Aanbevelingen voor beveiliging voor Azure Virtual Desktop
Azure Virtual Desktop is een beheerde virtuele bureaubladservice die veel beveiligingsmogelijkheden bevat om uw organisatie veilig te houden. De architectuur van Azure Virtual Desktop bestaat uit veel onderdelen waaruit de service bestaat die gebruikers verbindt met hun desktops en apps.
Azure Virtual Desktop heeft veel ingebouwde geavanceerde beveiligingsfuncties, zoals Omgekeerde Verbinding maken waar geen binnenkomende netwerkpoorten moeten worden geopend, waardoor het risico wordt beperkt dat externe bureaubladen overal toegankelijk zijn. De service profiteert ook van veel andere beveiligingsfuncties van Azure, zoals meervoudige verificatie en voorwaardelijke toegang. In dit artikel worden de stappen beschreven die u als beheerder kunt uitvoeren om uw Azure Virtual Desktop-implementaties veilig te houden, ongeacht of u desktops en apps levert aan gebruikers in uw organisatie of aan externe gebruikers.
Beveiliging met gedeelde verantwoordelijkheden
Voordat Azure Virtual Desktop wordt gebruikt, moeten on-premises virtualisatieoplossingen, zoals Extern bureaublad-services, gebruikers toegang verlenen tot rollen zoals Gateway, Broker, Web Access, enzovoort. Deze rollen moesten volledig redundant zijn en de piekcapaciteit kunnen verwerken. Beheer istrators zouden deze rollen installeren als onderdeel van het Windows Server-besturingssysteem en moesten ze lid zijn van een domein met specifieke poorten die toegankelijk zijn voor openbare verbindingen. Om implementaties veilig te houden, moesten beheerders er voortdurend voor zorgen dat alles in de infrastructuur werd onderhouden en up-to-date was.
In de meeste cloudservices is er echter een gedeelde set beveiligingsverantwoordelijkheden tussen Microsoft en de klant of partner. Voor Azure Virtual Desktop worden de meeste onderdelen door Microsoft beheerd, maar sessiehosts en sommige ondersteunende services en onderdelen worden door de klant beheerd of door een partner beheerd. Zie de azure Virtual Desktop-servicearchitectuur en -tolerantie voor meer informatie over de door Microsoft beheerde onderdelen van Azure Virtual Desktop.
Hoewel sommige onderdelen al zijn beveiligd voor uw omgeving, moet u andere gebieden zelf configureren om te voldoen aan de beveiligingsbehoeften van uw organisatie of klant. Hier volgen de onderdelen waarvan u verantwoordelijk bent voor de beveiliging in uw Azure Virtual Desktop-implementatie:
| Onderdeel | Verantwoordelijkheid |
|---|---|
| Identiteit | Klant of partner |
| Gebruikersapparaten (mobiel en pc) | Klant of partner |
| App-beveiliging | Klant of partner |
| Sessiehostbesturingssysteem | Klant of partner |
| Implementatieconfiguratie | Klant of partner |
| Netwerkbediening | Klant of partner |
| Virtualisatiebesturingsvlak | Microsoft |
| Fysieke hosts | Microsoft |
| Fysiek netwerk | Microsoft |
| Fysiek datacenter | Microsoft |
Beveiligingsgrenzen
Beveiligingsgrenzen scheiden de code en gegevens van beveiligingsdomeinen met verschillende vertrouwensniveaus. Er is bijvoorbeeld meestal een beveiligingsgrens tussen kernelmodus en gebruikersmodus. De meeste Microsoft-software en -services zijn afhankelijk van meerdere beveiligingsgrenzen om apparaten te isoleren op netwerken, virtuele machines (VM's) en toepassingen op apparaten. De volgende tabel bevat elke beveiligingsgrens voor Windows en wat ze doen voor de algehele beveiliging.
| Beveiligingsgrens | Beschrijving |
|---|---|
| Netwerkgrens | Een niet-geautoriseerd netwerkeindpunt kan geen toegang krijgen tot of knoeien met code en gegevens op het apparaat van een klant. |
| Kernelgrens | Een niet-beheerdersmodusproces heeft geen toegang tot kernelcode en -gegevens of kan er niet mee worden geknoeid. Beheer istrator-to-kernel is geen beveiligingsgrens. |
| Procesgrens | Een niet-geautoriseerd gebruikersmodusproces heeft geen toegang tot of manipulatie met de code en gegevens van een ander proces. |
| AppContainer-sandboxgrens | Een sandbox-proces op basis van AppContainer heeft geen toegang tot code en gegevens buiten de sandbox of kan er niet mee worden geknoeid op basis van de containermogelijkheden. |
| Gebruikersgrens | Een gebruiker kan geen toegang krijgen tot of knoeien met de code en gegevens van een andere gebruiker zonder toestemming. |
| Sessiegrens | Een gebruikerssessie kan geen toegang krijgen tot of knoeien met een andere gebruikerssessie zonder geautoriseerd te zijn. |
| Webbrowsergrens | Een niet-geautoriseerde website kan niet in strijd zijn met hetzelfde origin-beleid en kan ook geen toegang krijgen tot of knoeien met de systeemeigen code en gegevens van de sandbox van de Microsoft Edge-webbrowser. |
| Grens van virtuele machine | Een niet-geautoriseerde virtuele Hyper-V-gastmachine heeft geen toegang tot of manipulatie met de code en gegevens van een andere virtuele gastmachine; dit omvat geïsoleerde Hyper-V-containers. |
| VsM-grens (Virtual Secure Mode) | Code die buiten het vertrouwde VSM-proces of enclave wordt uitgevoerd, heeft geen toegang tot of manipulatie met gegevens en code binnen het vertrouwde proces. |
Aanbevolen beveiligingsgrenzen voor Azure Virtual Desktop-scenario's
U moet ook bepaalde keuzes maken over beveiligingsgrenzen per geval. Als een gebruiker in uw organisatie bijvoorbeeld lokale beheerdersbevoegdheden nodig heeft om apps te installeren, moet u hen een persoonlijk bureaublad geven in plaats van een gedeelde sessiehost. Het is niet raadzaam om gebruikers lokale beheerdersbevoegdheden te geven in poolscenario's met meerdere sessies, omdat deze gebruikers beveiligingsgrenzen voor sessies of NTFS-gegevensmachtigingen kunnen overschrijden, VM's met meerdere sessies kunnen afsluiten of andere dingen kunnen doen die de service kunnen onderbreken of gegevensverlies kunnen veroorzaken.
Gebruikers van dezelfde organisatie, zoals kenniswerkers met apps waarvoor geen beheerdersbevoegdheden zijn vereist, zijn goede kandidaten voor sessiehosts met meerdere sessies, zoals Windows 11 Enterprise-multisessie. Deze sessiehosts verlagen de kosten voor uw organisatie omdat meerdere gebruikers één VIRTUELE machine kunnen delen, met alleen de overheadkosten van een VIRTUELE machine per gebruiker. Met beheerproducten voor gebruikersprofielen, zoals FSLogix, kunnen gebruikers elke virtuele machine in een hostgroep toewijzen zonder dat er serviceonderbrekingen zijn. Met deze functie kunt u ook kosten optimaliseren door zaken te doen zoals het afsluiten van VM's tijdens daluren.
Als uw situatie vereist dat gebruikers van verschillende organisaties verbinding maken met uw implementatie, raden we u aan een afzonderlijke tenant te hebben voor identiteitsservices zoals Active Directory en Microsoft Entra-id. We raden u ook aan een afzonderlijk abonnement te hebben voor die gebruikers voor het hosten van Azure-resources, zoals Azure Virtual Desktop en VM's.
In veel gevallen is het gebruik van meerdere sessies een acceptabele manier om de kosten te verlagen, maar of het aan te raden is afhankelijk van het vertrouwensniveau tussen gebruikers met gelijktijdige toegang tot een gedeeld exemplaar van meerdere sessies. Normaal gesproken hebben gebruikers die deel uitmaken van dezelfde organisatie een voldoende en overeengekomen vertrouwensrelatie. Een afdeling of werkgroep waar mensen samenwerken en toegang hebben tot elkaars persoonlijke gegevens is bijvoorbeeld een organisatie met een hoog vertrouwensniveau.
Windows maakt gebruik van beveiligingsgrenzen en besturingselementen om ervoor te zorgen dat gebruikersprocessen en gegevens worden geïsoleerd tussen sessies. Windows biedt echter nog steeds toegang tot het exemplaar waaraan de gebruiker werkt.
Implementaties met meerdere sessies profiteren van een uitgebreide beveiligingsstrategie die meer beveiligingsgrenzen toevoegt die voorkomen dat gebruikers binnen en buiten de organisatie onbevoegde toegang krijgen tot persoonlijke gegevens van andere gebruikers. Onbevoegde gegevenstoegang treedt op vanwege een fout in het configuratieproces door de systeembeheerder, zoals een niet-openbaar beveiligingsprobleem of een bekend beveiligingsprobleem dat nog niet is gepatcht.
Het wordt afgeraden gebruikers toe te kennen die voor verschillende of concurrerende bedrijven toegang hebben tot dezelfde omgeving met meerdere sessies. Deze scenario's hebben verschillende beveiligingsgrenzen die kunnen worden aangevallen of misbruikt, zoals netwerk, kernel, proces, gebruiker of sessies. Eén beveiligingsprobleem kan leiden tot onbevoegde gegevens- en referentiediefstal, lekken van persoonlijke gegevens, identiteitsdiefstal en andere problemen. Gevirtualiseerde omgevingsproviders zijn verantwoordelijk voor het aanbieden van goed ontworpen systemen met meerdere sterke beveiligingsgrenzen en waar mogelijk extra veiligheidsfuncties.
Voor het verminderen van deze mogelijke bedreigingen is een foutbestendige configuratie, het ontwerpproces voor patchbeheer en de reguliere planningen voor patchimplementatie vereist. Het is beter om de principes van diepgaande verdediging te volgen en omgevingen gescheiden te houden.
De volgende tabel bevat een overzicht van onze aanbevelingen voor elk scenario.
| Scenario op vertrouwensniveau | Aanbevolen oplossing |
|---|---|
| Gebruikers van één organisatie met standaardbevoegdheden | Gebruik een windows Enterprise-besturingssysteem met meerdere sessies. |
| Gebruikers hebben beheerdersbevoegdheden nodig | Gebruik een persoonlijke hostgroep en wijs elke gebruiker een eigen sessiehost toe. |
| Gebruikers van verschillende organisaties die verbinding maken | Afzonderlijk Azure-tenant en Azure-abonnement |
Best practices voor Azure-beveiliging
Azure Virtual Desktop is een service onder Azure. Om de veiligheid van uw Azure Virtual Desktop-implementatie te maximaliseren, moet u ervoor zorgen dat u ook de omringende Azure-infrastructuur en het beheervlak beveiligt. Als u uw infrastructuur wilt beveiligen, moet u overwegen hoe Azure Virtual Desktop in uw grotere Azure-ecosysteem past. Zie best practices en patronen voor Azure-beveiliging voor meer informatie over het Azure-ecosysteem.
Het bedreigingslandschap van vandaag vereist ontwerpen met beveiligingsmethoden in gedachten. Idealiter wilt u een reeks beveiligingsmechanismen en besturingselementen bouwen die in uw computernetwerk zijn gelaagd om uw gegevens en netwerk te beschermen tegen inbreuk of aanval. Dit type beveiligingsontwerp is wat de Verenigde Staten CISA (Cybersecurity and Infrastructure Security Agency) diepgaande verdediging noemt.
De volgende secties bevatten aanbevelingen voor het beveiligen van een Azure Virtual Desktop-implementatie.
Microsoft Defender voor Cloud inschakelen
U wordt aangeraden de verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud in te schakelen voor het volgende:
- Beveiligingsproblemen beheren.
- Beoordeel de naleving van algemene frameworks, zoals van de PCI Security Standards Council.
- Verbeter de algehele beveiliging van uw omgeving.
Zie Verbeterde beveiligingsfuncties inschakelen voor meer informatie.
Uw veiligheidsscore verbeteren
Secure Score biedt aanbevelingen en aanbevolen procedures voor het verbeteren van uw algehele beveiliging. Deze aanbevelingen krijgen prioriteit om u te helpen kiezen welke het belangrijkst zijn en de opties voor snelle oplossingen helpen u om potentiële beveiligingsproblemen snel op te lossen. Deze aanbevelingen worden ook in de loop van de tijd bijgewerkt, zodat u op de hoogte blijft van de beste manieren om de beveiliging van uw omgeving te behouden. Zie Uw beveiligingsscore verbeteren in Microsoft Defender voor Cloud voor meer informatie.
Meervoudige verificatie vereisen
Het vereisen van meervoudige verificatie voor alle gebruikers en beheerders in Azure Virtual Desktop verbetert de beveiliging van uw hele implementatie. Zie Microsoft Entra-meervoudige verificatie inschakelen voor Azure Virtual Desktop voor meer informatie.
Voorwaardelijke toegang inschakelen
Als u voorwaardelijke toegang inschakelt, kunt u risico's beheren voordat u gebruikers toegang verleent tot uw Azure Virtual Desktop-omgeving. Wanneer u besluit welke gebruikers toegang moeten verlenen, raden we u aan ook te overwegen wie de gebruiker is, hoe ze zich aanmelden en welk apparaat ze gebruiken.
Auditlogboeken verzamelen
Door auditlogboekverzameling in te schakelen, kunt u gebruikers- en beheerdersactiviteiten met betrekking tot Azure Virtual Desktop bekijken. Enkele voorbeelden van belangrijke auditlogboeken zijn:
- Azure-activiteitenlogboek
- Microsoft Entra-activiteitenlogboek
- Microsoft Entra ID
- Sessiehosts
- Key Vault-logboeken
RemoteApp gebruiken
Wanneer u een implementatiemodel kiest, kunt u externe gebruikers toegang bieden tot volledige bureaubladen of alleen toepassingen selecteren wanneer ze als een RemoteApp worden gepubliceerd. RemoteApp biedt een naadloze ervaring omdat de gebruiker werkt met apps vanaf hun virtuele bureaublad. RemoteApp vermindert het risico door de gebruiker alleen te laten werken met een subset van de externe machine die door de toepassing wordt weergegeven.
Gebruik bewaken met Azure Monitor
Bewaak het gebruik en de beschikbaarheid van uw Azure Virtual Desktop-service met Azure Monitor. Overweeg om servicestatuswaarschuwingen te maken voor de Azure Virtual Desktop-service om meldingen te ontvangen wanneer er sprake is van een service die van invloed is op de gebeurtenis.
Uw sessiehosts versleutelen
Versleutel uw sessiehosts met opties voor beheerde schijfversleuteling om opgeslagen gegevens te beveiligen tegen onbevoegde toegang.
Aanbevolen procedures voor sessiehostbeveiliging
Sessiehosts zijn virtuele machines die worden uitgevoerd binnen een Azure-abonnement en een virtueel netwerk. De algehele beveiliging van uw Azure Virtual Desktop-implementatie is afhankelijk van de beveiligingsmaatregelen die u op uw sessiehosts hebt geplaatst. In deze sectie worden aanbevolen procedures beschreven voor het beveiligen van uw sessiehosts.
Endpoint Protection inschakelen
Als u uw implementatie wilt beschermen tegen bekende schadelijke software, raden we u aan endpoint protection in te schakelen op alle sessiehosts. U kunt Windows Defender Antivirus of een programma van derden gebruiken. Zie de implementatiehandleiding voor Windows Defender Antivirus in een VDI-omgeving voor meer informatie.
Voor profieloplossingen zoals FSLogix of andere oplossingen die virtuele hardeschijfbestanden koppelen, raden we u aan deze bestandsextensies uit te sluiten.
Een eindpuntdetectie en -respons-product installeren
U wordt aangeraden een EDR-product (eindpuntdetectie en -respons) te installeren om geavanceerde detectie- en responsmogelijkheden te bieden. Voor serverbesturingssystemen waarvoor Microsoft Defender voor Cloud is ingeschakeld, wordt het installeren van een EDR-product Microsoft Defender voor Eindpunt geïmplementeerd. Voor clientbesturingssystemen kunt u Microsoft Defender voor Eindpunt of een product van derden implementeren op die eindpunten.
Evaluaties van bedreigings- en beveiligingsbeheer inschakelen
Het identificeren van softwareproblemen die bestaan in besturingssystemen en toepassingen is essentieel om uw omgeving veilig te houden. Microsoft Defender voor Cloud kunt u helpen bij het identificeren van probleempunten via de oplossing voor bedreigings- en beveiligingsproblemen van Microsoft Defender voor Eindpunt. U kunt ook producten van derden gebruiken als u zo geneigd bent, hoewel we u aanraden om Microsoft Defender voor Cloud en Microsoft Defender voor Eindpunt te gebruiken.
Beveiligingsproblemen met patchsoftware in uw omgeving
Zodra u een beveiligingsprobleem hebt geïdentificeerd, moet u deze patch uitvoeren. Dit geldt ook voor virtuele omgevingen, waaronder de actieve besturingssystemen, de toepassingen die erin zijn geïmplementeerd en de installatiekopieën van waaruit u nieuwe machines maakt. Volg de communicatie over de patchmeldingen van uw leverancier en pas patches tijdig toe. We raden u aan uw basisinstallatiekopieën maandelijks te patchen om ervoor te zorgen dat nieuw geïmplementeerde machines zo veilig mogelijk zijn.
Maximaal inactieve tijd- en verbroken beleid instellen
Als gebruikers zich afmelden wanneer ze niet actief zijn, blijven resources behouden en voorkomt u toegang door onbevoegde gebruikers. We raden u aan om time-outs te verdelen over de productiviteit van gebruikers en resourcegebruik. Voor gebruikers die werken met staatloze toepassingen, kunt u een agressiever beleid overwegen dat machines uitschakelt en resources behoudt. De verbinding met langdurige toepassingen die blijven worden uitgevoerd als een gebruiker niet actief is, zoals een simulatie of CAD-rendering, kan het werk van de gebruiker onderbreken en kan zelfs het opnieuw opstarten van de computer vereisen.
Schermvergrendelingen instellen voor niet-actieve sessies
U kunt ongewenste systeemtoegang voorkomen door Azure Virtual Desktop te configureren om het scherm van een machine tijdens inactiviteit te vergrendelen en verificatie te vereisen om het te ontgrendelen.
Gelaagde beheerderstoegang tot stand brengen
U wordt aangeraden uw gebruikers geen beheerderstoegang te verlenen tot virtuele bureaubladen. Als u softwarepakketten nodig hebt, raden we u aan deze beschikbaar te maken via hulpprogramma's voor configuratiebeheer, zoals Microsoft Intune. In een omgeving met meerdere sessies raden we u aan gebruikers niet rechtstreeks software te laten installeren.
Overweeg welke gebruikers toegang moeten krijgen tot welke resources
Overweeg sessiehosts als uitbreiding van uw bestaande bureaubladimplementatie. U wordt aangeraden de toegang tot netwerkbronnen op dezelfde manier te beheren als voor andere bureaubladen in uw omgeving, zoals het gebruik van netwerksegmentatie en filteren. Sessiehosts kunnen standaard verbinding maken met elke resource op internet. Er zijn verschillende manieren waarop u verkeer kunt beperken, waaronder het gebruik van Azure Firewall, Virtuele netwerkapparaten of proxy's. Als u verkeer wilt beperken, moet u ervoor zorgen dat u de juiste regels toevoegt, zodat Azure Virtual Desktop goed kan werken.
Microsoft 365-app-beveiliging beheren
Naast het beveiligen van uw sessiehosts is het belangrijk dat u ook de toepassingen beveiligt die erin worden uitgevoerd. Microsoft 365-apps zijn enkele van de meest voorkomende toepassingen die zijn geïmplementeerd in sessiehosts. Om de microsoft 365-implementatiebeveiliging te verbeteren, raden we u aan de Security Policy Advisor voor Microsoft 365-apps voor ondernemingen te gebruiken. Dit hulpprogramma identificeert beleidsregels die u op uw implementatie kunt toepassen voor meer beveiliging. Security Policy Advisor raadt ook beleidsregels aan op basis van hun impact op uw beveiliging en productiviteit.
Beveiliging van gebruikersprofielen
Gebruikersprofielen kunnen gevoelige informatie bevatten. U moet beperken wie toegang heeft tot gebruikersprofielen en de toegangsmethoden, met name als u FSLogix-profielcontainer gebruikt om gebruikersprofielen op te slaan in een virtuele harde schijfbestand op een SMB-share. Volg de beveiligingsaanveling voor de provider van uw SMB-share. Als u bijvoorbeeld Azure Files gebruikt om deze virtuele hardeschijfbestanden op te slaan, kunt u privé-eindpunten gebruiken om ze alleen toegankelijk te maken binnen een virtueel Azure-netwerk.
Andere beveiligingstips voor sessiehosts
Door de mogelijkheden van het besturingssysteem te beperken, kunt u de beveiliging van uw sessiehosts versterken. Hier volgen enkele dingen die u kunt doen:
Beheer apparaatomleiding door stations, printers en USB-apparaten om te leiden naar het lokale apparaat van een gebruiker in een extern bureaubladsessie. We raden u aan uw beveiligingsvereisten te evalueren en te controleren of deze functies moeten worden uitgeschakeld of niet.
Beperk de toegang tot Windows Verkenner door toewijzingen van lokale en externe stations te verbergen. Hiermee voorkomt u dat gebruikers ongewenste informatie over systeemconfiguratie en gebruikers detecteren.
Vermijd directe RDP-toegang tot sessiehosts in uw omgeving. Als u directe RDP-toegang nodig hebt voor beheer of probleemoplossing, schakelt u Just-In-Time-toegang in om het potentiële kwetsbaarheid voor aanvallen op een sessiehost te beperken.
Gebruikers beperkte machtigingen verlenen wanneer ze toegang hebben tot lokale en externe bestandssystemen. U kunt machtigingen beperken door ervoor te zorgen dat uw lokale en externe bestandssystemen toegangsbeheerlijsten met minimale bevoegdheden gebruiken. Op deze manier hebben gebruikers alleen toegang tot wat ze nodig hebben en kunnen ze kritieke resources niet wijzigen of verwijderen.
Voorkom dat ongewenste software wordt uitgevoerd op sessiehosts. U kunt App Locker inschakelen voor extra beveiliging op sessiehosts, zodat alleen de apps die u toestaat, kunnen worden uitgevoerd op de host.
Vertrouwde start
Vertrouwde lancering zijn Gen2 Azure-VM's met verbeterde beveiligingsfuncties die zijn gericht op bescherming tegen bedreigingen op het laagste niveau van de stack via aanvalsvectoren, zoals rootkits, opstartkits en malware op kernelniveau. Hieronder vindt u de verbeterde beveiligingsfuncties van vertrouwde lancering, die allemaal worden ondersteund in Azure Virtual Desktop. Ga naar Vertrouwde lancering voor virtuele Azure-machines voor meer informatie over vertrouwde lancering.
Vertrouwde start als standaard inschakelen
Vertrouwde lancering beschermt tegen geavanceerde en permanente aanvalstechnieken. Met deze functie kunt u ook virtuele machines beveiligen met geverifieerde opstartladers, besturingssysteemkernels en stuurprogramma's. Met vertrouwde start worden ook sleutels, certificaten en geheimen in de VM's beveiligd. Meer informatie over vertrouwde lancering bij vertrouwde lancering voor virtuele Azure-machines.
Wanneer u sessiehosts toevoegt met behulp van Azure Portal, wordt het beveiligingstype automatisch gewijzigd in vertrouwde virtuele machines. Dit zorgt ervoor dat uw VM voldoet aan de verplichte vereisten voor Windows 11. Zie Ondersteuning voor virtuele machines voor meer informatie over deze vereisten.
Virtuele machines van Azure Confidential Computing
Azure Virtual Desktop-ondersteuning voor virtuele machines van Azure Confidential Computing zorgt ervoor dat het virtuele bureaublad van een gebruiker wordt versleuteld in het geheugen, wordt beveiligd in gebruik en wordt ondersteund door de hardwarebasis van vertrouwen. Azure Confidential Computing-VM's voor Azure Virtual Desktop zijn compatibel met ondersteunde besturingssystemen. Het implementeren van vertrouwelijke VM's met Azure Virtual Desktop biedt gebruikers toegang tot Microsoft 365 en andere toepassingen op sessiehosts die gebruikmaken van isolatie op basis van hardware, waardoor isolatie van andere virtuele machines, de hypervisor en het hostbesturingssysteem wordt beperkt. Deze virtuele bureaubladen worden mogelijk gemaakt door de nieuwste EPYC-processor™ (Third-Generation) (Gen 3) Advanced Micro Devices (AMD) met Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP) technologie. Geheugenversleutelingssleutels worden gegenereerd en beveiligd door een toegewezen beveiligde processor in de AMD-CPU die niet kan worden gelezen uit software. Zie het overzicht van Azure Confidential Computing voor meer informatie.
De volgende besturingssystemen worden ondersteund voor gebruik als sessiehosts met vertrouwelijke VM's in Azure Virtual Desktop:
- Windows 11 Enterprise, versie 22H2
- Windows 11 Enterprise-multisessie, versie 22H2
- Windows Server 2022
- Windows Server 2019
U kunt sessiehosts maken met behulp van vertrouwelijke VM's wanneer u een hostgroep maakt of sessiehosts toevoegt aan een hostgroep.
Besturingssysteemschijfversleuteling
Het versleutelen van de besturingssysteemschijf is een extra versleutelingslaag waarmee schijfversleutelingssleutels worden gekoppeld aan de Trusted Platform Module (TPM) van de VM Confidential Computing. Deze versleuteling maakt de schijfinhoud alleen toegankelijk voor de VIRTUELE machine. Integriteitscontrole maakt cryptografische attestatie en verificatie van VM-opstartintegriteit en bewakingswaarschuwingen mogelijk als de VM niet is opgestart omdat attestation is mislukt met de gedefinieerde basislijn. Zie Microsoft Defender voor Cloud Integratie voor meer informatie over integriteitscontrole. U kunt vertrouwelijke rekenversleuteling inschakelen wanneer u sessiehosts maakt met behulp van vertrouwelijke VM's wanneer u een hostgroep maakt of sessiehosts toevoegt aan een hostgroep.
Secure Boot
Beveiligd opstarten is een modus die platformfirmware ondersteunt die uw firmware beschermt tegen rootkits en opstartkits op basis van malware. In deze modus kunnen alleen ondertekende besturingssystemen en stuurprogramma's worden opgestart.
Opstartintegriteit bewaken met behulp van Remote Attestation
Externe attestation is een uitstekende manier om de status van uw VM's te controleren. Externe attestation controleert of gemeten opstartrecords aanwezig, legitiem zijn en afkomstig zijn van de Virtual Trusted Platform Module (vTPM). Als statuscontrole biedt het cryptografische zekerheid dat een platform correct is opgestart.
vTPM
Een vTPM is een gevirtualiseerde versie van een HARDWARE Trusted Platform Module (TPM), met een virtueel exemplaar van een TPM per VM. vTPM maakt externe attestation mogelijk door integriteitsmetingen uit te voeren van de gehele opstartketen van de VIRTUELE machine (UEFI, OS, systeem en stuurprogramma's).
We raden u aan vTPM in te schakelen voor het gebruik van externe attestation op uw VM's. Als vTPM is ingeschakeld, kunt u ook BitLocker-functionaliteit inschakelen met Azure Disk Encryption, dat volledige volumeversleuteling biedt om data-at-rest te beveiligen. Alle functies die vTPM gebruiken, resulteren in geheimen die zijn gebonden aan de specifieke VM. Wanneer gebruikers verbinding maken met de Azure Virtual Desktop-service in een gegroepeerd scenario, kunnen gebruikers worden omgeleid naar elke virtuele machine in de hostgroep. Afhankelijk van hoe de functie is ontworpen, kan dit gevolgen hebben.
Notitie
BitLocker mag niet worden gebruikt om de specifieke schijf te versleutelen waar u uw FSLogix-profielgegevens opslaat.
Beveiliging op basis van virtualisatie
Beveiliging op basis van virtualisatie (VBS) maakt gebruik van de hypervisor om een beveiligd geheugengebied te maken en te isoleren dat niet toegankelijk is voor het besturingssysteem. HvCI (Hypervisor-Protected Code Integrity) en Windows Defender Credential Guard maken beide gebruik van VBS om betere bescherming te bieden tegen beveiligingsproblemen.
Integriteit van met hypervisor beveiligde code
HVCI is een krachtige systeembeperking die gebruikmaakt van VBS om Windows-kernelmodusprocessen te beschermen tegen injectie en uitvoering van schadelijke of niet-geverifieerde code.
Windows Defender Credential Guard
Schakel Windows Defender Credential Guard in. Windows Defender Credential Guard maakt gebruik van VBS om geheimen te isoleren en te beveiligen, zodat alleen bevoegde systeemsoftware er toegang toe heeft. Dit voorkomt onbevoegde toegang tot deze geheimen en aanvallen met diefstal van referenties, zoals Pass-the-Hash-aanvallen. Zie Het overzicht van Credential Guard voor meer informatie.
Windows Defender Application Control
Schakel Windows Defender-toepassingsbeheer in. Windows Defender Application Control is ontworpen om apparaten te beschermen tegen malware en andere niet-vertrouwde software. Het voorkomt dat schadelijke code wordt uitgevoerd door ervoor te zorgen dat alleen goedgekeurde code, die u weet, kan worden uitgevoerd. Zie Toepassingsbeheer voor Windows voor meer informatie.
Notitie
Wanneer u Windows Defender Access Control gebruikt, raden we u aan alleen beleid op apparaatniveau te richten. Hoewel het mogelijk is om beleid te richten op afzonderlijke gebruikers, is het zodra het beleid is toegepast, van invloed op alle gebruikers op het apparaat.
Windows Update
Houd uw sessiehosts up-to-date met updates van Windows Update. Windows Update biedt een veilige manier om uw apparaten up-to-date te houden. De end-to-end-beveiliging voorkomt manipulatie van protocoluitwisselingen en zorgt ervoor dat updates alleen goedgekeurde inhoud bevatten. Mogelijk moet u firewall- en proxyregels voor sommige van uw beveiligde omgevingen bijwerken om de juiste toegang tot Windows-updates te krijgen. Zie Windows Update-beveiliging voor meer informatie.
Extern bureaublad-client en updates op andere besturingssysteemplatforms
Software-updates voor de Extern bureaublad-clients die u kunt gebruiken voor toegang tot Azure Virtual Desktop-services op andere besturingssysteemplatforms, worden beveiligd volgens het beveiligingsbeleid van hun respectieve platforms. Alle clientupdates worden rechtstreeks door hun platforms geleverd. Zie de respectieve store-pagina's voor elke app voor meer informatie:
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor