Рекомендации по безопасности для виртуального рабочего стола Azure
Виртуальный рабочий стол Azure — это управляемая служба виртуальных рабочих столов, которая поддерживает множество функций обеспечения безопасности, позволяющих обеспечить защиту вашей организации. Архитектура виртуального рабочего стола Azure состоит из множества компонентов, составляющих службу, которая подключает пользователей к своим рабочим столам и приложениям.
Виртуальный рабочий стол Azure имеет множество встроенных расширенных функций безопасности, таких как обратная Подключение, где не требуется открывать входящий сетевой порт, что снижает риск, связанный с доступом к удаленным рабочим столам в любом месте. Служба также имеет преимущества от многих других функций безопасности Azure, таких как многофакторная проверка подлинности и условный доступ. В этой статье описаны действия, которые можно предпринять в качестве администратора, чтобы обеспечить безопасность развертываний Виртуальных рабочих столов Azure, независимо от того, предоставляются ли рабочие столы и приложения пользователям в организации или внешним пользователям.
Общая ответственность за безопасность
До появления Виртуального рабочего стола Azure для локальных решений виртуализации, таких как службы удаленных рабочих столов, требовалось предоставить пользователям доступ к таким ролям, как "Шлюз", "Брокер", "Веб-доступ" и т. д. Эти роли должны были быть полностью избыточными и иметь возможность обрабатывать пиковую производительность. Администратор istrator установит эти роли в составе операционной системы Windows Server, и они должны быть присоединены к домену с определенными портами, доступными для общедоступных подключений. Чтобы обеспечить безопасность развертываний, администраторы должны постоянно убедиться, что все в инфраструктуре поддерживается и обновлено.
Однако в большинстве облачных служб существует общий набор обязанностей по обеспечению безопасности между корпорацией Майкрософт и клиентом или партнером. Для виртуального рабочего стола Azure большинство компонентов являются управляемыми корпорацией Майкрософт, но узлы сеансов и некоторые вспомогательные службы и компоненты являются управляемыми клиентом или партнером. Дополнительные сведения об управляемых корпорацией Майкрософт компонентах виртуального рабочего стола Azure см. в статье об архитектуре и устойчивости службы виртуальных рабочих столов Azure.
Хотя некоторые компоненты уже защищены для вашей среды, вам потребуется настроить другие области самостоятельно, чтобы соответствовать потребностям вашей организации или безопасности клиента. Ниже приведены компоненты, которые отвечают за безопасность в развертывании виртуального рабочего стола Azure:
| Компонент | Обязанности |
|---|---|
| Идентификация | Клиент или партнер |
| Устройства пользователей (мобильные и ПК) | Клиент или партнер |
| Безопасность приложений | Клиент или партнер |
| Операционная система узла сеанса | Клиент или партнер |
| Конфигурация развертывания | Клиент или партнер |
| Элементы управления сетью | Клиент или партнер |
| Плоскость управления виртуализацией | Microsoft |
| Физические узлы | Microsoft |
| Физическая сеть | Microsoft |
| Физический центр обработки данных | Microsoft |
Границы безопасности
Границы безопасности разделяют код и данные доменов безопасности с использованием различных уровней доверия. Например, обычно существует граница безопасности между режимом ядра и пользовательским режимом. Большинство программ и служб Майкрософт зависят от нескольких границ безопасности для изоляции устройств в сетях, виртуальных машинах и приложениях на устройствах. В следующей таблице перечислены все границы безопасности для Windows и их роль в общей безопасности.
| Граница безопасности | Description |
|---|---|
| Граница сети | Неавторизованная конечная точка сети не может получить доступ к коду и данным на устройстве клиента или незаконно изменить их. |
| Граница ядра | Процесс в режиме пользователя без прав администратора не может получить доступ к коду и данным ядра и незаконно изменять их. Взаимодействие администратора с ядром не является границей безопасности. |
| Граница процесса | Процесс в режиме неавторизованного пользователя не может получить доступ к коду и данным другого процесса или незаконно изменять их. |
| Граница песочницы AppContainer | Процесс на основе песочницы AppContainer не может незаконно изменять код и данные или получить доступ к ним за пределами песочницы, основанной на возможностях контейнера. |
| Граница пользователя | Неавторизованный пользователь не может получить доступ к коду и данным другого пользователя или незаконно изменить их. |
| Граница сеанса | Неавторизованный сеанс пользователя не может получить доступ к другому сеансу пользователя или незаконно изменить его. |
| Граница веб-браузера | Неавторизованный веб-сайт не может нарушать политику того же происхождения, а также не может получить доступ к машинному коду и данным песочницы веб-браузера Microsoft Edge или незаконно изменить их. |
| Граница виртуальной машины | Неавторизованная гостевая виртуальная машина Hyper-V не может получить доступ к коду и данным другой гостевой виртуальной машины или незаконно изменить их. Сюда входят изолированные контейнеры Hyper-V. |
| Граница виртуального безопасного режима | Код, выполняемый вне анклава или доверенного процесса в виртуальном безопасном режиме, не может получить доступ к данным и коду в надежном процессе или незаконно изменить их. |
Рекомендуемые границы безопасности для сценариев Виртуального рабочего стола Azure
Вам также потребуется выбрать границы безопасности для каждого конкретного случая. Например, если пользователю в организации требуются права локального администратора для установки приложений, вам потребуется предоставить ему личный рабочий стол вместо общего узла сеанса. Мы не рекомендуем предоставлять пользователям права локального администратора в сценариях с несколькими сеансами в пулах, так как эти пользователи могут пересекать границы безопасности для разрешений на сеансы или разрешения данных NTFS, завершать работу виртуальных машин с несколькими сеансами или делать другие действия, которые могут прерывать обслуживание или вызывать потери данных.
Пользователи из той же организации, такие как работники знаний с приложениями, которые не требуют прав администратора, являются отличными кандидатами для узлов сеансов с несколькими сеансами, такими как Windows 11 Корпоративная многосеансовой. Эти узлы сеансов сокращают затраты для организации, так как несколько пользователей могут совместно использовать одну виртуальную машину только с затратами на виртуальную машину на пользователя. С помощью таких продуктов управления профилями пользователей, как FSLogix, пользователи могут быть назначены любой виртуальной машине в пуле узлов, не замечая прерывания работы службы. Эта функция также позволяет оптимизировать затраты, выполняя такие действия, как завершение работы виртуальных машин в часы наименьшей нагрузки.
Если в вашей ситуации требуется, чтобы пользователи из разных организаций подключались к развертыванию, рекомендуется использовать отдельный клиент для служб удостоверений, таких как Active Directory и Идентификатор Microsoft Entra. Мы также рекомендуем использовать отдельную подписку для тех пользователей, где размещаются ресурсы Azure, такие как виртуальный рабочий стол Azure и виртуальные машины.
Во многих случаях использование нескольких сеансов является приемлемым способом снижения затрат, но рекомендуется он или нет, зависит от уровня доверия между пользователями с одновременным доступом к общему экземпляру с поддержкой нескольких сеансов. Как правило, пользователи, принадлежащие к одной организации, имеют надежные и согласованные доверительные отношения. Например, отдел или рабочая группа, где люди совместно работают и имеют доступ к персональной информации друг друга, является организацией с высоким уровнем доверия.
Windows использует границы безопасности и элементы управления, чтобы обеспечить изолированность пользовательских процессов и данных между сеансами. Но Windows по-прежнему предоставляет доступ к экземпляру, над которым работает пользователь.
Многосеансовые развертывания будут использовать стратегию глубинной безопасности, которая добавляет дополнительные границы безопасности, которые препятствуют доступу пользователей в организации и за ее пределами от несанкционированного доступа к персональным данным других пользователей. Несанкционированный доступ к данным происходит из-за ошибки в процессе конфигурации системным администратором, например из-за неразглашаемой уязвимости системы безопасности или известной уязвимости, которая еще не была исправлена.
Мы не рекомендуем предоставлять пользователям, работающим для разных или конкурирующих компаний доступ к одной и той же многосеансовой среде. Эти сценарии имеют несколько границ безопасности, которые могут быть атакованы или нарушены, например сеть, ядро, процесс, пользователь или сеансы. Одна уязвимость безопасности может вызвать несанкционированную кражу данных и учетных данных, утечку личной информации, кражу личных сведений и другие проблемы. На поставщиках виртуального окружения лежит ответственность за предоставление хорошо спроектированных систем с несколькими надежными границами безопасности и дополнительными функциями безопасности, когда это возможно.
Уменьшение количества этих потенциальных угроз требует конфигурации для подтверждения сбоя, процесса разработки управления исправлениями, а также регулярных расписаний развертывания исправлений. Лучше соблюдать принципы глубокой защиты и отделить среды.
В следующей таблице приведены рекомендации по каждому сценарию.
| Сценарий уровня доверия | Рекомендуемое решение |
|---|---|
| Пользователи из одной организации со стандартными привилегиями | Используйте многосеансовую ОС Windows Enterprise. |
| Пользователям требуются права администратора | Используйте личный пул узлов и назначьте каждому пользователю собственный узел сеанса. |
| Подключение пользователей из разных организаций | Отдельный клиент Azure и подписка Azure |
Рекомендации по обеспечению безопасности в Azure
Виртуальный рабочий стол Azure — это служба в среде Azure. Чтобы обеспечить максимальную безопасность развертывания для Виртуального рабочего стола Azure, необходимо также гарантировать безопасность соответствующей инфраструктуры Azure и плоскости управления. Чтобы защитить инфраструктуру, подумайте, насколько виртуальный рабочий стол Azure вписывается в вашу общую экосистему Azure. Дополнительные сведения об экосистеме Azure см. в статье Рекомендации и шаблоны для обеспечения безопасности в Azure.
Современные ландшафты угроз требуют разработки с учетом подходов к обеспечению безопасности. В идеале необходимо создать ряд механизмов безопасности и элементов управления по всей сети компьютера для защиты данных и сети от взлома или атаки. Этот тип проектирования безопасности заключается в том, что США Агентство по кибербезопасности и инфраструктуре безопасности (CISA) вызывает защиту в глубине.
В следующих разделах содержатся рекомендации по защите развертывания виртуального рабочего стола Azure.
Включение Microsoft Defender для облака
Рекомендуется включить функции усиленной безопасности Microsoft Defender для облака, чтобы:
- управлять уязвимостями;
- Оцените соответствие общим платформам, как и в Совете по стандартам безопасности PCI.
- укрепить общую безопасность среды.
Дополнительные сведения см. в разделе Включение функций усиленной безопасности.
Улучшение результатов оценки безопасности
Оценка безопасности предоставляет рекомендации и практические советы по повышению общей безопасности. Эти рекомендации расставлены в порядке приоритета, что помогает вам выбирать наиболее важные меры, а функции Быстрого исправления помогают быстро устранить потенциальные уязвимости. Эти рекомендации также со временем обновляются, позволяя вам получать своевременные и актуальные данные о том, как обеспечить безопасность своей среды. Дополнительные сведения см. в разделе Улучшение результатов оценки безопасности в Microsoft Defender для облака.
Требование многофакторной проверки подлинности
Требование многофакторной проверки подлинности для всех пользователей и администраторов в Виртуальном рабочем столе Azure повышает безопасность всего развертывания. Дополнительные сведения см. в статье "Включение многофакторной проверки подлинности Microsoft Entra" для виртуального рабочего стола Azure.
Включение условного доступа
Условный доступ предназначен для контроля рисков до момента предоставления пользователям доступа к среде Виртуального рабочего стола Azure. При принятии решения о том, каким пользователям следует предоставлять доступ, также рекомендуется понять, кем является данный пользователь, как он входит в систему и какое устройство использует.
Сбор журналов аудита
Функция сбора журналов аудита позволяет просматривать действия пользователей и администраторов, связанные с Виртуальным рабочим столом Azure. Ниже приведены примеры основных журналов аудита.
- Журнал действий Azure
- Журнал действий Microsoft Entra
- Microsoft Entra ID
- Узлы сеансов
- Журналы Key Vault
Использование RemoteApp
При выборе модели развертывания можно предоставить удаленным пользователям доступ ко всем рабочим столам или выбрать приложения только при публикации как RemoteApp. RemoteApp обеспечивает простой интерфейс, так как пользователь работает с приложениями из виртуального рабочего стола. RemoteApp снижает риск, позволяя пользователю работать только с подмножеством удаленного компьютера, предоставляемого приложением.
Мониторинг использования с помощью Azure Monitor
Вы можете отслеживать уровни использование и доступность службы Виртуального рабочего стола Azure с помощью Azure Monitor. Например, можно настроить оповещения о работоспособности службы Виртуального рабочего стола Azure, чтобы получать уведомления при возникновении событий, влияющих на ее работу.
Шифрование узлов сеансов
Шифрование узлов сеансов с помощью параметров шифрования управляемых дисков для защиты сохраненных данных от несанкционированного доступа.
Рекомендации по безопасности для узла сеансов
Узлы сеансов — это виртуальные машины, которые работают в рамках подписки Azure и виртуальной сети. От мер управления безопасностью узлами сеансов зависит и общая безопасность развертывания Виртуального рабочего стола Azure. В этом разделе приведены рекомендации по обеспечению безопасности узлов сеансов.
Включение Endpoint Protection
Для защиты развертывания от известных вредоносных программ рекомендуется включить на всех узлах сеансов защиту конечных точек. Можно использовать антивирусную программу в Защитнике Windows или сторонние программы. Дополнительные сведения см. в руководстве по развертыванию антивирусной программы в Защитнике Windows в среде VDI.
Для решений профилей, таких как FSLogix или другие решения, которые подключают файлы виртуального жесткого диска, рекомендуется исключить эти расширения файлов.
Установка продукта для обнаружения и нейтрализации атак на конечные точки
Мы рекомендуем установить продукт обнаружения и нейтрализации атак на конечные точки (EDR), чтобы расширить возможности для обнаружения и реагирования. Для серверных операционных систем с включенным Microsoft Defender для облака при установке продукта EDR будет развернут Microsoft Defender для конечной точки. Для клиентских операционных систем вы можете развернуть для этих конечных точек Microsoft Defender для конечной точки или сторонний продукт.
Включение оценки угроз и управления уязвимостями
Поиск уязвимостей программного обеспечения в операционных системах и приложениях крайне важен для безопасности всей среды. Microsoft Defender для облака может помочь вам определить проблемные места с помощью решения Microsoft Defender для конечной точки для управления угрозами и уязвимостями. Вы также можете использовать сторонние продукты, но мы рекомендуем использовать Microsoft Defender для облака и Microsoft Defender для конечной точки.
Исправление уязвимостей программного обеспечения в среде
Обнаружив уязвимость, необходимо исправить ее. Это относится и к виртуальным средам, в том числе к запущенным операционным системам, развернутым внутри них приложениям и образам, из которых создаются новые компьютеры. Следуйте рекомендациям в уведомлениях об исправлениях от поставщика и своевременно применяйте их. Мы рекомендуем проводить ежемесячное обновление базовых образов, чтобы обеспечить максимальную защиту для новых компьютеров.
Установка максимального времени неактивности и настройка политик отключения
Завершение сеансов неактивных пользователей экономит ресурсы и предотвращает несанкционированный доступ. Рекомендуем настраивать такое время ожидания, чтобы добиться баланса между продуктивностью пользователей и рациональным использованием ресурсов. Для пользователей, взаимодействующих с приложениями без отслеживания состояния, следует применять более агрессивные политики, которые отключают компьютеры и экономят ресурсы. Отключение долго выполняющихся приложений, которые продолжают работать, когда пользователь якобы бездействует (например, моделирование или визуализация САПР), может нарушить работу пользователя и даже потребовать перезагрузки компьютера.
Настройка блокировки экрана для неактивных сеансов
Чтобы предотвратить несанкционированный доступ к системе, можно настроить Виртуальный рабочий стол Azure таким образом, чтобы блокировать экран компьютера во время простоя и требовать для разблокировки проверку подлинности.
Настройка многоуровневого административного доступа
Мы не рекомендуем предоставлять пользователям доступ к виртуальным рабочим столам на уровне администратора. Если вам нужны пакеты программного обеспечения, рекомендуется сделать их доступными с помощью служебных программ управления конфигурацией, таких как Microsoft Intune. В среде с несколькими сеансами не рекомендуется разрешать пользователям устанавливать программное обеспечение напрямую.
Выбор пользователей, которые будут иметь доступ к тем или иным ресурсам
Рассматривайте узлы сеансов как продолжение существующего развертывания настольных систем. Мы рекомендуем контролировать доступ к сетевым ресурсам так же, как и для других настольных систем в среде (например, с помощью сегментации и фильтрации сети). По умолчанию узлы сеансов могут подключаться к любому ресурсу в Интернете. Существует несколько способов ограничить этот трафик, включая брандмауэр Azure, виртуальные сетевые устройства и прокси-серверы. Если вам требуется ограничить трафик, не забудьте добавить соответствующие правила, чтобы Виртуальный рабочий стол Azure мог работать надлежащим образом.
Управление безопасностью приложений Microsoft 365
Помимо защиты узлов сеансов, также важно защищать работающие на них приложения. Приложения Microsoft 365 — это некоторые из наиболее распространенных приложений, развернутых на узлах сеансов. Чтобы улучшить безопасность развертывания Microsoft 365, рекомендуется использовать помощник по политике безопасности для Приложения Microsoft 365 для предприятий. Это средство определяет политики, которые можно применить к развертыванию для повышения безопасности. Помощник по политикам безопасности также рекомендует политики с учетом их влияния на безопасность и производительность.
Безопасность профилей пользователей
Профили пользователей могут содержать конфиденциальную информацию. Необходимо ограничить доступ к профилям пользователей и методам доступа к ним, особенно если вы используете контейнер профилей FSLogix для хранения профилей пользователей в файле виртуального жесткого диска в общей папке S МБ. Следуйте рекомендациям по безопасности поставщика общей папки S МБ. Например, если вы используете Файлы Azure для хранения этих файлов виртуальных жестких дисков, можно использовать частные конечные точки, чтобы сделать их доступными только в виртуальной сети Azure.
Другие советы по безопасности для узлов сеансов
Вы можете укрепить безопасность узлов сеансов, ограничив доступ к функциям операционной системы. Вот несколько моментов, на которые следует обратить внимание.
Настройте перенаправление устройств — дисков, принтеров и USB-накопителей на локальное устройство пользователя в сеансе удаленного рабочего стола. Мы рекомендуем проанализировать требования к безопасности и выяснить, нужно ли отключать эти функции.
Ограничьте доступ к проводнику Windows, скрыв сопоставления для локальных и удаленных дисков. Так пользователь не сможет найти не касающиеся его сведения о конфигурации и других пользователях системы.
Избегайте непосредственного доступа по протоколу RDP к узлам сеансов в среде. Если вам требуется прямой RDP-доступ для администрирования или устранения неполадок, активируйте JIT-доступ, чтобы сократить поверхность потенциальной атаки на узле сеансов.
Предоставляйте пользователям ограниченные разрешения при доступе к локальным и удаленным файловым системам. Разрешения можно ограничить с помощью списков управления доступом с минимальными привилегиями на локальных и удаленных файловых системах. Благодаря этому у пользователей будет доступ только к тем ресурсам, которые им нужны, и они не смогут менять или удалять критически важные ресурсы.
Предотвращайте запуск нежелательных программ на узлах сеансов. Для дополнительной защиты вы можете включить Блокировку приложений на узлах сеансов, чтобы на них можно было запускать только разрешенные приложения.
Доверенный запуск
Доверенные запуски — это виртуальные машины Azure 2-го поколения с расширенными функциями безопасности, предназначенными для защиты от угроз нижнего уровня стека с помощью векторов атак, таких как rootkits, загрузочные комплекты и вредоносные программы на уровне ядра. Ниже перечислены улучшенные функции безопасности доверенного запуска, все из которых поддерживаются в Виртуальном рабочем столе Azure. Дополнительные сведения о доверенном запуске см. в статье Доверенный запуск для виртуальных машин Azure.
Включение доверенного запуска как по умолчанию
Доверенный запуск защищает от сложных и постоянных атак. Эта функция также позволяет безопасно развертывать виртуальные машины с проверенными загрузчиками, ядрами ОС и драйверами. Доверенный запуск также защищает ключи, сертификаты и секреты на виртуальных машинах. Узнайте больше о доверенном запуске при доверенном запуске для виртуальных машин Azure.
При добавлении узлов сеансов с помощью портал Azure тип безопасности автоматически изменяется на доверенные виртуальные машины. Это гарантирует, что виртуальная машина соответствует обязательным требованиям для Windows 11. Дополнительные сведения об этих требованиях см. в статье "Поддержка виртуальных машин".
Виртуальные машины конфиденциальных вычислений Azure
Поддержка виртуального рабочего стола Azure для виртуальных машин конфиденциальных вычислений Azure гарантирует, что виртуальный рабочий стол пользователя шифруется в памяти, защищен в использовании и поддерживается корнем доверия оборудования. Виртуальные машины конфиденциальных вычислений Azure для виртуального рабочего стола Azure совместимы с поддерживаемыми операционными системами. Развертывание конфиденциальных виртуальных машин с помощью виртуального рабочего стола Azure предоставляет пользователям доступ к Microsoft 365 и другим приложениям на узлах сеансов, использующих изоляцию на основе оборудования, что обеспечивает изоляцию от других виртуальных машин, гипервизора и ос узла. Эти виртуальные рабочие столы поддерживаются новейшим процессором EPYC™ третьего поколения (3-го поколения) Advanced Micro Devices (AMD) с технологией Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP). Ключи шифрования памяти создаются и защищаются выделенным защищенным процессором внутри ЦП AMD, который не может быть прочитан из программного обеспечения. Дополнительные сведения см. в обзоре конфиденциальных вычислений Azure.
Следующие операционные системы поддерживаются для использования в качестве узлов сеансов с конфиденциальными виртуальными машинами на виртуальном рабочем столе Azure:
- Windows 11 Корпоративная версии 22H2
- Windows 11 Корпоративная нескольких сеансов версии 22H2
- Windows Server 2022
- Windows Server 2019
Узлы сеансов можно создавать с помощью конфиденциальных виртуальных машин при создании пула узлов или добавлении узлов в пул узлов.
Шифрование дисков ОС
Шифрование диска операционной системы — это дополнительный уровень шифрования, который привязывает ключи шифрования дисков к доверенному модулю платформы (TPM) виртуальной машины конфиденциальных вычислений. Это шифрование делает содержимое диска доступным только для виртуальной машины. Мониторинг целостности позволяет выполнять криптографическую аттестацию и проверку целостности загрузки виртуальной машины и оповещений мониторинга, если виртуальная машина не загрузится, так как аттестация завершилась сбоем с определенным базовым уровнем. Дополнительные сведения о мониторинге целостности см. в Microsoft Defender для облака интеграции. Вы можете включить шифрование конфиденциальных вычислений при создании узлов сеансов с помощью конфиденциальных виртуальных машин при создании пула узлов или добавлении узлов в пул узлов.
Безопасная загрузка
Безопасная загрузка — это режим встроенного ПО платформы, который защищает его от пакетов программ rootkit и пакетов загрузки. Этот режим позволяет загружать только подписанные операционные системы и драйверы.
Мониторинг целостности загрузки с помощью удаленной аттестации
Удаленная аттестация — отличный способ проверять работоспособность виртуальных машин. Удаленная аттестация проверяет наличие, подлинность и происхождение записей измеряемой загрузки из виртуального доверенного платформенного модуля (vTPM). Для проверки работоспособности обеспечивается криптографическая уверенность в том, что платформа запущена надлежащим образом.
vTPM
vTPM — это виртуализированная версия аппаратного доверенного платформенного модуля (TPM) с виртуальным экземпляром TPM на каждую виртуальную машину. vTPM включает удаленную аттестацию, выполняя измерение целостности всей цепочки загрузки виртуальной машины (UEFI, ОС, системы и драйверов).
Мы рекомендуем включить vTPM для удаленной аттестации на виртуальных машинах. С поддержкой vTPM можно также включить функциональные возможности BitLocker с Шифрование дисков Azure, что обеспечивает полное шифрование томов для защиты неактивных данных. При использовании любой функции vTPM создается секрет, привязанный к конкретной виртуальной машине. Когда пользователь подключается к службе Виртуального рабочего стола Azure в сценарии с пулом, он может быть перенаправлен на любую виртуальную машину в пуле узлов. Это может оказать влияние на работу пользователя в зависимости от того, как реализована данная функция.
Примечание.
BitLocker не следует использовать для шифрования определенного диска, в котором хранятся данные профиля FSLogix.
Обеспечение безопасности на основе виртуализации
Средства безопасности на основе виртуализации (Virtualization-based Security, VBS) используют гипервизор для создания и изоляции защищенного региона памяти, который недоступен операционной системе. Технологии защиты целостности кода на базе гипервизора Hypervisor-Protected Code Integrity (HVCI) и Credential Guard в Защитнике Windows используют VBS для повышения защиты от уязвимостей.
Hypervisor-Protected Code Integrity
HVCI — это мощное средство обеспечения безопасности системы, которое с помощью VBS защищает процессы режима ядра Windows от внедрения и выполнения вредоносного или непроверенного кода.
Credential Guard в Защитнике Windows
Включите Credential Guard в Защитнике Windows. Credential Guard в Защитнике Windows использует VBS для изоляции и защиты секретов, чтобы доступ к ним могли получить только привилегированные системные программы. Это предотвращает несанкционированный доступ к секретам и атаки с кражей учетных данных, например Pass-the-Hash. Дополнительные сведения см. в обзоре Credential Guard.
Управление приложениями в Защитнике Windows
Включите элемент управления приложениями Защитника Windows. Управление приложениями в Защитнике Windows предназначено для защиты устройств от вредоносных программ и других ненадежных программ. Он предотвращает запуск вредоносного кода, гарантируя, что можно запустить только утвержденный код, который вы знаете. Дополнительные сведения см. в разделе "Управление приложениями" для Windows.
Примечание.
При использовании управления доступом Защитника Windows рекомендуется ориентироваться на политики только на уровне устройства. Хотя политики можно назначать отдельным пользователям, как только политика будет применена, она повлияет на всех пользователей устройства в равной степени.
Центр обновления Windows
Обновление узлов сеансов с Обновл. Windows. Обновл. Windows обеспечивает безопасный способ обеспечения актуальности устройств. Его сквозная защита предотвращает управление обменом протоколами и гарантирует, что обновления включают только утвержденное содержимое. Возможно, потребуется обновить правила брандмауэра и прокси-сервера для некоторых защищенных сред, чтобы получить надлежащий доступ к Обновл. Windows. Дополнительные сведения см. в разделе Обновл. Windows безопасности.
Клиент удаленного рабочего стола и обновления на других платформах ОС
Обновления программного обеспечения для клиентов удаленного рабочего стола, которые можно использовать для доступа к службам Виртуального рабочего стола Azure на других платформах ОС, защищены в соответствии с политиками безопасности соответствующих платформ. Все обновления клиента доставляются непосредственно платформами. Дополнительные сведения см. на соответствующих страницах магазина для каждого приложения:
Следующие шаги
- Узнайте, как настроить многофакторную проверку подлинности.
- Применение принципов нулевого доверия для развертывания виртуального рабочего стола Azure.