuzione di macchine virtuali riservate con Desktop virtuale Azure consente agli utenti di accedere a Microsoft 365 e ad altre applicazioni negli host di sessione che usano l'isolamento basato su hardware, il che rafforza l'isolamento da altre macchine virtuali, l'hypervisor e il sistema operativo host. Le chiavi di crittografia della memoria vengono generate e protette da un processore sicuro dedicato all'interno della CPU che non può essere letto dal software. Per altre informazioni, incluse le dimensioni delle macchine virtuali disponibili, vedere Panoramica del computing riservato di Azure.

I sistemi operativi seguenti sono supportati per l'uso come host di sessione con macchine virtuali riservate in Desktop virtuale Azure, per le versioni che sono in supporto attivo. Per le date di supporto, vedere Criteri relativi al ciclo di vita Microsoft.

  • Windows 11 Enterprise
  • Windows 11 Enterprise multisessione
  • Windows 10 Enterprise
  • Windows 10 Enterprise multisessione
  • Windows Server 2022
  • Windows Server 2019

È possibile creare host di sessione usando macchine virtuali riservate quando si distribuisce Desktop virtuale Azure o si aggiungono host di sessione a un pool di host.

Crittografia del disco del sistema operativo

La crittografia del disco del sistema operativo è un livello aggiuntivo di crittografia che associa le chiavi di crittografia del disco al modulo TPM (Trusted Platform Module) della macchina virtuale di computing riservato. Questa crittografia rende il contenuto del disco accessibile solo alla macchina virtuale. Il monitoraggio dell'integrità consente l'attestazione crittografica e la verifica dell'integrità dell'avvio della macchina virtuale e degli avvisi di monitoraggio, se la macchina virtuale non è stata avviata perché l'attestazione non è riuscita con la baseline definita. Per altre informazioni sul monitoraggio dell'integrità, vedere Integrazione di Microsoft Defender per il cloud. È possibile abilitare la crittografia di computing riservato quando si creano host di sessione usando macchine virtuali riservate durante la creazione di un pool di host o l'aggiunta di host di sessione a un pool di host.

Avvio protetto

L'avvio protetto è una modalità supportata dal firmware della piattaforma che protegge il firmware da rootkit e kit di avvio basati su malware. Questa modalità consente solo l'avvio di sistemi operativi e driver firmati.

Monitorare l'integrità dell'avvio usando l'attestazione remota

L'attestazione remota è un ottimo modo per controllare l'integrità delle macchine virtuali. L'attestazione remota verifica che i record di avvio con misurazioni siano presenti, originali e originati dal Virtual Trusted Platform Module (vTPM). In quanto controllo di integrità, garantisce la certezza crittografica dell'avvio corretto di una piattaforma.

vTPM

VTPM è una versione virtualizzata di un TPM (Trusted Platform Module), con un'istanza virtuale di un TPM per macchina virtuale. vTPM abilita l'attestazione remota eseguendo la misurazione dell'integrità dell'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).

È consigliabile abilitare vTPM per utilizzare l'attestazione remota nelle macchine virtuali. Con vTPM abilitato, è anche possibile abilitare la funzionalità BitLocker con Crittografia dischi di Azure, che fornisce la crittografia del volume completo per la protezione dei dati inattivi. Tutte le funzionalità che usano vTPM genereranno segreti associati alla macchina virtuale specifica. Quando gli utenti si connettono al servizio Desktop virtuale Azure in uno scenario in pool, gli utenti possono essere reindirizzati a qualsiasi macchina virtuale nel pool di host. A seconda del modo in cui la funzionalità è progettata, ciò può avere un impatto.

Nota

BitLocker non deve essere usato per crittografare il disco specifico in cui si archiviano i dati del profilo FSLogix.

Sicurezza basata sulla virtualizzazione

La sicurezza basata su virtualizzazione ricorre all'hypervisor per creare e isolare un'area sicura di memoria inaccessibile al sistema operativo. HVCI (Hypervisor-Protected Code Integrity) e Windows Defender Credential Guard utilizzano entrambe la sicurezza basata su VBS per garantire una maggiore protezione dalle vulnerabilità.

Hypervisor-Protected Code Integrity (HVCI)

HVCI è una potente mitigazione del sistema che utilizza la sicurezza basata su virtualizzazione per proteggere i processi in modalità kernel di Windows dall'inserimento e dall'esecuzione di codice dannoso o non verificato.

Windows Defender Credential Guard

Abilitare Windows Defender Credential Guard. Windows Defender Credential Guard utilizza la sicurezza basata su VBS per isolare e proteggere i segreti, in modo che solo il software di sistema con privilegi possa accedervi. In questo modo, si impedisce l'accesso non autorizzato a questi segreti e attacchi di furto di credenziali, ad esempio attacchi Pass-the-Hash. Per altre informazioni, vedere Panoramica di Credential Guard.

Controllo di applicazioni di Windows Defender

Abilitare Windows Defender Application Control. Controllo di applicazioni di Windows Defender è progettato per proteggere i dispositivi da malware e altri software non attendibili. Impedisce l'esecuzione di codice dannoso assicurando che sia possibile eseguire solo il codice approvato e noto. Per altre informazioni, vedere Controllo delle applicazioni per Windows.

Nota

Quando si usa il Servizio di controllo di accesso di Microsoft Azure, è consigliabile impostare come destinazione solo i criteri a livello di dispositivo. Anche se è possibile impostare come destinazione i criteri a singoli utenti, una volta applicati, influisce ugualmente su tutti gli utenti del dispositivo.

Windows Update

Mantenere aggiornati gli host di sessione con gli aggiornamenti di Windows Update. Windows Update offre un modo sicuro per mantenere aggiornati i dispositivi. La protezione end-to-end impedisce la manipolazione degli scambi di protocolli e garantisce che gli aggiornamenti includano solo contenuto approvato. Per ottenere l'accesso appropriato agli aggiornamenti di Windows, potrebbe essere necessario aggiornare le regole del firewall e del proxy per alcuni degli ambienti protetti. Per altre informazioni, vedere Sicurezza di Windows Update.

Client Desktop remoto e aggiornamenti in altre piattaforme del sistema operativo

Gli aggiornamenti software per i client Desktop remoto che è possibile usare per accedere ai servizi Desktop virtuale Azure in altre piattaforme del sistema operativo sono protetti in base ai criteri di sicurezza delle rispettive piattaforme. Tutti gli aggiornamenti client vengono distribuiti direttamente dalle piattaforme. Per altre informazioni, vedere le rispettive pagine dello store per ogni app:

Passaggi successivi