Комнаты Microsoft Teams безопасности Windows

Корпорация Майкрософт сотрудничает с нашими партнерами, чтобы предоставить безопасное решение, которое не требует дополнительных действий для защиты Комнаты Microsoft Teams Windows. В этой статье рассматриваются многие функции безопасности, Комнаты Teams windows.

Сведения о безопасности на Комнаты Teams для устройств Android см. Комнаты Microsoft Teams безопасности Android.

Примечание.

Комнаты Microsoft Teams не следует рассматривать как обычную рабочую станцию конечного пользователя. Не только варианты использования значительно отличаются, но и профили безопасности по умолчанию. Эта статья относится к Комнаты Microsoft Teams устройствам, работающим в Windows.

Ограниченные данные конечных пользователей хранятся в Комнаты Teams. Данные пользователей могут храниться в файлах журналов только для устранения неполадок и поддержки. Ни в один момент участник собрания не может с помощью Комнаты Teams скопировать файлы на жесткий диск или войти самостоятельно. Данные конечных пользователей не передаются на устройство Комнаты Microsoft Teams или доступны к Комнаты Microsoft Teams.

Несмотря на то, что конечные пользователи не могут помещать файлы на Комнаты Teams жестком диске, Microsoft Defender все равно включено. Комнаты Teams производительность тестируются с помощью Microsoft Defender. Отключение этого или добавление программного обеспечения для обеспечения безопасности конечных точек может привести к непредсказуемым результатам и потенциальному ухудшению системы.

Безопасность оборудования

В Комнаты Teams среде есть центральный вычислительный модуль, который запускается Windows 10 IoT Корпоративная выпуске. Каждый сертифицированный вычислительный модуль должен иметь решение для безопасного подключения, слот блокировки безопасности (например, блокировка Kenshell) и меры безопасности доступа к портам ввода-вывода для предотвращения подключения неавторизованных устройств. Вы также можете отключить определенные порты с помощью конфигурации UEFI.

Каждый сертифицированный вычислительный модуль должен поставляться с технологией, соответствующей доверенной платформе (TPM) 2.0, включенной по умолчанию. TPM используется для шифрования данных входа для учетной записи Комнаты Teams ресурса.

Безопасная загрузка включена по умолчанию. Безопасная загрузка — это стандарт безопасности, разработанный членами отрасли компьютеров, чтобы убедиться, что устройство загружается с использованием только программного обеспечения, которому доверяет изготовитель исходного оборудования (OEM). При запуске компьютера встроенное ПО проверяет подпись каждого загрузочного программного обеспечения, включая драйверы встроенного ПО UEFI (также известные как Option ROM), приложения EFI и операционную систему. Если подписи допустимы, компьютер загружается, а встроенное ПО предоставляет управление операционной системе. Дополнительные сведения см. в разделе "Безопасная загрузка".

Доступ к параметрам UEFI возможен только путем подключения физической клавиатуры и мыши. Это предотвращает доступ к UEFI через консоль с поддержкой сенсорного Комнаты Teams, а также любые другие сенсорные дисплеи, подключенные к Комнаты Teams.

Защита прямого доступа к памяти ядра (DMA) — это Windows 10, который включен в Комнаты Teams. С помощью этой функции ОС и встроенное ПО системы защищают систему от вредоносных и непреднамеренных атак DMA для всех устройств с поддержкой DMA:

  • Во время процесса загрузки.

  • Для защиты от вредоносных DMA устройствами, подключенными к легко доступным внутренним и внешним портам с поддержкой DMA, таким как слоты PCIe M.2 и Thunderbolt 3, во время выполнения ОС.

Комнаты Teams также обеспечивает целостность кода, защищенную гипервизором (HVCI). Одной из функций, предоставляемых HVCI, является Credential Guard. Credential Guard предоставляет следующие преимущества:

  • Безопасность оборудования NTLM, Kerberos и Диспетчер учетных данных используют преимущества функций безопасности платформы, включая безопасную загрузку и виртуализацию, для защиты учетных данных.

  • Безопасность на основе виртуализации Производные учетные данные Windows NTLM и Kerberos и другие секреты выполняются в защищенной среде, изолированной от работающей операционной системы.

  • Улучшенная защита от сложных постоянных угроз Когда учетные данные домена Диспетчера учетных данных, производные учетные данные NTLM и Kerberos защищены с помощью безопасности на основе виртуализации, методы и средства кражи учетных данных, используемые во многих целевых атаках, блокируются. Вредоносные программы, работающие в операционной системе с правами администратора, не могут извлекать секреты, защищенные безопасностью на основе виртуализации.

Безопасность программного обеспечения

После загрузки Microsoft Windows Комнаты Teams автоматически входит в локальную учетную запись пользователя Windows с именем Skype. У учетной записи Skype нет пароля. Чтобы сделать сеанс учетной записи Skype безопасным, выполните следующие действия.

Важно

Не изменяйте пароль и не изменяйте локальную учетную запись пользователя Skype. Это может Комнаты Teams автоматический вход.

Приложение Комнаты Microsoft Teams с помощью функции "Назначенный доступ", Windows 10 1903 и более поздних версий. Назначенный доступ — это функция в Windows 10, которая ограничивает точки входа приложения, предоставляемые пользователю. Это позволяет использовать режим киоска с одним приложением. С помощью средства запуска оболочки Комнаты Teams настраивается как устройство киоска, на котором в качестве пользовательского интерфейса запускается настольное приложение Windows. Приложение Комнаты Microsoft Teams заменяет оболочку по умолчанию (explorer.exe), которая обычно выполняется при входе пользователя в систему. Другими словами, традиционная оболочка Обозревателя не запускается. Это значительно сокращает уязвимость Комнаты Microsoft Teams в Windows. Дополнительные сведения см. в статье "Настройка киосков и цифровых подписей в классических выпусках Windows".

Если вы решили запустить проверку безопасности или тест производительности Центра безопасности Интернета (CIS) на Комнаты Teams, проверка может выполняться только в контексте учетной записи локального администратора, так как учетная запись пользователя Skype не поддерживает выполнение приложений, отличных от приложения Комнаты Teams. Многие функции безопасности, применяемые к контексту пользователей Skype, не применяются к другим локальным пользователям, и в результате эти проверки безопасности не будут применять полную блокировку безопасности, примененную к учетной записи Skype. Поэтому не рекомендуется выполнять локальную проверку на Комнаты Teams. Однако при необходимости можно выполнить внешние тесты на проникновение. Поэтому мы рекомендуем выполнять внешние тесты на проникновение Комнаты Teams устройств, а не выполнять локальные проверки.

Кроме того, политики блокировки применяются для ограничения использования функций без администрирования. Фильтр клавиатуры позволяет перехватывать и блокировать потенциально небезопасные сочетания клавиатуры, которые не охватываются политиками назначенного доступа. Только пользователи с правами локального администратора или домена могут входить в Windows для управления Комнаты Teams. Эти и другие политики, применяемые к Windows на Комнаты Microsoft Teams устройствах, постоянно оцениваются и тестируются в течение жизненного цикла продукта.

Безопасность учетной записи

Комнаты Teams устройства включают учетную запись администратора Администратор "Администратор" с паролем по умолчанию. Мы настоятельно рекомендуем как можно скорее изменить пароль по умолчанию после завершения настройки.

Учетная Администратор не требуется для правильной работы Комнаты Teams и может быть переименована или даже удалена. Однако перед удалением учетной записи Администратор убедитесь, что вы настроили альтернативную учетную запись локального администратора, настроенную перед удалением учетной записи, которая поставляется с Комнаты Teams устройствами. Дополнительные сведения об изменении пароля для локальной учетной записи Windows с помощью встроенных средств Windows или PowerShell см. в следующих статьях:

Вы также можете импортировать учетные записи домена в локальную группу администраторов Windows. Это можно сделать для Azure AD учетных записей с помощью Intune. Дополнительные сведения см. в разделе Policy CSP – RestrictedGroups.

Примечание.

Если вы используете консоли Изюмина, обязательно обновите пароль Администратор в консоли, а также в вычислительном модуле. Для получения дополнительных сведений обратитесь к Гофрону.

Осторожностью

Если удалить или отключить учетную запись Администратор перед предоставлением разрешений локального администратора другой локальной или доменной учетной записи, вы можете потерять возможность администрирования Комнаты Teams устройства. В этом случае необходимо восстановить исходные параметры устройства и снова завершить процесс установки.

Не предоставьте учетной записи пользователя Skype разрешения локального администратора.

Конструктор конфигураций Windows можно использовать для создания Windows 10 подготовки. Помимо изменения локального Администратор, вы также можете изменить имя компьютера и зарегистрироваться в Azure Active Directory. Дополнительные сведения о создании пакета подготовки конструктора конфигураций Windows см. в разделе "Пакеты подготовки для Windows 10".

Необходимо создать учетную запись ресурса для каждого устройства Комнаты Teams, чтобы оно можно было входить в Teams. С этой учетной записью нельзя использовать двухфакторную или многофакторную проверку подлинности. Если требуется второй фактор, учетная запись не сможет автоматически войти в приложение Комнаты Teams после перезагрузки. Однако вы можете включить современную проверку подлинности для дополнительной безопасности для этой учетной записи. Кроме того, для защиты учетной записи ресурса можно развернуть политики условного доступа Azure Active Directory и политики Intune соответствия требованиям. Дополнительные сведения см. в разделе "Поддерживаемые политики условного доступа и Intune устройств для соответствия требованиям Комнаты Microsoft Teams и условного доступа и Intune для Комнаты Microsoft Teams

Рекомендуется создать учетную запись ресурса в Azure AD, если это возможно. Хотя синхронизированная учетная запись может работать с Комнаты Teams в гибридных развертываниях, эти синхронизированные учетные записи часто затрудняют вход в Комнаты Teams и могут быть трудно устранить неполадки. Если вы решили использовать стороннюю службу федерации для проверки подлинности учетных данных для учетной записи ресурса, убедитесь, wsTrustResponseurn:oasis:names:tc:SAML:1.0:assertionчто сторонний поставщик удостоверений отвечает атрибутом .

Сетевая безопасность

Как правило, Комнаты Teams требования к сети те же, что и у любого клиента Microsoft Teams. Доступ через брандмауэры и другие устройства безопасности для Комнаты Teams так же, как и для любого другого клиента Microsoft Teams. Для Комнаты Teams, категории, перечисленные как обязательные для Teams, должны быть открыты в брандмауэре. Комнаты Teams также требуется доступ к клиентский компонент Центра обновления Windows, Microsoft Store и Microsoft Intune (если вы используете Microsoft Intune для управления устройствами). Полный список IP-адресов и URL-адресов, необходимых для Комнаты Microsoft Teams, см. в следующих статьях:

Если вы используете компонент Комнаты Microsoft Teams управляемых служб Комнаты Microsoft Teams Pro, необходимо также убедиться, что Комнаты Teams могут получить доступ к следующим URL-адресам:

  • agent.rooms.microsoft.com
  • global.azure-devices-provisioning.net
  • gj3ftstorage.blob.core.windows.net
  • mmrstgnoamiot.azure-devices.net
  • mmrstgnoamstor.blob.core.windows.net
  • mmrprodapaciot.azure-devices.net
  • mmrprodapacstor.blob.core.windows.net
  • mmrprodemeaiot.azure-devices.net
  • mmrprodemeastor.blob.core.windows.net
  • mmrprodnoamiot.azure-devices.net
  • mmrprodnoamstor.blob.core.windows.net

Комнаты Teams настроено на автоматическое исправление последних обновлений Windows, включая обновления для системы безопасности. Комнаты Teams устанавливает все ожидающие обновления каждый день, начиная с 02:00, с помощью предварительно задающей локальной политики. Нет необходимости использовать дополнительные средства для развертывания и применения Windows Обновления. Использование дополнительных средств для развертывания и применения обновлений может задержать установку исправлений Windows и, следовательно, привести к менее безопасному развертыванию. Приложение Комнаты Teams развертывается с помощью Microsoft Store.

Комнаты Teams устройства работают с большинством протоколов безопасности 802.1X или другими сетевыми протоколами безопасности. Однако мы не можем протестировать Комнаты Teams всех возможных конфигураций безопасности сети. Таким образом, если возникают проблемы с производительностью, которые можно отслеживать по проблемам с производительностью сети, может потребоваться отключить эти протоколы, если они настроены в вашей организации.

Для оптимальной производительности мультимедиа в режиме реального времени настоятельно рекомендуется настроить трафик мультимедиа Teams для обхода прокси-серверов и других устройств безопасности сети. Мультимедиа в режиме реального времени очень чувствительны к задержкам, а прокси-серверы и устройства безопасности сети могут значительно снизить качество видео и звука пользователей. Кроме того, так как носитель Teams уже зашифрован, нет никакой реальной выгоды от передачи трафика через прокси-сервер. Дополнительные сведения см. в статье "Сеть ( в облако) — точка зрения одного архитектора, в которой рассматриваются рекомендации по сети для повышения производительности мультимедиа с помощью Microsoft Teams и Комнаты Microsoft Teams.

Важно

Комнаты Teams не поддерживает прокси-серверы, прошедшие проверку подлинности.

Комнаты Teams устройствам не нужно подключаться к внутренней локальной сети. Рассмотрите возможность Комнаты Teams в сегменте безопасной сети с прямым доступом к Интернету. Если внутренняя локальная сеть будет скомпрометирована, возможности вектора атаки в направлении Комнаты Teams будут сокращены.

Настоятельно рекомендуется подключить устройства Комнаты Teams к проводной сети. Использование беспроводных сетей на Комнаты Teams устройствах не рекомендуется или не сертифицировано. Некоторые функции подключения, такие как Wi-Fi Sense, по умолчанию отключены.

Присоединение близкого взаимодействия и другие Комнаты Teams зависят от Bluetooth. Однако реализация Bluetooth на Комнаты Teams устройствах не разрешает подключение внешнего устройства к Комнаты Teams устройству. Технология Bluetooth, используемая Комнаты Teams устройствах, в настоящее время ограничена рекламой маяков и запрашиваемых прокси-подключений. Тип ADV_NONCONN_INT единицы данных протокола (PDU) используется в маяке рекламы. Этот тип PDU предназначен для устройств, не подключенных к подключению, для рекламы информации на прослушиваемом устройстве. В рамках этих функций не существует связывания устройств Bluetooth. Дополнительные сведения о протоколах Bluetooth можно найти на веб-сайте Bluetooth SIG.