Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Virtual Desktop är en hanterad tjänst för virtuellt skrivbord som innehåller många säkerhetsfunktioner för att skydda din organisation. Arkitekturen i Azure Virtual Desktop består av många komponenter som utgör tjänsten som ansluter användare till deras skrivbord och appar.
Azure Virtual Desktop har många inbyggda avancerade säkerhetsfunktioner, till exempel Reverse Connect där inga inkommande nätverksportar krävs för att vara öppna, vilket minskar risken med att fjärrskrivbord är tillgängliga var som helst. Tjänsten drar också nytta av många andra säkerhetsfunktioner i Azure, till exempel multifaktorautentisering och villkorlig åtkomst. I den här artikeln beskrivs steg som du kan vidta som administratör för att skydda dina Azure Virtual Desktop-distributioner, oavsett om du tillhandahåller skrivbord och appar till användare i din organisation eller till externa användare.
Delat säkerhetsansvar
Före Azure Virtual Desktop kräver lokala virtualiseringslösningar som Fjärrskrivbordstjänster att användarna får åtkomst till roller som Gateway, Broker, Web Access och så vidare. Dessa roller måste vara helt redundanta och kunna hantera hög kapacitet. Administratörer skulle installera dessa roller som en del av Windows Server operativsystem, och de måste vara domänanslutna med specifika portar som är tillgängliga för offentliga anslutningar. För att skydda distributionerna var administratörerna tvungna att hela tiden se till att allt i infrastrukturen behölls och uppdaterades.
I de flesta molntjänster finns det dock en delad uppsättning säkerhetsansvar mellan Microsoft och kunden eller partnern. För Azure Virtual Desktop är de flesta komponenter Microsoft-hanterade, men sessionsvärdar och vissa stödtjänster och komponenter är kundhanterade eller partnerhanterade. Mer information om Microsoft-hanterade komponenter i Azure Virtual Desktop finns i Azure Virtual Desktop-tjänstens arkitektur och motståndskraft.
Vissa komponenter är redan skyddade för din miljö, men du måste konfigurera andra områden själv så att de passar organisationens eller kundens säkerhetsbehov. Här är de komponenter som du ansvarar för säkerheten i din Azure Virtual Desktop-distribution av:
| Komponent | Ansvar |
|---|---|
| Identitet | Kund eller partner |
| Användarenheter (mobil och dator) | Kund eller partner |
| Appsäkerhet | Kund eller partner |
| Sessionsvärdoperativsystem | Kund eller partner |
| Distributionskonfiguration | Kund eller partner |
| Nätverkskontroller | Kund eller partner |
| Kontrollplan för virtualisering | Microsoft |
| Fysiska värdar | Microsoft |
| Fysiskt nätverk | Microsoft |
| Fysiskt datacenter | Microsoft |
Säkerhetsgränser
Säkerhetsgränser separerar kod och data för säkerhetsdomäner med olika förtroendenivåer. Det finns till exempel vanligtvis en säkerhetsgräns mellan kernelläge och användarläge. De flesta Microsoft-program och -tjänster är beroende av flera säkerhetsgränser för att isolera enheter i nätverk, virtuella datorer (VM) och program på enheter. I följande tabell visas varje säkerhetsgräns för Windows och vad de gör för övergripande säkerhet.
| Säkerhetsgräns | Beskrivning |
|---|---|
| Nätverksgräns | En obehörig nätverksslutpunkt kan inte komma åt eller manipulera kod och data på en kunds enhet. |
| Kernelgräns | En icke-administrativ användarlägesprocess kan inte komma åt eller manipulera kernelkod och data. Administratör till kernel är inte en säkerhetsgräns. |
| Processgräns | En obehörig användarlägesprocess kan inte komma åt eller manipulera koden och data i en annan process. |
| AppContainer-sandbox-gräns | En AppContainer-baserad sandbox-process kan inte komma åt eller manipulera kod och data utanför sandbox-miljön baserat på containerfunktionerna. |
| Användargräns | En användare kan inte komma åt eller manipulera kod och data för en annan användare utan att ha behörighet. |
| Sessionsgräns | En användarsession kan inte komma åt eller manipulera en annan användarsession utan att ha behörighet. |
| Webbläsargräns | En obehörig webbplats kan inte bryta mot principen för samma ursprung och kan inte heller komma åt eller manipulera den interna koden och data i microsoft Edge-webbläsarens sandbox-miljö. |
| Gräns för virtuell dator | En obehörig virtuell Hyper-V-gästdator kan inte komma åt eller manipulera kod och data för en annan virtuell gästdator. Detta inkluderar isolerade Hyper-V-containrar. |
| Gräns för virtuellt säkert läge (VSM) | Kod som körs utanför den betrodda VSM-processen eller enklaven kan inte komma åt eller manipulera data och kod i den betrodda processen. |
Rekommenderade säkerhetsgränser för Azure Virtual Desktop-scenarier
Du måste också göra vissa val om säkerhetsgränser från fall till fall. Om en användare i din organisation till exempel behöver lokal administratörsbehörighet för att installera appar måste du ge dem ett personligt skrivbord i stället för en delad sessionsvärd. Vi rekommenderar inte att du ger användarna lokal administratörsbehörighet i poolscenarier med flera sessioner eftersom dessa användare kan korsa säkerhetsgränser för sessioner eller NTFS-databehörigheter, stänga av virtuella datorer med flera sessioner eller göra andra saker som kan störa tjänsten eller orsaka dataförluster.
Användare från samma organisation, till exempel kunskapsarbetare med appar som inte kräver administratörsbehörighet, är bra kandidater för sessionsvärdar med flera sessioner som Windows 11 Enterprise flera sessioner. Dessa sessionsvärdar minskar kostnaderna för din organisation eftersom flera användare kan dela en enda virtuell dator, med endast omkostnader för en virtuell dator per användare. Med produkter för användarprofilhantering som FSLogix kan användare tilldelas vilken virtuell dator som helst i en värdpool utan att märka några tjänstavbrott. Med den här funktionen kan du också optimera kostnaderna genom att göra saker som att stänga av virtuella datorer under låg belastning.
Om din situation kräver att användare från olika organisationer ansluter till distributionen rekommenderar vi att du har en separat klientorganisation för identitetstjänster som Active Directory och Microsoft Entra ID. Vi rekommenderar också att du har en separat prenumeration för de användare som är värdar för Azure-resurser som Azure Virtual Desktop och virtuella datorer.
I många fall är användning av flera sessioner ett acceptabelt sätt att minska kostnaderna, men om vi rekommenderar det beror på förtroendenivån mellan användare med samtidig åtkomst till en delad instans med flera sessioner. Vanligtvis har användare som tillhör samma organisation en tillräcklig och överenskommen förtroenderelation. Till exempel är en avdelning eller arbetsgrupp där personer samarbetar och kan komma åt varandras personliga information en organisation med hög förtroendenivå.
Windows använder säkerhetsgränser och kontroller för att säkerställa att användarprocesser och data isoleras mellan sessioner. Windows ger dock fortfarande åtkomst till den instans som användaren arbetar med.
Distributioner med flera sessioner skulle dra nytta av en djupgående säkerhetsstrategi som lägger till fler säkerhetsgränser som hindrar användare inom och utanför organisationen från att få obehörig åtkomst till andra användares personliga information. Obehörig dataåtkomst inträffar på grund av ett fel i konfigurationsprocessen av systemadministratören, till exempel en hemlig säkerhetsrisk eller en känd säkerhetsrisk som inte har korrigerats ännu.
Vi rekommenderar inte att du ger användare som arbetar för olika eller konkurrerande företag åtkomst till samma miljö med flera sessioner. Dessa scenarier har flera säkerhetsgränser som kan angripas eller missbrukas, till exempel nätverk, kernel, process, användare eller sessioner. En enda säkerhetsrisk kan orsaka obehöriga data och stöld av autentiseringsuppgifter, läckage av personlig information, identitetsstöld och andra problem. Virtualiserade miljöleverantörer ansvarar för att erbjuda väldesignade system med flera starka säkerhetsgränser och extra säkerhetsfunktioner aktiverade när det är möjligt.
För att minska dessa potentiella hot krävs en felsäker konfiguration, designprocess för korrigeringshantering och regelbundna uppdateringsdistributionsscheman. Det är bättre att följa principerna för skydd på djupet och hålla miljöer åtskilda.
I följande tabell sammanfattas våra rekommendationer för varje scenario.
| Scenario på förtroendenivå | Rekommenderad lösning |
|---|---|
| Användare från en organisation med standardprivilegier | Använd ett Windows Enterprise-operativsystem med flera sessioner (OS). |
| Användare kräver administratörsbehörighet | Använd en personlig värdpool och tilldela varje användare en egen sessionsvärd. |
| Användare från olika organisationer som ansluter | Separata Azure-klientorganisationer och Azure-prenumerationer |
Metodtips för Azure-säkerhet
Azure Virtual Desktop är en tjänst under Azure. För att maximera säkerheten för din Azure Virtual Desktop-distribution bör du även skydda den omgivande Azure-infrastrukturen och hanteringsplanet. För att skydda din infrastruktur bör du tänka på hur Azure Virtual Desktop passar in i ditt större Azure-ekosystem. Mer information om Azure-ekosystemet finns i Metodtips och mönster för Säkerhet i Azure.
Dagens hotlandskap kräver design med säkerhetsstrategier i åtanke. Vi rekommenderar att du skapar en serie säkerhetsmekanismer och kontroller i hela datornätverket för att skydda dina data och nätverk från att komprometteras eller attackeras. Den här typen av säkerhetsdesign är vad USA CISA (Cybersecurity and Infrastructure Security Agency) kallar försvar på djupet.
Följande avsnitt innehåller rekommendationer för att skydda en Azure Virtual Desktop-distribution.
Aktivera Microsoft Defender för molnet
Vi rekommenderar att du aktiverar Microsoft Defender för molnets förbättrade säkerhetsfunktioner för att:
- Hantera säkerhetsrisker.
- Utvärdera efterlevnaden av vanliga ramverk som från PCI Security Standards Council.
- Stärka den övergripande säkerheten i din miljö.
Mer information finns i Aktivera förbättrade säkerhetsfunktioner.
Förbättra din säkerhetspoäng
Säkerhetspoäng ger rekommendationer och bästa praxis för att förbättra din övergripande säkerhet. De här rekommendationerna prioriteras för att hjälpa dig att välja vilka som är viktigast, och snabbkorrigeringsalternativen hjälper dig att snabbt åtgärda potentiella säkerhetsproblem. De här rekommendationerna uppdateras också med tiden, vilket håller dig uppdaterad om de bästa sätten att upprätthålla din miljös säkerhet. Mer information finns i Förbättra din säkerhetspoäng i Microsoft Defender för molnet.
Kräv multifaktorautentisering
Att kräva multifaktorautentisering för alla användare och administratörer i Azure Virtual Desktop förbättrar säkerheten för hela distributionen. Mer information finns i Aktivera Microsoft Entra multifaktorautentisering för Azure Virtual Desktop.
Aktivera villkorlig åtkomst
Genom att aktivera villkorsstyrd åtkomst kan du hantera risker innan du ger användarna åtkomst till din Azure Virtual Desktop-miljö. När du bestämmer vilka användare som ska bevilja åtkomst till rekommenderar vi att du även överväger vem användaren är, hur de loggar in och vilken enhet de använder.
Samla in granskningsloggar
När du aktiverar insamling av granskningsloggar kan du visa användar- och administratörsaktiviteter relaterade till Azure Virtual Desktop. Några exempel på viktiga granskningsloggar är:
- Azure-aktivitetslogg
- Microsoft Entra aktivitetslogg
- Microsoft Entra ID
- Sessionsvärdar
- Key Vault loggar
Övervaka användning med Azure Monitor
Övervaka azure virtual desktop-tjänstens användning och tillgänglighet med Azure Monitor. Överväg att skapa tjänsthälsoaviseringar för Azure Virtual Desktop-tjänsten för att ta emot meddelanden när det finns en tjänst som påverkar händelsen.
Kryptera dina sessionsvärdar
Kryptera sessionsvärdarna med krypteringsalternativ för hanterade diskar för att skydda lagrade data från obehörig åtkomst.
Metodtips för sessionsvärdsäkerhet
Sessionsvärdar är virtuella datorer som körs i en Azure-prenumeration och ett virtuellt nätverk. Azure Virtual Desktop-distributionens övergripande säkerhet beror på vilka säkerhetskontroller du har på sessionsvärdarna. I det här avsnittet beskrivs metodtips för att skydda dina sessionsvärdar.
Aktivera slutpunktsskydd
För att skydda distributionen från känd skadlig programvara rekommenderar vi att du aktiverar slutpunktsskydd på alla sessionsvärdar. Du kan använda antingen Windows Defender Antivirus eller ett program från tredje part. Mer information finns i Distributionsguide för Windows Defender Antivirus i en VDI-miljö.
För profillösningar som FSLogix eller andra lösningar som monterar virtuella hårddiskfiler rekommenderar vi att du undantar dessa filnamnstillägg. Mer information om FSLogix-undantag finns i Konfigurera undantag för antivirusfiler och mappar.
Installera en produkt för slutpunktsidentifiering och svar
Vi rekommenderar att du installerar en produkt för slutpunktsidentifiering och svar (EDR) för att tillhandahålla avancerade identifierings- och svarsfunktioner. För serveroperativsystem med Microsoft Defender för molnet aktiverat distribuerar installation av en EDR-produkt Microsoft Defender för Endpoint. För klientoperativsystem kan du distribuera Microsoft Defender för Endpoint eller en produkt från tredje part till dessa slutpunkter.
Aktivera Hantering av hot och säkerhetsrisker utvärderingar
Det är viktigt att identifiera sårbarheter i programvara som finns i operativsystem och program för att skydda din miljö. Microsoft Defender för molnet kan hjälpa dig att identifiera problempunkter via Microsoft Defender för Endpoint Hantering av hot och säkerhetsrisker lösning. Du kan också använda produkter från tredje part om du är så benägen, även om vi rekommenderar att du använder Microsoft Defender för molnet och Microsoft Defender för Endpoint.
Korrigera sårbarheter i programvara i din miljö
När du har identifierat en säkerhetsrisk måste du korrigera den. Detta gäller även för virtuella miljöer, som omfattar de operativsystem som körs, de program som distribueras inuti dem och de avbildningar som du skapar nya datorer från. Följ meddelanden om leverantörskorrigeringar och tillämpa korrigeringar i tid. Vi rekommenderar att du korrigerar basavbildningarna varje månad för att säkerställa att nyligen distribuerade datorer är så säkra som möjligt.
Upprätta principer för maximal inaktiv tid och frånkoppling
När användare loggas ut när de är inaktiva bevaras resurser och obehöriga användare kan inte komma åt dem. Vi rekommenderar att tidsgränser balanserar användarproduktiviteten och resursanvändningen. För användare som interagerar med tillståndslösa program bör du överväga mer aggressiva principer som inaktiverar datorer och bevarar resurser. Om du kopplar från tidskrävande program som fortsätter att köras om en användare är inaktiv, till exempel en simulering eller CAD-rendering, kan det avbryta användarens arbete och kan till och med kräva att datorn startas om.
Konfigurera skärmlås för inaktiva sessioner
Du kan förhindra oönskad systemåtkomst genom att konfigurera Azure Virtual Desktop för att låsa en dators skärm under inaktivitetstid och kräva autentisering för att låsa upp den.
Upprätta nivåindelad administratörsåtkomst
Vi rekommenderar att du inte ger användarna administratörsåtkomst till virtuella skrivbord. Om du behöver programvarupaket rekommenderar vi att du gör dem tillgängliga via konfigurationshanteringsverktyg som Microsoft Intune. I en miljö med flera sessioner rekommenderar vi att du inte låter användarna installera programvara direkt.
Överväg vilka användare som ska komma åt vilka resurser
Överväg sessionsvärdar som ett tillägg till din befintliga skrivbordsdistribution. Vi rekommenderar att du styr åtkomsten till nätverksresurser på samma sätt som för andra skrivbord i din miljö, till exempel genom att använda nätverkssegmentering och filtrering. Som standard kan sessionsvärdar ansluta till valfri resurs på Internet. Det finns flera sätt att begränsa trafiken, bland annat med hjälp av Azure Firewall, virtuella nätverksinstallationer eller proxyservrar. Om du behöver begränsa trafiken måste du lägga till rätt regler så att Azure Virtual Desktop kan fungera korrekt.
Hantera Microsoft 365-appsäkerhet
Förutom att skydda dina sessionsvärdar är det viktigt att även skydda de program som körs i dem. Microsoft 365-appar är några av de vanligaste programmen som distribueras i sessionsvärdar. För att förbättra microsoft 365-distributionssäkerheten rekommenderar vi att du använder Security Policy Advisor för Microsoft 365-appar för företag. Det här verktyget identifierar principer som du kan använda för din distribution för mer säkerhet. Security Policy Advisor rekommenderar även principer baserat på deras inverkan på din säkerhet och produktivitet.
Säkerhet för användarprofil
Användarprofiler kan innehålla känslig information. Du bör begränsa vem som har åtkomst till användarprofiler och metoderna för att komma åt dem, särskilt om du använder FSLogix-profilcontainern för att lagra användarprofiler i en virtuell hårddiskfil på en SMB-resurs. Du bör följa säkerhetsrekommendationerna för providern av din SMB-resurs. Om du till exempel använder Azure Files för att lagra dessa virtuella hårddiskfiler kan du använda privata slutpunkter för att göra dem endast tillgängliga i ett virtuellt Azure-nätverk.
Andra säkerhetstips för sessionsvärdar
Genom att begränsa operativsystemets funktioner kan du stärka säkerheten för dina sessionsvärdar. Här är några saker du kan göra:
Kontrollera omdirigering av enheter genom att omdirigera enheter, skrivare och USB-enheter till en användares lokala enhet i en fjärrskrivbordssession. Vi rekommenderar att du utvärderar dina säkerhetskrav och kontrollerar om dessa funktioner bör inaktiveras eller inte.
Begränsa åtkomsten till Utforskaren genom att dölja lokala mappningar och fjärrenhetsmappningar. Detta hindrar användare från att upptäcka oönskad information om systemkonfiguration och användare.
Undvik direkt RDP-åtkomst till sessionsvärdar i din miljö. Om du behöver direkt RDP-åtkomst för administration eller felsökning aktiverar du just-in-time-åtkomst för att begränsa den potentiella attackytan på en sessionsvärd.
Bevilja användare begränsade behörigheter när de får åtkomst till lokala filsystem och fjärrfilsystem. Du kan begränsa behörigheterna genom att se till att dina lokala och fjärranslutna filsystem använder åtkomstkontrollistor med minsta möjliga behörighet. På så sätt kan användarna bara komma åt det de behöver och kan inte ändra eller ta bort kritiska resurser.
Förhindra att oönskad programvara körs på sessionsvärdar. RemoteApp är inte en säkerhetsfunktion och dess användning förhindrar inte att program startas utöver de program som publiceras till en programgrupp. För att säkerställa att endast de program som du tillåter kan köras på en sessionsvärd kan du använda Programkontroll för Windows-funktioner som App Control eller AppLocker.
Betrodd start
Betrodd start är virtuella Azure-datorer med förbättrade säkerhetsfunktioner som syftar till att skydda mot beständiga attacktekniker, till exempel hot i botten av stacken via attackvektorer som rootkits, startkits och skadlig kod på kernelnivå. Det möjliggör säker distribution av virtuella datorer med verifierade startinläsare, OS-kernels och drivrutiner, och skyddar även nycklar, certifikat och hemligheter på de virtuella datorerna. Läs mer om betrodd start vid betrodd start för virtuella Azure-datorer.
När du lägger till sessionsvärdar med hjälp av Azure Portal är standardsäkerhetstypen Betrodda virtuella datorer. Detta säkerställer att den virtuella datorn uppfyller de obligatoriska kraven för Windows 11. Mer information om dessa krav finns i Stöd för virtuella datorer.
Virtuella datorer för konfidentiell databehandling i Azure
Azure Virtual Desktop-stöd för virtuella Azure-datorer för konfidentiell databehandling säkerställer att en användares virtuella skrivbord krypteras i minnet, skyddas i användning och backas upp av en maskinvarurot av förtroende.
Genom att distribuera konfidentiella virtuella datorer med Azure Virtual Desktop får användarna åtkomst till Microsoft 365 och andra program på sessionsvärdar som använder maskinvarubaserad isolering, vilket skyddar isoleringen från andra virtuella datorer, hypervisor-programmet och värdoperativsystemet. Minneskrypteringsnycklar genereras och skyddas av en dedikerad säker processor i processorn som inte kan läsas från programvara. Mer information, inklusive tillgängliga VM-storlekar, finns i översikten över konfidentiell databehandling i Azure.
Följande operativsystem stöds för användning som sessionsvärdar med konfidentiella virtuella datorer på Azure Virtual Desktop för versioner som har aktivt stöd. Supportdatum finns i Microsofts livscykelpolicy.
- Windows 11 Enterprise
- Windows 11 Enterprise multi-session
- Windows 10 Enterprise
- Windows 10 Enterprise multi-session
- Windows Server 2022
- Windows Server 2019
Du kan skapa sessionsvärdar med hjälp av konfidentiella virtuella datorer när du distribuerar Azure Virtual Desktop eller lägger till sessionsvärdar i en värdpool.
Diskkryptering för operativsystem
Kryptering av operativsystemdisken är ett extra krypteringslager som binder diskkrypteringsnycklar till den konfidentiella datordatorns trusted platform module (TPM). Den här krypteringen gör diskinnehållet endast tillgängligt för den virtuella datorn. Integritetsövervakning tillåter kryptografisk attestering och verifiering av vm-startintegritet och övervakningsaviseringar om den virtuella datorn inte startade eftersom attesteringen misslyckades med den definierade baslinjen. Mer information om integritetsövervakning finns i Microsoft Defender för molnintegrering. Du kan aktivera konfidentiell beräkningskryptering när du skapar sessionsvärdar med hjälp av konfidentiella virtuella datorer när du skapar en värdpool eller lägger till sessionsvärdar i en värdpool.
Säker start
Säker start är ett läge som plattformens inbyggda programvara stöder som skyddar din inbyggda programvara från rotkits och startpaket som baseras på skadlig kod. Det här läget tillåter endast att signerade operativsystem och drivrutiner startar.
Övervaka startintegriteten med fjärrattestering
Fjärrattestering är ett bra sätt att kontrollera hälsotillståndet för dina virtuella datorer. Fjärrattestering verifierar att uppmätta startposter finns, är äkta och kommer från virtual trusted platform module (vTPM). Som en hälsokontroll ger det kryptografisk säkerhet om att en plattform har startats korrekt.
vTPM
En vTPM är en virtualiserad version av en TPM (Hardware Trusted Platform Module) med en virtuell instans av en TPM per virtuell dator. vTPM möjliggör fjärrattestering genom att utföra integritetsmätning av hela startkedjan för den virtuella datorn (UEFI, OS, system och drivrutiner).
Vi rekommenderar att du aktiverar vTPM för att använda fjärrattestering på dina virtuella datorer. Med vTPM aktiverat kan du även aktivera BitLocker-funktioner med Azure Disk Encryption, som tillhandahåller kryptering med full volym för att skydda vilande data. Alla funktioner som använder vTPM resulterar i hemligheter som är bundna till den specifika virtuella datorn. När användare ansluter till Azure Virtual Desktop-tjänsten i ett poolscenario kan användarna omdirigeras till valfri virtuell dator i värdpoolen. Beroende på hur funktionen är utformad kan detta påverka.
Obs!
BitLocker bör inte användas för att kryptera den specifika disk där du lagrar dina FSLogix-profildata.
Virtualiseringsbaserad säkerhet
Virtualiseringsbaserad säkerhet (VBS) använder hypervisor-programmet för att skapa och isolera en säker minnesregion som inte är tillgänglig för operativsystemet. Hypervisor-Protected Kodintegritet (HVCI) och Windows Defender Credential Guard använder båda VBS för att ge ökat skydd mot sårbarheter.
Hypervisor-Protected kodintegritet
HVCI är en kraftfull systemreducering som använder VBS för att skydda Processer i Windows-kernelläge mot inmatning och körning av skadlig eller overifierad kod.
Windows Defender Credential Guard
Aktivera Windows Defender Credential Guard. Windows Defender Credential Guard använder VBS för att isolera och skydda hemligheter så att endast privilegierad systemprogramvara kan komma åt dem. Detta förhindrar obehörig åtkomst till dessa hemligheter och stöld av autentiseringsuppgifter, till exempel Pass-the-Hash-attacker. Mer information finns i Översikt över Credential Guard.
Windows Defender-programreglering
Aktivera Windows Defender-programkontroll. Windows Defender Application Control är utformat för att skydda enheter mot skadlig kod och annan ej betrodd programvara. Det förhindrar att skadlig kod körs genom att se till att endast godkänd kod, som du vet, kan köras. Mer information finns i Programkontroll för Windows.
Obs!
När du använder Windows Defender Access Control rekommenderar vi endast att du riktar in dig på principer på enhetsnivå. Även om det är möjligt att rikta principer till enskilda användare påverkas alla användare på enheten lika när principen har tillämpats.
Windows Update
Håll sessionsvärdarna uppdaterade med uppdateringar från Windows Update. Windows Update är ett säkert sätt att hålla dina enheter uppdaterade. Dess slutpunkt till slutpunkt-skydd förhindrar manipulering av protokollutbyten och säkerställer att uppdateringar endast innehåller godkänt innehåll. Du kan behöva uppdatera brandväggs- och proxyregler för vissa av dina skyddade miljöer för att få korrekt åtkomst till Windows Uppdateringar. Mer information finns i Windows Update säkerhet.
Fjärrskrivbordsklient och uppdateringar på andra operativsystemplattformar
Programuppdateringar för fjärrskrivbordsklienter som du kan använda för att få åtkomst till Azure Virtual Desktop-tjänster på andra operativsystemplattformar skyddas enligt säkerhetsprinciperna för respektive plattform. Alla klientuppdateringar levereras direkt via deras plattformar. Mer information finns på respektive butikssida för varje app: