Защита узлов сеансов и приложений
Для защиты развернутого виртуального рабочего стола Azure клиентам доступны определенные действия и средства. В таблице ниже приведены проверенные рекомендации по защите развернутого виртуального рабочего стола Azure.
| Рекомендация | Результат |
|---|---|
| Включите Microsoft Defender для облака для функций управления состоянием безопасности облака (CSPM) | Функция оценки безопасности CSPM помогает повысить общую защиту. |
| Включите обязательную многофакторную проверку подлинности. | Процесс проверки подлинности пользователей станет надежнее. |
| Включите условный доступ. | Перед предоставлением пользователям доступа будут оцениваться соответствующие риски. |
| Включите журналы аудита. | Действия пользователей и администраторов будут контролироваться. |
| Используйте RemoteApp. | Рисков будут снижены за счет того, что пользователь может работать только с определенным подмножеством удаленных компьютеров. |
| Контролируйте использование с помощью Azure Monitor. | Настройте оповещения о работоспособности служб для получения уведомлений для службы виртуального рабочего стола Azure. |
| Включите защиту конечных точек. | Развернутая среда будет защищена от известных вредоносных программ. |
| Установите продукт для обнаружения и нейтрализации атак на конечные точки (EDR). | EDR поддерживает расширенные возможности обнаружения и реагирования. |
| Включите оценки контроля угроз и уязвимостей. | Оценки уязвимостей для серверных операционных систем помогают в выявлении проблем. |
| Устраните уязвимости программного обеспечения в своей среде. | При обнаружении уязвимости в локальной или виртуальной среде ее необходимо исправить. |
| Создайте политики максимального времени неактивности и отключения. | Сеансы неактивных пользователей будут прекращаться для экономии ресурсов и предотвращения несанкционированного доступа. |
| Блокируйте экран настройки для неактивных сеансов. | Блокировки экрана компьютера в режиме неактивности и проверка подлинности для его разблокировки в виртуальном рабочем столе Azure позволяют исключить нежелательный доступ к системе. |
| Не предоставляйте пользователям доступ администратора к виртуальным рабочим столам. | Используйте Configuration Manager для управления пакетами программного обеспечения. |
| Предоставляйте доступ определенным пользователям лишь к определенным ресурсам. | Настройте ограничения на подключение узлов к ресурсам Интернета. |
| Ограничьте возможности развертывания операционной системы. | Укрепите безопасность ваших узлов сеансов. |
| Ограничьте перенаправление устройств в свойствах RDP в пулах узлов виртуального рабочего стола Azure. | Предотвращение утечки данных. |
Включите защиту конечных точек с помощью Microsoft Defender для конечной точки.
Для защиты конечных точек компании рекомендуется настроить Microsoft Defender для конечной точки. Ранее эта программа называлась "Защитник Windows для конечной точки". Microsoft Defender для конечной точки обычно используется в локальной среде, однако его можно развернуть и в среде инфраструктуры виртуальных рабочих столов (VDI).
Чтобы развернуть Microsoft Defender для конечной точки на виртуальных машинах виртуального рабочего стола Azure, зарегистрируйте виртуальные машины в Microsoft Defender для облака. Microsoft Defender для облака предоставляет лицензию в рамках стандартного предложения.
Также следует использовать автоматическую подготовку. В параметрах автоматической подготовки в Microsoft Defender для облака есть переключатель для каждого типа поддерживаемого расширения. При включении автоматической подготовки для расширения назначается соответствующая политика DeployIfNotExists, чтобы обеспечить подготовку данного расширения на всех существующих и будущих ресурсах этого типа.
Примечание.
Включите автоматическую подготовку агента Log Analytics. Если автоматическая подготовка включена для агента анализа журналов, Microsoft Defender для облака развертывает агента во всех поддерживаемых виртуальных машинах Azure и любых новых создаваемых виртуальных машинах.
Интеграция Microsoft Endpoint Manager с Microsoft Intune
Microsoft 365 поддерживает Центр администрирования Microsoft Endpoint Manager и Microsoft Endpoint Configuration Manager.
С помощью Microsoft Intune можно настраивать и проверять соответствие требованиям. Это решение также можно использовать для развертывания приложений, компонентов и параметров на устройствах, которые используют Azure.
Microsoft Intune интегрирована с Microsoft Entra ID для проверки подлинности и авторизации. Он также интегрируется с Azure Information Protection для защиты данных. Microsoft Intune можно использовать с набором продуктов Microsoft 365.
В таблице ниже описаны некоторые основные функции Microsoft Intune.
| Функция | Описание |
|---|---|
| Управление устройствами | Устройства пользователей и корпоративные устройства, зарегистрированные в Microsoft Intune, получают правила и параметры с помощью политик, настроенных в соответствие с политиками безопасности вашей организации. |
| Управление приложениями | Средства управления мобильными приложениями в Microsoft Intune можно распространить на корпоративные и личные устройства. |
| Соответствие требованиям и условный доступ | Intune интегрируется с Microsoft Entra ID для реализации широкого набора сценариев управления доступом. |
Система управления приложениями заменяет собой модель доверия к приложениям, которая подразумевает, что все приложения являются надежными. В рамках новой модели каждое приложение должно заработать доверие перед запуском. В Windows 10 есть две технологии управления приложениями: управление приложениями в Защитнике Windows и AppLocker.
Управление приложениями в Защитнике Windows
В Windows 10 представлена система управления приложениями в Защитнике Windows. Организации могут использовать эту функцию для управления драйверами и приложениями, которые могут запускаться на их клиентах Windows 10.
Изначально в Windows 10 средства управления приложениями в Защитнике Windows назывались средствами настраиваемой целостности кода. Инструменты настраиваемой целостности кода не предъявляют никаких конкретных требований к оборудованию или программному обеспечению, кроме наличия Windows 10. Кроме того, в этом компоненте использовался ныне упраздненный Device Guard.
AppLocker
Мы рекомендуем использовать AppLocker в рамках общей стратегии управления приложениями. Эта система позволяет запускать на системах определенные (предварительно заданные) приложения.
Правила ограничения политик управления AppLocker основаны на следующих параметрах:
- Атрибуты файла, такие как цифровая подпись
- Название продукта
- Имя файла
- Версия файла
Правила по умолчанию блокируют множество сценариев, пакетов установщика Windows и исполняемых файлов.
В AppLocker есть правила по умолчанию для каждой коллекции правил, гарантирующие, что в соответствующей коллекции разрешены файлы, необходимые для правильной работы Windows. Правила по умолчанию также позволяют участникам локальной группы администраторов запускать все файлы установщика Windows. Правила по умолчанию:
- Разрешить членам группы "Все" запускать файлы установщика Windows с цифровой подписью.
- Разрешить членам группы "Все" запускать все файлы установщика Windows, расположенные в папке Windows\Installer.
- Разрешить членам локальной группы администраторов запускать все сценарии.
Коллекция правил AppLocker функционирует как список разрешенных файлов. Запускаются только файлы, указанные в коллекции. Благодаря такой конфигурации становиться проще определить, что произойдет при применении правила AppLocker. Поскольку AppLocker по умолчанию функционирует как список разрешенных файлов, в ситуации, когда ни одно правило явно не разрешает и не запрещает запуск файла, этот файл будет по умолчанию заблокирован действием запрета AppLocker.