Azure Sanal Masaüstü için güvenlik önerileri
Azure Sanal Masaüstü, kuruluşunuzun güvenliğini sağlamak için birçok güvenlik özelliği içeren yönetilen bir sanal masaüstü hizmetidir. Azure Sanal Masaüstü mimarisi, kullanıcıları masaüstlerine ve uygulamalarına bağlayan hizmeti oluşturan birçok bileşenden oluşur.
Azure Sanal Masaüstü,hiçbir gelen ağ bağlantı noktasının açık olması gerekmeyen Ters Bağlan gibi birçok yerleşik gelişmiş güvenlik özelliğine sahiptir ve bu da uzak masaüstlerinin her yerden erişilebilir olması riskini azaltır. Hizmet, Azure'ın çok faktörlü kimlik doğrulaması ve koşullu erişim gibi diğer birçok güvenlik özelliğinden de yararlanır. Bu makalede, kuruluşunuzdaki kullanıcılara veya dış kullanıcılara masaüstü ve uygulama sağlamanız fark etmeksizin Azure Sanal Masaüstü dağıtımlarınızı güvende tutmak için yönetici olarak atabileceğiniz adımlar açıklanmaktadır.
Paylaşılan güvenlik sorumlulukları
Azure Sanal Masaüstü'ne başlamadan önce, Uzak Masaüstü Hizmetleri gibi şirket içi sanallaştırma çözümleri, kullanıcılara Ağ Geçidi, Aracı, Web Erişimi gibi rollere erişim izni verilmesini gerektirir. Bu rollerin tamamen yedekli olması ve en yüksek kapasiteyi işleyebilmesi gerekiyordu. Yönetici istrator'lar bu rolleri Windows Server işletim sisteminin bir parçası olarak yükler ve genel bağlantıların erişebileceği belirli bağlantı noktalarıyla etki alanına katılmış olmaları gerekir. Dağıtımları güvenli tutmak için yöneticilerin altyapıdaki her şeyin korunduğunu ve güncel olduğundan sürekli emin olması gerekiyordu.
Ancak bulut hizmetlerinin çoğunda Microsoft ile müşteri veya iş ortağı arasında paylaşılan bir güvenlik sorumlulukları kümesi vardır. Azure Sanal Masaüstü için çoğu bileşen Microsoft tarafından yönetilir, ancak oturum konakları ve bazı destekleyici hizmetler ve bileşenler müşteri tarafından yönetilir veya iş ortağı tarafından yönetilir. Azure Sanal Masaüstü'nin Microsoft tarafından yönetilen bileşenleri hakkında daha fazla bilgi edinmek için bkz . Azure Sanal Masaüstü hizmet mimarisi ve dayanıklılığı.
Bazı bileşenler ortamınız için zaten güvenli olsa da, diğer alanları kuruluşunuzun veya müşterinin güvenlik gereksinimlerine uyacak şekilde yapılandırmanız gerekir. Azure Sanal Masaüstü dağıtımınızın güvenliğinden sorumlu olduğunuz bileşenler şunlardır:
| Bileşen | Sorumluluk |
|---|---|
| Kimlik | Müşteri veya iş ortağı |
| Kullanıcı cihazları (mobil ve bilgisayar) | Müşteri veya iş ortağı |
| Uygulama güvenliği | Müşteri veya iş ortağı |
| Oturum konağı işletim sistemi | Müşteri veya iş ortağı |
| Dağıtım yapılandırması | Müşteri veya iş ortağı |
| Ağ denetimleri | Müşteri veya iş ortağı |
| Sanallaştırma denetim düzlemi | Microsoft |
| Fiziksel ana bilgisayarlar | Microsoft |
| Fiziksel ağ | Microsoft |
| Fiziksel veri merkezi | Microsoft |
Güvenlik sınırları
Güvenlik sınırları, farklı güven düzeylerine sahip güvenlik etki alanlarının kodunu ve verilerini ayırır. Örneğin, genellikle çekirdek modu ile kullanıcı modu arasında bir güvenlik sınırı vardır. Microsoft yazılım ve hizmetlerinin çoğu ağları, sanal makineleri (VM) ve cihazlardaki uygulamaları yalıtmak için birden çok güvenlik sınırına bağlıdır. Aşağıdaki tabloda, Windows için her bir güvenlik sınırı ve genel güvenlik için ne yaptıkları listelenir.
| Güvenlik sınırı | Açıklama |
|---|---|
| Ağ sınırı | Yetkisiz bir ağ uç noktası, müşterinin cihazındaki kod ve verilere erişemez veya verileri değiştiremez. |
| Çekirdek sınırı | Yönetici olmayan bir kullanıcı modu işlemi çekirdek koduna ve verilerine erişemez veya verileri değiştiremez. Yönetici istrator-to-kernel bir güvenlik sınırı değildir. |
| İşlem sınırı | Yetkisiz kullanıcı modu işlemi, başka bir işlemin koduna ve verilerine erişemez veya bu işlemle oynanamaz. |
| AppContainer korumalı alan sınırı | AppContainer tabanlı bir korumalı alan işlemi, kapsayıcı özelliklerine göre korumalı alan dışındaki kodlara ve verilere erişemez veya bunlarla oynanamaz. |
| Kullanıcı sınırı | Kullanıcı, yetkilendirilmeden başka bir kullanıcının koduna ve verilerine erişemez veya verileri değiştiremez. |
| Oturum sınırı | Kullanıcı oturumu, yetkilendirilmeden başka bir kullanıcı oturumuna erişemez veya başka bir oturumla oynanamaz. |
| Web tarayıcısı sınırı | Yetkisiz bir web sitesi aynı kaynak ilkesini ihlal edemez veya Microsoft Edge web tarayıcısı korumalı alanının yerel koduna ve verilerine erişemez veya bunlarla oynanamaz. |
| Sanal makine sınırı | Yetkisiz bir Hyper-V konuk sanal makinesi, başka bir konuk sanal makinenin koduna ve verilerine erişemez veya bunlarla oynanamaz; Bu, Hyper-V yalıtılmış kapsayıcılarını içerir. |
| Sanal Güvenli Mod (VSM) sınırı | VSM güvenilen işlemi veya kapanım dışında çalışan kod, güvenilir işlem içindeki verilere ve kodlara erişemez veya bu kodla oynanamaz. |
Azure Sanal Masaüstü senaryoları için önerilen güvenlik sınırları
Ayrıca güvenlik sınırlarıyla ilgili belirli seçimleri büyük/küçük harf temelinde de yapmanız gerekir. Örneğin, kuruluşunuzdaki bir kullanıcının uygulamaları yüklemek için yerel yönetici ayrıcalıklarına ihtiyacı varsa, paylaşılan oturum konağı yerine ona kişisel bir masaüstü vermeniz gerekir. Çok oturumlu havuza alınan senaryolarda kullanıcılara yerel yönetici ayrıcalıkları verilmesini önermiyoruz çünkü bu kullanıcılar oturumlar veya NTFS veri izinleri için güvenlik sınırlarını aşabilir, çok oturumlu VM'leri kapatabilir veya hizmeti kesintiye uğratabilecek veya veri kaybına neden olabilecek başka işlemler yapabilir.
Yönetici ayrıcalıkları gerektirmeyen uygulamaları olan bilgi çalışanları gibi aynı kuruluştan kullanıcılar, Windows 11 Enterprise çoklu oturum gibi çok oturumlu oturum konakları için harika adaylardır. Bu oturum konakları, birden çok kullanıcı tek bir VM'yi paylaşabildiğinden ve yalnızca kullanıcı başına vm'nin ek yük maliyetleriyle kuruluşunuz için maliyetleri azaltır. FSLogix gibi kullanıcı profili yönetimi ürünleriyle kullanıcılara hizmet kesintileri fark edilmeden konak havuzundaki herhangi bir VM atanabilir. Bu özellik ayrıca yoğun olmayan saatlerde VM'leri kapatma gibi işlemler yaparak maliyetleri iyileştirmenizi sağlar.
Durumunuz farklı kuruluşların kullanıcılarının dağıtımınıza bağlanmasını gerektiriyorsa, Active Directory ve Microsoft Entra Id gibi kimlik hizmetleri için ayrı bir kiracınız olmasını öneririz. Ayrıca, Azure Sanal Masaüstü ve VM'ler gibi Azure kaynaklarını barındırmak için bu kullanıcılar için ayrı bir aboneliğe sahip olmanız önerilir.
Çoğu durumda, çoklu oturum kullanımı maliyetleri azaltmanın kabul edilebilir bir yoludur, ancak bunun önerilip önerilmeyeceği paylaşılan çok oturumlu örneğe eşzamanlı erişimi olan kullanıcılar arasındaki güven düzeyine bağlıdır. Genellikle, aynı kuruluşa ait kullanıcılar yeterli ve üzerinde anlaşmaya varılmış bir güven ilişkisine sahiptir. Örneğin, kişilerin işbirliği yaptığı ve birbirlerinin kişisel bilgilerine erişebildiği bir departman veya çalışma grubu, yüksek güven düzeyine sahip bir kuruluş olabilir.
Windows, kullanıcı işlemlerinin ve verilerin oturumlar arasında yalıtıldığından emin olmak için güvenlik sınırlarını ve denetimlerini kullanır. Ancak, Windows yine de kullanıcının üzerinde çalıştığı örneğe erişim sağlar.
Çok oturumlu dağıtımlar, kuruluş içindeki ve dışındaki kullanıcıların diğer kullanıcıların kişisel bilgilerine yetkisiz erişim elde etmesini engelleyen daha fazla güvenlik sınırı ekleyen derinlemesine güvenlik stratejisinden yararlanabilir. Yetkisiz veri erişimi, sistem yöneticisinin yapılandırma sürecindeki bir hata nedeniyle oluşur. Örneğin, açıklanmayan bir güvenlik açığı veya henüz düzeltme eki uygulamamış bilinen bir güvenlik açığı.
Farklı veya rakip şirketler için çalışan kullanıcılara aynı çoklu oturum ortamına erişim izni vermenizi önermiyoruz. Bu senaryoların ağ, çekirdek, işlem, kullanıcı veya oturumlar gibi saldırıya uğrayabilecek veya kötüye kullanılabilecek çeşitli güvenlik sınırları vardır. Tek bir güvenlik açığı yetkisiz veri ve kimlik bilgisi hırsızlığına, kişisel bilgi sızıntılarına, kimlik hırsızlığına ve diğer sorunlara neden olabilir. Sanallaştırılmış ortam sağlayıcıları, mümkün olan her yerde birden çok güçlü güvenlik sınırı ve ek güvenlik özellikleri etkinleştirilmiş iyi tasarlanmış sistemler sunmakla sorumludur.
Bu olası tehditleri azaltmak için hataya dayanıklı bir yapılandırma, düzeltme eki yönetimi tasarım süreci ve düzenli düzeltme eki dağıtım zamanlamaları gerekir. Savunma ilkelerini derinlemesine izlemek ve ortamları ayrı tutmak daha iyidir.
Aşağıdaki tabloda her senaryo için önerilerimiz özetlemektedir.
| Güven düzeyi senaryosu | Önerilen çözüm |
|---|---|
| Standart ayrıcalıklara sahip tek bir kuruluştan kullanıcılar | Windows Enterprise çoklu oturum işletim sistemi kullanın. |
| Kullanıcılar yönetici ayrıcalıklarına ihtiyaç duyar | Kişisel bir konak havuzu kullanın ve her kullanıcıya kendi oturum konaklarını atayın. |
| Farklı kuruluşlardan bağlanan kullanıcılar | Azure kiracısı ile Azure aboneliğini ayırma |
Azure güvenliğinde en iyi uygulamalar
Azure Sanal Masaüstü, Azure kapsamındaki bir hizmettir. Azure Sanal Masaüstü dağıtımınızın güvenliğini en üst düzeye çıkarmak için, çevresindeki Azure altyapısının ve yönetim düzleminin de güvenliğini sağlamanız gerekir. Altyapınızın güvenliğini sağlamak için Azure Sanal Masaüstü'nü daha büyük Azure ekosisteminize nasıl sığdırdığını göz önünde bulundurun. Azure ekosistemi hakkında daha fazla bilgi edinmek için bkz . Azure güvenliği için en iyi yöntemler ve desenler.
Günümüzün tehdit ortamı, güvenlik yaklaşımlarını göz önünde bulunduran tasarımlar gerektirir. İdeal olarak, verilerinizi ve ağınızı tehlikeye veya saldırıya uğramaya karşı korumak için bilgisayar ağınız genelinde katmanlı bir dizi güvenlik mekanizması ve denetim oluşturmak istersiniz. Bu tür bir güvenlik tasarımı, Birleşik Devletler Siber Güvenlik ve Altyapı Güvenlik Ajansı'nın (CISA) derinlemesine savunma olarak adlandırır.
Aşağıdaki bölümlerde Azure Sanal Masaüstü dağıtımının güvenliğini sağlamaya yönelik öneriler yer almaktadır.
Bulut için Microsoft Defender etkinleştirme
Bulut için Microsoft Defender gelişmiş güvenlik özelliklerini şu şekilde etkinleştirmenizi öneririz:
- Güvenlik açıklarını yönetme.
- PCI Güvenlik Standartları Konseyi gibi ortak çerçevelerle uyumluluğu değerlendirin.
- Ortamınızın genel güvenliğini güçlendirin.
Daha fazla bilgi edinmek için bkz . Gelişmiş güvenlik özelliklerini etkinleştirme.
Güvenlik Puanınızı İyileştirme
Güvenli Puan, genel güvenliğinizi geliştirmeye yönelik öneriler ve en iyi uygulama önerileri sağlar. Bu öneriler, en önemli olanları seçmenize yardımcı olmak için önceliklendirilir ve Hızlı Düzeltme seçenekleri olası güvenlik açıklarını hızla gidermenize yardımcı olur. Bu öneriler ayrıca zaman içinde güncelleştirilir ve ortamınızın güvenliğini korumanın en iyi yolları hakkında güncel kalmanızı sağlar. Daha fazla bilgi edinmek için bkz. Bulut için Microsoft Defender'da Güvenli Puanınızı geliştirme.
Çok faktörlü kimlik doğrulaması gerektir
Azure Sanal Masaüstü'ndeki tüm kullanıcılar ve yöneticiler için çok faktörlü kimlik doğrulaması gerektirmek, tüm dağıtımınızın güvenliğini artırır. Daha fazla bilgi edinmek için bkz . Azure Sanal Masaüstü için Microsoft Entra çok faktörlü kimlik doğrulamasını etkinleştirme.
Koşullu Erişimi Etkinleştirme
Koşullu Erişim'in etkinleştirilmesi, kullanıcılara Azure Sanal Masaüstü ortamınıza erişim vermeden önce riskleri yönetmenize olanak tanır. Hangi kullanıcılara erişim izni verebileceğinize karar verirken, kullanıcının kim olduğunu, nasıl oturum açtıklarını ve hangi cihazı kullandıklarını da göz önünde bulundurmanızı öneririz.
Denetim günlüklerini toplama
Denetim günlüğü toplamayı etkinleştirmek, Azure Sanal Masaüstü ile ilgili kullanıcı ve yönetici etkinliklerini görüntülemenizi sağlar. Önemli denetim günlüklerine bazı örnekler şunlardır:
- Azure Etkinlik Günlüğü
- Microsoft Entra Etkinlik Günlüğü
- Microsoft Entra ID
- Oturum konakları
- Key Vault günlükleri
RemoteApp kullanma
Dağıtım modeli seçerken, uzak kullanıcılara tüm masaüstlerine erişim sağlayabilir veya yalnızca RemoteApp olarak yayımlandığında uygulamaları seçebilirsiniz. Kullanıcı sanal masaüstündeki uygulamalarla çalıştığından RemoteApp sorunsuz bir deneyim sağlar. RemoteApp, kullanıcının yalnızca uygulama tarafından kullanıma sunulan uzak makinenin bir alt kümesiyle çalışmasına izin vererek riski azaltır.
Azure İzleyici ile kullanımı izleme
Azure İzleyici ile Azure Sanal Masaüstü hizmetinizin kullanımını ve kullanılabilirliğini izleyin. Olayı etkileyen bir hizmet olduğunda bildirim almak üzere Azure Sanal Masaüstü hizmeti için hizmet durumu uyarıları oluşturmayı göz önünde bulundurun.
Oturum konaklarınızı şifreleme
Depolanan verileri yetkisiz erişime karşı korumak için oturum konaklarınızı yönetilen disk şifreleme seçenekleriyle şifreleyin.
Oturum konağı güvenlik en iyi yöntemleri
Oturum konakları, bir Azure aboneliği ve sanal ağ içinde çalışan sanal makinelerdir. Azure Sanal Masaüstü dağıtımınızın genel güvenliği, oturum konaklarınıza eklediğiniz güvenlik denetimlerine bağlıdır. Bu bölümde, oturum konaklarınızın güvenliğini sağlamak için en iyi yöntemler açıklanmaktadır.
Uç nokta korumasını etkinleştirme
Dağıtımınızı bilinen kötü amaçlı yazılımlardan korumak için tüm oturum konaklarında uç nokta korumasını etkinleştirmenizi öneririz. Windows Defender Virüsten Koruma veya üçüncü taraf bir program kullanabilirsiniz. Daha fazla bilgi edinmek için bkz . VDI ortamında Windows Defender Virüsten Koruma için dağıtım kılavuzu.
FSLogix gibi profil çözümleri veya sanal sabit disk dosyalarını takan diğer çözümler için bu dosya uzantılarını dışlamanızı öneririz.
uç noktada algılama ve yanıtlama ürünü yükleme
Gelişmiş algılama ve yanıt özellikleri sağlamak için bir uç noktada algılama ve yanıtlama (EDR) ürünü yüklemenizi öneririz. Bulut için Microsoft Defender etkin sunucu işletim sistemleri için bir EDR ürünü yüklendiğinde Uç Nokta için Microsoft Defender dağıtılır. İstemci işletim sistemleri için bu uç noktalara Uç Nokta için Microsoft Defender veya üçüncü taraf bir ürün dağıtabilirsiniz.
Tehdit ve Güvenlik Açığı Yönetimi değerlendirmelerini etkinleştirme
İşletim sistemlerinde ve uygulamalarda mevcut olan yazılım güvenlik açıklarını belirlemek, ortamınızın güvenliğini sağlamak için kritik öneme sahiptir. Bulut için Microsoft Defender, Uç Nokta için Microsoft Defender Tehdit ve Güvenlik Açığı Yönetimi çözümü aracılığıyla sorun noktalarını belirlemenize yardımcı olabilir. Bu kadar istekliyseniz üçüncü taraf ürünleri de kullanabilirsiniz, ancak Bulut için Microsoft Defender ve Uç Nokta için Microsoft Defender kullanmanızı öneririz.
Ortamınızdaki yazılım güvenlik açıklarına düzeltme eki uygulama
Bir güvenlik açığını belirledikten sonra düzeltme eki uygulamanız gerekir. Bu, çalışan işletim sistemlerini, bunların içinde dağıtılan uygulamaları ve yeni makine oluşturduğunuz görüntüleri içeren sanal ortamlar için de geçerlidir. Satıcı düzeltme eki bildirim iletişimlerinizi izleyin ve düzeltme eklerini zamanında uygulayın. Yeni dağıtılan makinelerin mümkün olduğunca güvenli olduğundan emin olmak için temel görüntülerinize aylık düzeltme eki uygulamanızı öneririz.
Etkin olmayan süre ve bağlantı kesme ilkeleri üst sınırı oluşturma
Etkin olmayan kullanıcıların oturumu kapatıldığında kaynaklar korunur ve yetkisiz kullanıcıların erişimi engellenir. Zaman aşımlarının hem kullanıcı üretkenliğini hem de kaynak kullanımını dengelemesini öneririz. Durum bilgisi olmayan uygulamalarla etkileşim kuran kullanıcılar için makineleri kapatan ve kaynakları koruyan daha agresif ilkeler kullanmayı göz önünde bulundurun. Simülasyon veya CAD işleme gibi bir kullanıcı boştaysa çalışmaya devam eden uzun süre çalışan uygulamaların bağlantısının kesilmesi, kullanıcının çalışmasını kesintiye uğratabilir ve hatta bilgisayarın yeniden başlatılmasını gerektirebilir.
Boşta oturumlar için ekran kilitlerini ayarlama
Azure Sanal Masaüstü'nü boşta kalma süresinde bir makinenin ekranını kilitleyecek şekilde yapılandırarak ve kilidini açmak için kimlik doğrulaması gerektirerek istenmeyen sistem erişimini engelleyebilirsiniz.
Katmanlı yönetici erişimi oluşturma
Kullanıcılarınıza sanal masaüstlerine yönetici erişimi vermenizi öneririz. Yazılım paketlerine ihtiyacınız varsa, bunları Microsoft Intune gibi yapılandırma yönetimi yardımcı programları aracılığıyla kullanılabilir hale getirmenizi öneririz. Çok oturumlu bir ortamda, kullanıcıların doğrudan yazılım yüklemesine izin vermemenizi öneririz.
Hangi kullanıcıların hangi kaynaklara erişmesi gerektiğini göz önünde bulundurun
Oturum konaklarını mevcut masaüstü dağıtımınızın bir uzantısı olarak düşünün. Ağ kaynaklarına erişimi ortamınızdaki diğer masaüstleri için yaptığınız gibi (ağ segmentasyonu ve filtreleme gibi) denetlemenizi öneririz. Varsayılan olarak, oturum konakları İnternet'te herhangi bir kaynağa bağlanabilir. Azure Güvenlik Duvarı, Ağ Sanal Gereçleri veya proxy'ler gibi trafiği sınırlamanın çeşitli yolları vardır. Trafiği sınırlamanız gerekiyorsa, Azure Sanal Masaüstü'nü düzgün çalışabilmesi için uygun kuralları eklediğinizden emin olun.
Microsoft 365 uygulama güvenliğini yönetme
Oturum konaklarınızın güvenliğini sağlamaya ek olarak, bunların içinde çalışan uygulamaların güvenliğini sağlamak da önemlidir. Microsoft 365 uygulamaları, oturum konaklarında dağıtılan en yaygın uygulamalardan bazılarıdır. Microsoft 365 dağıtım güvenliğini geliştirmek için Kurumlar için Microsoft 365 Uygulamaları için Güvenlik İlkesi Danışmanı'nı kullanmanızı öneririz. Bu araç, daha fazla güvenlik için dağıtımınıza uygulayabileceğiniz ilkeleri tanımlar. Güvenlik İlkesi Danışmanı ayrıca güvenlik ve üretkenliğiniz üzerindeki etkilerine göre ilkeler önerir.
Kullanıcı profili güvenliği
Kullanıcı profilleri hassas bilgiler içerebilir. Özellikle SMB paylaşımındaki bir sanal sabit disk dosyasında kullanıcı profillerini depolamak için FSLogix Profil Kapsayıcısı kullanıyorsanız, kullanıcı profillerine kimlerin erişimi olduğunu ve bunlara erişme yöntemlerini kısıtlamanız gerekir. SMB paylaşımınızın sağlayıcısı için güvenlik önerilerini izlemeniz gerekir. Örneğin, bu sanal sabit disk dosyalarını depolamak için Azure Dosyalar kullanıyorsanız, özel uç noktaları yalnızca Azure sanal ağı içinde erişilebilir hale getirmek için kullanabilirsiniz.
Oturum konakları için diğer güvenlik ipuçları
İşletim sistemi özelliklerini kısıtlayarak oturum konaklarınızın güvenliğini güçlendirebilirsiniz. Yapabileceğiniz birkaç şey şunlardır:
Uzak masaüstü oturumunda sürücüleri, yazıcıları ve USB cihazlarını kullanıcının yerel cihazına yeniden yönlendirerek cihaz yeniden yönlendirmesini denetleyin. Güvenlik gereksinimlerinizi değerlendirmenizi ve bu özelliklerin devre dışı bırakılması gerekip gerekmediğini denetlemenizi öneririz.
Yerel ve uzak sürücü eşlemelerini gizleyerek Windows Gezgini erişimini kısıtlayın. Bu, kullanıcıların sistem yapılandırması ve kullanıcılar hakkında istenmeyen bilgileri bulmasını önler.
Ortamınızdaki oturum konaklarına doğrudan RDP erişiminden kaçının. Yönetim veya sorun giderme için doğrudan RDP erişimine ihtiyacınız varsa, oturum konağındaki olası saldırı yüzeyini sınırlamak için tam zamanında erişimi etkinleştirin.
Kullanıcılara yerel ve uzak dosya sistemlerine erişirken sınırlı izinler verin. Yerel ve uzak dosya sistemlerinizin erişim denetimi listelerini en az ayrıcalıkla kullandığından emin olarak izinleri kısıtlayabilirsiniz. Bu şekilde kullanıcılar yalnızca ihtiyaç duydukları kaynaklara erişebilir ve kritik kaynakları değiştiremez veya silemez.
İstenmeyen yazılımların oturum konaklarında çalışmasını engelleyin. Oturum konaklarında ek güvenlik için App Locker'ı etkinleştirebilir ve konakta yalnızca izin ettiğiniz uygulamaların çalıştırılabilmesini sağlayabilirsiniz.
Güvenilir başlatma
Güvenilir başlatma, rootkit'ler, önyükleme setleri ve çekirdek düzeyinde kötü amaçlı yazılım gibi saldırı vektörleri aracılığıyla yığının en altındaki tehditlere karşı korumayı amaçlayan gelişmiş güvenlik özelliklerine sahip 2. Nesil Azure VM'leridir. Güvenilir başlatmanın gelişmiş güvenlik özellikleri aşağıdadır ve bunların tümü Azure Sanal Masaüstü'nde desteklenir. Güvenilir başlatma hakkında daha fazla bilgi edinmek için Azure sanal makineleri için güvenilen başlatma'yı ziyaret edin.
Güvenilen başlatmayı varsayılan olarak etkinleştir
Güvenilir başlatma, gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar. Bu özellik ayrıca doğrulanmış önyükleme yükleyicileri, işletim sistemi çekirdekleri ve sürücüleri olan VM'lerin güvenli bir şekilde dağıtılmasını sağlar. Güvenilen başlatma ayrıca VM'lerdeki anahtarları, sertifikaları ve gizli dizileri de korur. Güvenilir başlatma hakkında daha fazla bilgi için bkz . Azure sanal makineleri için güvenilen başlatma.
Azure portalını kullanarak oturum konakları eklediğinizde, güvenlik türü otomatik olarak Güvenilen sanal makineler olarak değişir. Bu, VM'nizin Windows 11 için zorunlu gereksinimleri karşılamasını sağlar. Bu gereksinimler hakkında daha fazla bilgi için bkz . Sanal makine desteği.
Azure Gizli bilgi işlem sanal makineleri
Azure Gizli bilgi işlem sanal makineleri için Azure Sanal Masaüstü desteği, kullanıcının sanal masaüstünün bellekte şifrelenmesini, kullanımda korunmasını ve güvenin donanım kökü tarafından desteklenmesini sağlar. Azure Sanal Masaüstü için Azure Gizli bilgi işlem VM'leri desteklenen işletim sistemleriyle uyumludur. Azure Sanal Masaüstü ile gizli VM'lerin dağıtılması, kullanıcıların microsoft 365'e ve diğer sanal makinelerden, hiper yöneticiden ve konak işletim sisteminden yalıtımı sağlamlaştıran donanım tabanlı yalıtım kullanan oturum konaklarında diğer uygulamalara erişmesini sağlar. Bu sanal masaüstleri, Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP) teknolojisine sahip en son Üçüncü nesil (3. Nesil) Gelişmiş Mikro Cihazlar (AMD) EPYC™ işlemcisi tarafından desteklenir. Bellek şifreleme anahtarları, AMD CPU'nun içinde bulunan ve yazılımdan okunabilen özel bir güvenli işlemci tarafından oluşturulur ve korunuyor. Daha fazla bilgi için bkz. Azure Gizli bilgi işlemine genel bakış.
Aşağıdaki işletim sistemleri, Azure Sanal Masaüstü'de gizli VM'lerle oturum konakları olarak kullanılmak üzere desteklenir:
- Windows 11 Enterprise, sürüm 22H2
- Windows 11 Enterprise çoklu oturum, sürüm 22H2
- Windows Server 2022
- Windows Server 2019
Konak havuzu oluştururken veya konak havuzuna oturum konakları eklerken gizli VM'leri kullanarak oturum konakları oluşturabilirsiniz.
İşletim sistemi disk şifrelemesi
İşletim sistemi diskinin şifrelenmesi, disk şifreleme anahtarlarını Gizli bilgi işlem VM'sinin Güvenilen Platform Modülü'ne (TPM) bağlayan ek bir şifreleme katmanıdır. Bu şifreleme, disk içeriğini yalnızca VM için erişilebilir hale getirir. Bütünlük izleme, kimlik doğrulaması tanımlı taban çizgisiyle başarısız olduğundan VM önyükleme yapmadıysa vm önyükleme bütünlüğünün ve izleme uyarılarının şifreleme kanıtlamasına ve doğrulanmasına olanak tanır. Bütünlük izleme hakkında daha fazla bilgi için bkz. Bulut için Microsoft Defender Tümleştirme. Konak havuzu oluştururken veya konak havuzuna oturum konakları eklerken gizli VM'leri kullanarak oturum konakları oluştururken gizli işlem şifrelemesini etkinleştirebilirsiniz.
Güvenli Önyükleme
Güvenli Önyükleme, üretici yazılımınızı kötü amaçlı yazılım tabanlı rootkit'lerden ve önyükleme setlerinden koruyan platform üretici yazılımının desteklediği bir moddur. Bu mod yalnızca imzalı işletim sistemlerinin ve sürücülerin önyüklenmesini sağlar.
Uzaktan Kanıtlama kullanarak önyükleme bütünlüğünü izleme
Uzaktan kanıtlama, VM'lerinizin durumunu denetlemenin harika bir yoludur. Uzaktan kanıtlama, Ölçülen Önyükleme kayıtlarının mevcut, orijinal ve Sanal Güvenilen Platform Modülü'nden (vTPM) kaynaklandığını doğrular. Sistem durumu denetimi olarak, bir platformun doğru şekilde başlatıldığının şifreleme kesinliğini sağlar.
vTPM
vTPM, sanal makine başına TPM sanal örneği içeren bir donanım Güvenilir Platform Modülü'ne (TPM) ait sanallaştırılmış bir sürümdür. vTPM, VM'nin tüm önyükleme zincirinin (UEFI, işletim sistemi, sistem ve sürücüler) bütünlük ölçümlerini gerçekleştirerek uzaktan kanıtlamayı etkinleştirir.
VTPM'nin VM'lerinizde uzak kanıtlama kullanmasını etkinleştirmenizi öneririz. vTPM etkinleştirildiğinde, bekleyen verileri korumak için tam birim şifreleme sağlayan Azure Disk Şifrelemesi ile BitLocker işlevselliğini de etkinleştirebilirsiniz. vTPM kullanan tüm özellikler belirli bir VM'ye bağlı gizli dizilere neden olur. Kullanıcılar havuza alınan bir senaryoda Azure Sanal Masaüstü hizmetine bağlandığında, kullanıcılar konak havuzundaki herhangi bir VM'ye yeniden yönlendirilebilir. Özelliğin nasıl tasarlandığına bağlı olarak bunun bir etkisi olabilir.
Dekont
BitLocker, FSLogix profil verilerinizi depoladığınız belirli diski şifrelemek için kullanılmamalıdır.
Sanallaştırma Tabanlı Güvenlik
Sanallaştırma Tabanlı Güvenlik (VBS), işletim sistemine erişilemeyen güvenli bir bellek bölgesi oluşturmak ve yalıtmak için hiper yöneticiyi kullanır. Hiper Yönetici Korumalı Kod Bütünlüğü (HVCI) ve Windows Defender Credential Guard, güvenlik açıklarına karşı daha fazla koruma sağlamak için VBS kullanır.
Hiper Yönetici Korumalı Kod Bütünlüğü
HVCI, Windows çekirdek modu işlemlerini kötü amaçlı veya doğrulanmamış kod eklemeye ve yürütmeye karşı korumak için VBS kullanan güçlü bir sistem azaltma özelliğidir.
Windows Defender Credential Guard
Windows Defender Credential Guard'ı etkinleştirin. Windows Defender Credential Guard, gizli dizileri yalıtmak ve korumak için VBS'yi kullanarak yalnızca ayrıcalıklı sistem yazılımlarının bunlara erişebilmesini sağlar. Bu, bu gizli dizilere ve Karma Geçiş saldırıları gibi kimlik bilgisi hırsızlığı saldırılarına yetkisiz erişimi engeller. Daha fazla bilgi için bkz . Credential Guard'a genel bakış.
Windows Defender Uygulama Denetimi
Windows Defender Uygulama Denetimini etkinleştirin. Windows Defender Uygulama Denetimi, cihazları kötü amaçlı yazılımlara ve güvenilmeyen diğer yazılımlara karşı korumak için tasarlanmıştır. Yalnızca onaylanan kodun (bildiğiniz gibi) çalıştırılabilmesini sağlayarak kötü amaçlı kodun çalışmasını engeller. Daha fazla bilgi için bkz . Windows için Uygulama Denetimi.
Dekont
Windows Defender Erişim Denetimi'ni kullanırken yalnızca cihaz düzeyinde ilkeleri hedeflemenizi öneririz. İlkeleri tek tek kullanıcılara hedeflemek mümkün olsa da, ilke uygulandıktan sonra cihazdaki tüm kullanıcıları eşit şekilde etkiler.
Windows Update
Windows Update güncelleştirmeleriyle oturum konaklarınızı güncel tutun. Windows Update, cihazlarınızı güncel tutmak için güvenli bir yol sağlar. Uçtan uca koruması, protokol değişimlerinin manipülasyonunu önler ve güncelleştirmelerin yalnızca onaylanan içeriği içermesini sağlar. Windows Güncelleştirmeler düzgün erişim elde etmek için bazı korumalı ortamlarınızın güvenlik duvarı ve ara sunucu kurallarını güncelleştirmeniz gerekebilir. Daha fazla bilgi için bkz . Windows Update güvenliği.
Uzak Masaüstü istemcisi ve diğer işletim sistemi platformlarında güncelleştirmeler
Diğer işletim sistemi platformlarındaki Azure Sanal Masaüstü hizmetlerine erişmek için kullanabileceğiniz Uzak Masaüstü istemcileri için yazılım güncelleştirmeleri, ilgili platformlarının güvenlik ilkelerine göre güvenli hale getirilir. Tüm istemci güncelleştirmeleri doğrudan platformları tarafından teslim edilir. Daha fazla bilgi için her uygulamanın ilgili mağaza sayfalarına bakın:
Sonraki adımlar
- Çok faktörlü kimlik doğrulamasını ayarlamayı öğrenin.
- Azure Sanal Masaüstü dağıtımı için Sıfır Güven ilkeleri uygulayın.