Recomendações de segurança para o Ambiente de Trabalho Virtual do Azure
A Área de Trabalho Virtual do Azure é um serviço de área de trabalho virtual gerenciado que inclui muitos recursos de segurança para manter sua organização segura. A arquitetura da Área de Trabalho Virtual do Azure compreende muitos componentes que compõem o serviço que conecta os usuários a suas áreas de trabalho e aplicativos.
A Área de Trabalho Virtual do Azure tem muitos recursos de segurança avançados internos, como Conexão Inversa, onde nenhuma porta de rede de entrada precisa estar aberta, o que reduz o risco envolvido em ter áreas de trabalho remotas acessíveis de qualquer lugar. O serviço também se beneficia de muitos outros recursos de segurança do Azure, como autenticação multifator e acesso condicional. Este artigo descreve as etapas que você pode seguir como administrador para manter suas implantações da Área de Trabalho Virtual do Azure seguras, quer você forneça áreas de trabalho e aplicativos para usuários em sua organização ou para usuários externos.
Responsabilidades partilhadas de segurança
Antes da Área de Trabalho Virtual do Azure, as soluções de virtualização locais, como os Serviços de Área de Trabalho Remota, exigem conceder aos usuários acesso a funções como Gateway, Broker, Web Access e assim por diante. Essas funções tinham que ser totalmente redundantes e capazes de lidar com a capacidade de pico. Os administradores instalariam essas funções como parte do sistema operacional Windows Server e elas tinham que ingressar no domínio com portas específicas acessíveis a conexões públicas. Para manter as implantações seguras, os administradores tinham que se certificar constantemente de que tudo na infraestrutura fosse mantido e atualizado.
Na maioria dos serviços de nuvem, no entanto, há um conjunto compartilhado de responsabilidades de segurança entre a Microsoft e o cliente ou parceiro. Para a Área de Trabalho Virtual do Azure, a maioria dos componentes é gerenciada pela Microsoft, mas os hosts de sessão e alguns serviços e componentes de suporte são gerenciados pelo cliente ou pelo parceiro. Para saber mais sobre os componentes gerenciados pela Microsoft da Área de Trabalho Virtual do Azure, consulte Arquitetura e resiliência do serviço da Área de Trabalho Virtual do Azure.
Embora alguns componentes já estejam protegidos para seu ambiente, você precisará configurar outras áreas para atender às necessidades de segurança da sua organização ou cliente. Aqui estão os componentes dos quais você é responsável pela segurança em sua implantação da Área de Trabalho Virtual do Azure:
| Componente | Responsabilidade |
|---|---|
| Identidade | Cliente ou parceiro |
| Dispositivos do utilizador (telemóvel e PC) | Cliente ou parceiro |
| Segurança da aplicação | Cliente ou parceiro |
| Sistema operacional do host da sessão | Cliente ou parceiro |
| Configuração de implantação | Cliente ou parceiro |
| Controlos de rede | Cliente ou parceiro |
| Plano de controle de virtualização | Microsoft |
| Anfitriões físicos | Microsoft |
| Rede física | Microsoft |
| Datacenter físico | Microsoft |
Limites de segurança
Os limites de segurança separam o código e os dados dos domínios de segurança com diferentes níveis de confiança. Por exemplo, geralmente há um limite de segurança entre o modo kernel e o modo de usuário. A maioria dos softwares e serviços da Microsoft depende de vários limites de segurança para isolar dispositivos em redes, máquinas virtuais (VMs) e aplicativos em dispositivos. A tabela a seguir lista cada limite de segurança para o Windows e o que eles fazem para a segurança geral.
| Limite de segurança | Description |
|---|---|
| Limite da rede | Um ponto de extremidade de rede não autorizado não pode acessar ou adulterar código e dados no dispositivo de um cliente. |
| Limite do kernel | Um processo de modo de usuário não administrativo não pode acessar ou adulterar o código e os dados do kernel. Administrador para kernel não é um limite de segurança. |
| Limite do processo | Um processo de modo de usuário não autorizado não pode acessar ou adulterar o código e os dados de outro processo. |
| Limite da área restrita do AppContainer | Um processo de sandbox baseado em AppContainer não pode acessar ou adulterar código e dados fora da área restrita com base nos recursos do contêiner. |
| Limite do usuário | Um usuário não pode acessar ou adulterar o código e os dados de outro usuário sem ser autorizado. |
| Limite da sessão | Uma sessão de usuário não pode acessar ou adulterar outra sessão de usuário sem ser autorizada. |
| Limite do navegador da Web | Um site não autorizado não pode violar a política de mesma origem, nem pode acessar ou adulterar o código nativo e os dados da área restrita do navegador da Web Microsoft Edge. |
| Limite da máquina virtual | Uma máquina virtual convidada Hyper-V não autorizada não pode acessar ou adulterar o código e os dados de outra máquina virtual convidada; isso inclui contêineres isolados do Hyper-V. |
| Limite do Modo Seguro Virtual (VSM) | O código executado fora do processo ou enclave confiável do VSM não pode acessar ou adulterar dados e código dentro do processo confiável. |
Limites de segurança recomendados para cenários de Ambiente de Trabalho Virtual do Azure
Você também precisará fazer certas escolhas sobre limites de segurança caso a caso. Por exemplo, se um utilizador na sua organização precisar de privilégios de administrador local para instalar aplicações, terá de lhe dar um ambiente de trabalho pessoal em vez de um anfitrião de sessão partilhado. Não recomendamos conceder aos usuários privilégios de administrador local em cenários agrupados de várias sessões, pois esses usuários podem cruzar os limites de segurança para sessões ou permissões de dados NTFS, desligar VMs de várias sessões ou fazer outras coisas que possam interromper o serviço ou causar perdas de dados.
Usuários da mesma organização, como profissionais do conhecimento com aplicativos que não exigem privilégios de administrador, são ótimos candidatos para hosts de sessão múltipla, como o Windows 11 Enterprise com várias sessões. Esses hosts de sessão reduzem os custos para sua organização porque vários usuários podem compartilhar uma única VM, com apenas os custos gerais de uma VM por usuário. Com produtos de gerenciamento de perfil de usuário como FSLogix, os usuários podem receber qualquer VM em um pool de hosts sem notar interrupções de serviço. Esse recurso também permite otimizar custos fazendo coisas como desligar VMs fora do horário de pico.
Se sua situação exigir que usuários de organizações diferentes se conectem à sua implantação, recomendamos que você tenha um locatário separado para serviços de identidade, como Ative Directory e Microsoft Entra ID. Também recomendamos que você tenha uma assinatura separada para esses usuários para hospedar recursos do Azure, como a Área de Trabalho Virtual do Azure e VMs.
Em muitos casos, o uso de várias sessões é uma maneira aceitável de reduzir custos, mas se recomendamos isso depende do nível de confiança entre os usuários com acesso simultâneo a uma instância compartilhada de várias sessões. Normalmente, os usuários que pertencem à mesma organização têm uma relação de confiança suficiente e acordada. Por exemplo, um departamento ou grupo de trabalho onde as pessoas colaboram e podem acessar as informações pessoais umas das outras é uma organização com um alto nível de confiança.
O Windows usa limites e controles de segurança para garantir que os processos e os dados do usuário sejam isolados entre as sessões. No entanto, o Windows ainda fornece acesso à instância em que o usuário está trabalhando.
As implantações de várias sessões se beneficiariam de uma estratégia de segurança em profundidade que adiciona mais limites de segurança que impedem que os usuários dentro e fora da organização obtenham acesso não autorizado às informações pessoais de outros usuários. O acesso não autorizado a dados acontece devido a um erro no processo de configuração pelo administrador do sistema, como uma vulnerabilidade de segurança não revelada ou uma vulnerabilidade conhecida que ainda não foi corrigida.
Não recomendamos conceder aos usuários que trabalham para empresas diferentes ou concorrentes acesso ao mesmo ambiente de várias sessões. Esses cenários têm vários limites de segurança que podem ser atacados ou abusados, como rede, kernel, processo, usuário ou sessões. Uma única vulnerabilidade de segurança pode causar roubo não autorizado de dados e credenciais, vazamentos de informações pessoais, roubo de identidade e outros problemas. Os provedores de ambientes virtualizados são responsáveis por oferecer sistemas bem projetados, com vários limites de segurança fortes e recursos de segurança extras habilitados sempre que possível.
A redução dessas ameaças potenciais requer uma configuração à prova de falhas, um processo de design de gerenciamento de patches e agendamentos regulares de implantação de patches. É melhor seguir os princípios de defesa em profundidade e manter os ambientes separados.
A tabela a seguir resume nossas recomendações para cada cenário.
| Cenário de nível de confiança | Solução recomendada |
|---|---|
| Usuários de uma organização com privilégios padrão | Use um sistema operacional Windows Enterprise de várias sessões. |
| Os usuários precisam de privilégios administrativos | Use um pool de hosts pessoal e atribua a cada usuário seu próprio host de sessão. |
| Usuários de diferentes organizações conectando-se | Separe o locatário do Azure e a assinatura do Azure |
Melhores práticas de segurança do Azure
A Área de Trabalho Virtual do Azure é um serviço no Azure. Para maximizar a segurança da sua implantação da Área de Trabalho Virtual do Azure, você também deve proteger a infraestrutura e o plano de gerenciamento do Azure ao redor. Para proteger sua infraestrutura, considere como a Área de Trabalho Virtual do Azure se encaixa em seu ecossistema maior do Azure. Para saber mais sobre o ecossistema do Azure, consulte Práticas recomendadas e padrões de segurança do Azure.
O cenário atual de ameaças requer projetos com abordagens de segurança em mente. Idealmente, você vai querer construir uma série de mecanismos de segurança e controles em camadas em toda a sua rede de computadores para proteger seus dados e rede de serem comprometidos ou atacados. Esse tipo de design de segurança é o que a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) chama de defesa em profundidade.
As seções a seguir contêm recomendações para proteger uma implantação da Área de Trabalho Virtual do Azure.
Ativar o Microsoft Defender for Cloud
Recomendamos ativar os recursos de segurança aprimorados do Microsoft Defender for Cloud para:
- Gerencie vulnerabilidades.
- Avalie a conformidade com estruturas comuns, como a do PCI Security Standards Council.
- Fortaleça a segurança geral do seu ambiente.
Para saber mais, consulte Ativar recursos de segurança avançados.
Melhorar a Classificação de Segurança
O Secure Score fornece recomendações e conselhos de práticas recomendadas para melhorar sua segurança geral. Essas recomendações são priorizadas para ajudá-lo a escolher quais são as mais importantes, e as opções de Correção Rápida ajudam você a resolver vulnerabilidades potenciais rapidamente. Essas recomendações também são atualizadas ao longo do tempo, mantendo-o atualizado sobre as melhores maneiras de manter a segurança do seu ambiente. Para saber mais, consulte Melhorar sua pontuação segura no Microsoft Defender for Cloud.
Exigir autenticação multifator
Exigir autenticação multifator para todos os usuários e administradores na Área de Trabalho Virtual do Azure melhora a segurança de toda a sua implantação. Para saber mais, consulte Habilitar a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure.
Ativar acesso condicional
Habilitar o Acesso Condicional permite gerenciar riscos antes de conceder aos usuários acesso ao seu ambiente de Área de Trabalho Virtual do Azure. Ao decidir a quais usuários conceder acesso, recomendamos que você também considere quem é o usuário, como ele entra e qual dispositivo está usando.
Coletar logs de auditoria
Habilitar a coleta de log de auditoria permite exibir atividades de usuário e administrador relacionadas à Área de Trabalho Virtual do Azure. Alguns exemplos de logs de auditoria importantes são:
- Registo de Atividades do Azure
- Registro de atividades do Microsoft Entra
- Microsoft Entra ID
- Anfitriões de sessão
- Logs do Cofre de Chaves
Usar o RemoteApp
Ao escolher um modelo de implantação, você pode fornecer aos usuários remotos acesso a áreas de trabalho inteiras ou apenas selecionar aplicativos quando publicados como um RemoteApp. O RemoteApp oferece uma experiência perfeita à medida que o usuário trabalha com aplicativos de sua área de trabalho virtual. O RemoteApp reduz o risco permitindo que o usuário trabalhe apenas com um subconjunto da máquina remota exposta pelo aplicativo.
Monitorar o uso com o Azure Monitor
Monitore o uso e a disponibilidade do serviço de Área de Trabalho Virtual do Azure com o Azure Monitor. Considere a criação de alertas de integridade do serviço para que o serviço de Área de Trabalho Virtual do Azure receba notificações sempre que houver um evento que afete o serviço.
Criptografar seus hosts de sessão
Criptografe seus hosts de sessão com opções de criptografia de disco gerenciado para proteger os dados armazenados contra acesso não autorizado.
Práticas recomendadas de segurança do host de sessão
Os hosts de sessão são máquinas virtuais que são executadas dentro de uma assinatura do Azure e de uma rede virtual. A segurança geral da implantação da Área de Trabalho Virtual do Azure depende dos controles de segurança que você coloca em seus hosts de sessão. Esta seção descreve as práticas recomendadas para manter seus hosts de sessão seguros.
Ativar a proteção de pontos finais
Para proteger sua implantação contra software mal-intencionado conhecido, recomendamos habilitar a proteção de ponto de extremidade em todos os hosts de sessão. Você pode usar o Windows Defender Antivírus ou um programa de terceiros. Para saber mais, consulte Guia de implantação do Windows Defender Antivírus em um ambiente VDI.
Para soluções de perfil como FSLogix ou outras soluções que montam arquivos de disco rígido virtual, recomendamos excluir essas extensões de arquivo.
Instalar um produto de deteção e resposta de endpoint
Recomendamos que você instale um produto de deteção e resposta de ponto final (EDR) para fornecer recursos avançados de deteção e resposta. Para sistemas operacionais de servidor com o Microsoft Defender for Cloud habilitado, a instalação de um produto EDR implantará o Microsoft Defender for Endpoint. Para sistemas operacionais cliente, você pode implantar o Microsoft Defender for Endpoint ou um produto de terceiros nesses pontos de extremidade.
Habilite avaliações de gerenciamento de ameaças e vulnerabilidades
Identificar vulnerabilidades de software que existem em sistemas operacionais e aplicativos é fundamental para manter seu ambiente seguro. O Microsoft Defender for Cloud pode ajudá-lo a identificar pontos problemáticos por meio da solução de gerenciamento de ameaças e vulnerabilidades do Microsoft Defender for Endpoint. Você também pode usar produtos de terceiros se estiver tão inclinado, embora recomendemos o uso do Microsoft Defender for Cloud e do Microsoft Defender for Endpoint.
Corrija vulnerabilidades de software no seu ambiente
Depois de identificar uma vulnerabilidade, você deve corrigi-la. Isso também se aplica a ambientes virtuais, o que inclui os sistemas operacionais em execução, os aplicativos implantados dentro deles e as imagens a partir das quais você cria novas máquinas. Siga as comunicações de notificação de patches do fornecedor e aplique patches em tempo hábil. Recomendamos aplicar patches nas imagens base mensalmente para garantir que as máquinas recém-implantadas sejam o mais seguras possível.
Estabeleça políticas máximas de tempo inativo e desconexão
Sair de usuários quando eles estão inativos preserva recursos e impede o acesso de usuários não autorizados. Recomendamos que os tempos limite equilibrem a produtividade do usuário, bem como o uso de recursos. Para usuários que interagem com aplicativos sem monitoração de estado, considere políticas mais agressivas que desliguem máquinas e preservem recursos. Desconectar aplicativos de longa execução que continuam a ser executados se um usuário estiver ocioso, como uma simulação ou renderização CAD, pode interromper o trabalho do usuário e pode até exigir a reinicialização do computador.
Configurar bloqueios de tela para sessões ociosas
Você pode impedir o acesso indesejado ao sistema configurando a Área de Trabalho Virtual do Azure para bloquear a tela de uma máquina durante o tempo ocioso e exigindo autenticação para desbloqueá-la.
Estabeleça acesso de administrador hierárquico
Recomendamos que você não conceda aos usuários acesso de administrador a áreas de trabalho virtuais. Se precisar de pacotes de software, recomendamos disponibilizá-los através de utilitários de gestão de configuração, como o Microsoft Intune. Em um ambiente de várias sessões, recomendamos que você não permita que os usuários instalem o software diretamente.
Considerar quais usuários devem acessar quais recursos
Considere os hosts de sessão como uma extensão de sua implantação de área de trabalho existente. Recomendamos que você controle o acesso aos recursos de rede da mesma forma que faria para outros desktops em seu ambiente, como usar segmentação e filtragem de rede. Por padrão, os hosts de sessão podem se conectar a qualquer recurso na Internet. Há várias maneiras de limitar o tráfego, incluindo o uso do Firewall do Azure, Dispositivos Virtuais de Rede ou proxies. Se você precisar limitar o tráfego, certifique-se de adicionar as regras adequadas para que a Área de Trabalho Virtual do Azure possa funcionar corretamente.
Gerenciar a segurança do aplicativo Microsoft 365
Além de proteger seus hosts de sessão, é importante também proteger os aplicativos executados dentro deles. Os aplicativos do Microsoft 365 são alguns dos aplicativos mais comuns implantados em hosts de sessão. Para melhorar a segurança de implantação do Microsoft 365, recomendamos que você use o Security Policy Advisor for Microsoft 365 Apps for enterprise. Essa ferramenta identifica as políticas que você pode aplicar à sua implantação para obter mais segurança. O Security Policy Advisor também recomenda políticas com base no seu impacto na sua segurança e produtividade.
Segurança do perfil de utilizador
Os perfis de usuário podem conter informações confidenciais. Você deve restringir quem tem acesso aos perfis de usuário e os métodos de acessá-los, especialmente se estiver usando o FSLogix Profile Container para armazenar perfis de usuário em um arquivo de disco rígido virtual em um compartilhamento SMB. Deve seguir as recomendações de segurança para o fornecedor da sua quota SMB. Por exemplo, se estiver a utilizar os Ficheiros do Azure para armazenar estes ficheiros de disco rígido virtual, pode utilizar pontos de extremidade privados para os tornar acessíveis apenas numa rede virtual do Azure.
Outras dicas de segurança para hosts de sessão
Ao restringir os recursos do sistema operacional, você pode fortalecer a segurança dos hosts de sessão. Aqui estão algumas coisas que você pode fazer:
Controle o redirecionamento de dispositivos redirecionando unidades, impressoras e dispositivos USB para o dispositivo local de um usuário em uma sessão de área de trabalho remota. Recomendamos que você avalie seus requisitos de segurança e verifique se esses recursos devem ser desativados ou não.
Restrinja o acesso ao Windows Explorer ocultando mapeamentos de unidades locais e remotas. Isso impede que os usuários descubram informações indesejadas sobre a configuração do sistema e os usuários.
Evite o acesso RDP direto a hosts de sessão em seu ambiente. Se você precisar de acesso RDP direto para administração ou solução de problemas, habilite o acesso just-in-time para limitar a superfície de ataque potencial em um host de sessão.
Conceda aos usuários permissões limitadas quando eles acessam sistemas de arquivos locais e remotos. Você pode restringir as permissões certificando-se de que seus sistemas de arquivos locais e remotos usem listas de controle de acesso com privilégios mínimos. Dessa forma, os usuários só podem acessar o que precisam e não podem alterar ou excluir recursos críticos.
Impeça a execução de software indesejado em hosts de sessão. Você pode habilitar o App Locker para segurança adicional em hosts de sessão, garantindo que apenas os aplicativos permitidos possam ser executados no host.
Lançamento confiável
O lançamento confiável são VMs do Azure Gen2 com recursos de segurança aprimorados destinados a proteger contra ameaças do fundo da pilha por meio de vetores de ataque, como rootkits, kits de inicialização e malware no nível do kernel. A seguir estão os recursos de segurança aprimorados do lançamento confiável, todos com suporte na Área de Trabalho Virtual do Azure. Para saber mais sobre o lançamento confiável, visite Início confiável para máquinas virtuais do Azure.
Ativar inicialização confiável como padrão
O lançamento confiável protege contra técnicas de ataque avançadas e persistentes. Esse recurso também permite a implantação segura de VMs com carregadores de inicialização verificados, kernels do sistema operacional e drivers. A inicialização confiável também protege chaves, certificados e segredos nas VMs. Saiba mais sobre a inicialização confiável em Inicialização confiável para máquinas virtuais do Azure.
Quando você adiciona hosts de sessão usando o portal do Azure, o tipo de segurança muda automaticamente para Máquinas virtuais confiáveis. Isso garante que sua VM atenda aos requisitos obrigatórios para o Windows 11. Para obter mais informações sobre esses requisitos, consulte Suporte a máquinas virtuais.
Máquinas virtuais de computação confidenciais do Azure
O suporte da Área de Trabalho Virtual do Azure para máquinas virtuais de computação confidenciais do Azure garante que a área de trabalho virtual de um usuário seja criptografada na memória, protegida no uso e apoiada pela raiz de confiança do hardware. As VMs de computação confidenciais do Azure para a Área de Trabalho Virtual do Azure são compatíveis com sistemas operacionais suportados. A implantação de VMs confidenciais com a Área de Trabalho Virtual do Azure dá aos usuários acesso ao Microsoft 365 e a outros aplicativos em hosts de sessão que usam isolamento baseado em hardware, o que fortalece o isolamento de outras máquinas virtuais, do hipervisor e do sistema operacional host. Estes ambientes de trabalho virtuais são alimentados pelo mais recente processador EPYC™ de terceira geração (Gen 3) Advanced Micro Devices (AMD) com tecnologia Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP). As chaves de criptografia de memória são geradas e protegidas por um processador seguro dedicado dentro da CPU AMD que não pode ser lido do software. Para obter mais informações, consulte a Visão geral da computação confidencial do Azure.
Os seguintes sistemas operacionais são suportados para uso como hosts de sessão com VMs confidenciais na Área de Trabalho Virtual do Azure:
- Windows 11 Enterprise, versão 22H2
- Windows 11 Enterprise multi-sessão, versão 22H2
- Windows Server 2022
- Windows Server 2019
Você pode criar hosts de sessão usando VMs confidenciais ao criar um pool de hosts ou adicionar hosts de sessão a um pool de hosts.
Encriptação de disco do SO
A criptografia do disco do sistema operacional é uma camada extra de criptografia que vincula as chaves de criptografia de disco ao TPM (Trusted Platform Module) da VM de computação confidencial. Essa criptografia torna o conteúdo do disco acessível apenas para a VM. O monitoramento de integridade permite o atestado criptográfico e a verificação da integridade de inicialização da VM e alertas de monitoramento se a VM não inicializou porque o atestado falhou com a linha de base definida. Para obter mais informações sobre monitoramento de integridade, consulte Microsoft Defender for Cloud Integration. Você pode habilitar a criptografia de computação confidencial ao criar hosts de sessão usando VMs confidenciais ao criar um pool de hosts ou adicionar hosts de sessão a um pool de hosts.
Arranque Seguro
A Inicialização Segura é um modo suportado pelo firmware da plataforma que protege seu firmware contra rootkits e kits de inicialização baseados em malware. Esse modo só permite que sistemas operacionais e drivers assinados inicializem.
Monitorar a integridade da inicialização usando o Atestado Remoto
O atestado remoto é uma ótima maneira de verificar a integridade de suas VMs. O atestado remoto verifica se os registros de inicialização medida estão presentes, são genuínos e são originários do vTPM (Virtual Trusted Platform Module). Como uma verificação de saúde, fornece certeza criptográfica de que uma plataforma foi iniciada corretamente.
vTPM
Um vTPM é uma versão virtualizada de um TPM (Trusted Platform Module) de hardware, com uma instância virtual de um TPM por VM. O vTPM permite o atestado remoto executando a medição de integridade de toda a cadeia de inicialização da VM (UEFI, SO, sistema e drivers).
Recomendamos habilitar o vTPM para usar o atestado remoto em suas VMs. Com o vTPM habilitado, você também pode habilitar a funcionalidade do BitLocker com a Criptografia de Disco do Azure, que fornece criptografia de volume total para proteger os dados em repouso. Quaisquer recursos usando vTPM resultarão em segredos vinculados à VM específica. Quando os usuários se conectam ao serviço de Área de Trabalho Virtual do Azure em um cenário em pool, os usuários podem ser redirecionados para qualquer VM no pool de hosts. Dependendo de como o recurso é projetado, isso pode ter um impacto.
Nota
O BitLocker não deve ser usado para criptografar o disco específico onde você está armazenando seus dados de perfil FSLogix.
Segurança baseada em virtualização
A segurança baseada em virtualização (VBS) usa o hipervisor para criar e isolar uma região segura de memória inacessível ao sistema operacional. O HVCI (Hypervisor-Protected Code Integrity) e o Windows Defender Credential Guard usam o VBS para fornecer maior proteção contra vulnerabilidades.
Integridade do código protegido pelo hipervisor
HVCI é uma poderosa mitigação de sistema que usa VBS para proteger os processos de modo kernel do Windows contra injeção e execução de código mal-intencionado ou não verificado.
Proteção de credenciais do Windows Defender
Habilite o Windows Defender Credential Guard. O Windows Defender Credential Guard usa o VBS para isolar e proteger segredos para que apenas software de sistema privilegiado possa acessá-los. Isso impede o acesso não autorizado a esses segredos e ataques de roubo de credenciais, como ataques Pass-the-Hash. Para obter mais informações, consulte Visão geral do Credential Guard.
Controlo de Aplicações do Windows Defender
Habilite o Controle de Aplicativo do Windows Defender. O Controlo de Aplicações do Windows Defender foi concebido para proteger os dispositivos contra malware e outro software não fidedigno. Ele impede que códigos mal-intencionados sejam executados, garantindo que apenas o código aprovado, que você sabe, possa ser executado. Para obter mais informações, consulte Controle de aplicativos para Windows.
Nota
Ao usar o Controle de Acesso do Windows Defender, recomendamos direcionar apenas as políticas no nível do dispositivo. Embora seja possível direcionar políticas para usuários individuais, uma vez que a política é aplicada, ela afeta todos os usuários no dispositivo igualmente.
Windows Update
Mantenha os seus anfitriões de sessão atualizados com as atualizações do Windows Update. O Windows Update fornece uma forma segura de manter os seus dispositivos atualizados. Sua proteção de ponta a ponta evita a manipulação de trocas de protocolos e garante que as atualizações incluam apenas conteúdo aprovado. Talvez seja necessário atualizar as regras de firewall e proxy para alguns de seus ambientes protegidos para obter acesso adequado às Atualizações do Windows. Para obter mais informações, consulte Segurança do Windows Update.
Cliente de Ambiente de Trabalho Remoto e atualizações noutras plataformas de SO
As atualizações de software para os clientes de Área de Trabalho Remota que você pode usar para acessar os serviços da Área de Trabalho Virtual do Azure em outras plataformas de sistema operacional são protegidas de acordo com as políticas de segurança de suas respetivas plataformas. Todas as atualizações do cliente são entregues diretamente por suas plataformas. Para obter mais informações, consulte as respetivas páginas da loja para cada aplicativo:
Próximos passos
- Saiba como configurar a autenticação multifator.
- Aplique os princípios de Zero Trust para uma implantação da Área de Trabalho Virtual do Azure.