Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Sanal Masaüstü, kuruluşunuzun güvenliğini sağlamak için birçok güvenlik özelliği içeren yönetilen bir sanal masaüstü hizmetidir. Azure Sanal Masaüstü mimarisi, kullanıcıları masaüstlerine ve uygulamalarına bağlayan hizmeti oluşturan birçok bileşenden oluşur.
Azure Sanal Masaüstü, hiçbir gelen ağ bağlantı noktasının açık olması gerekmeyen Ters Bağlantı gibi birçok yerleşik gelişmiş güvenlik özelliğine sahiptir ve bu da uzak masaüstlerinin her yerden erişilebilir olması riskini azaltır. Hizmet ayrıca Azure'ın çok faktörlü kimlik doğrulaması ve koşullu erişim gibi diğer birçok güvenlik özelliğinden de yararlanır. Bu makalede, kuruluşunuzdaki kullanıcılara veya dış kullanıcılara masaüstü ve uygulama sağlamanız fark etmeksizin Azure Sanal Masaüstü dağıtımlarınızı güvende tutmak için yönetici olarak atabileceğiniz adımlar açıklanmaktadır.
Paylaşılan güvenlik sorumlulukları
Azure Sanal Masaüstü'nü kullanmadan önce, Uzak Masaüstü Hizmetleri gibi şirket içi sanallaştırma çözümleri, kullanıcılara Ağ Geçidi, Aracı, Web Erişimi gibi rollere erişim izni verilmesini gerektirir. Bu rollerin tamamen yedekli olması ve en yüksek kapasiteyi işleyebilmesi gerekiyordu. Yöneticiler bu rolleri Windows Server işletim sisteminin bir parçası olarak yükler ve genel bağlantıların erişebildiği belirli bağlantı noktalarıyla etki alanına katılmış olmaları gerekir. Dağıtımları güvenli tutmak için yöneticilerin altyapıdaki her şeyin korunduğunu ve güncel olduğundan sürekli emin olması gerekiyordu.
Ancak bulut hizmetlerinin çoğunda Microsoft ile müşteri veya iş ortağı arasında paylaşılan bir güvenlik sorumlulukları kümesi vardır. Azure Sanal Masaüstü için çoğu bileşen Microsoft tarafından yönetilir, ancak oturum konakları ve bazı destekleyici hizmetler ve bileşenler müşteri tarafından yönetilir veya iş ortağı tarafından yönetilir. Azure Sanal Masaüstü'nin Microsoft tarafından yönetilen bileşenleri hakkında daha fazla bilgi edinmek için bkz. Azure Sanal Masaüstü hizmet mimarisi ve dayanıklılığı.
Bazı bileşenler ortamınız için zaten güvenli olsa da, diğer alanları kuruluşunuzun veya müşterinin güvenlik gereksinimlerine uyacak şekilde yapılandırmanız gerekir. Azure Sanal Masaüstü dağıtımınızın güvenliğinden sorumlu olduğunuz bileşenler şunlardır:
| Bileşen | Sorumluluk |
|---|---|
| Kimlik | Müşteri veya iş ortağı |
| Kullanıcı cihazları (mobil ve bilgisayar) | Müşteri veya iş ortağı |
| Uygulama güvenliği | Müşteri veya iş ortağı |
| Oturum konağı işletim sistemi | Müşteri veya iş ortağı |
| Dağıtım yapılandırması | Müşteri veya iş ortağı |
| Ağ denetimleri | Müşteri veya iş ortağı |
| Sanallaştırma denetim düzlemi | Microsoft |
| Fiziksel konaklar | Microsoft |
| Fiziksel ağ | Microsoft |
| Fiziksel veri merkezi | Microsoft |
Güvenlik sınırları
Güvenlik sınırları, farklı güven düzeylerine sahip güvenlik etki alanlarının kodunu ve verilerini ayırır. Örneğin, genellikle çekirdek modu ile kullanıcı modu arasında bir güvenlik sınırı vardır. Microsoft yazılım ve hizmetlerinin çoğu cihazları ağlarda, sanal makinelerde (VM) ve cihazlardaki uygulamaları yalıtmak için birden çok güvenlik sınırına bağlıdır. Aşağıdaki tabloda, Windows için her bir güvenlik sınırı ve genel güvenlik için yaptıkları listelenir.
| Güvenlik sınırı | Açıklama |
|---|---|
| Ağ sınırı | Yetkisiz bir ağ uç noktası, müşterinin cihazındaki koda ve verilere erişemez veya verileri değiştiremez. |
| Çekirdek sınırı | Yönetici olmayan bir kullanıcı modu işlemi çekirdek koduna ve verilerine erişemez veya verileri değiştiremez. Yöneticiden çekirdeke bir güvenlik sınırı değildir. |
| İşlem sınırı | Yetkisiz kullanıcı modu işlemi, başka bir işlemin koduna ve verilerine erişemez veya bunlarla oynanamaz. |
| AppContainer korumalı alan sınırı | AppContainer tabanlı bir korumalı alan işlemi, kapsayıcı özelliklerine göre korumalı alan dışındaki kod ve verilere erişemez veya bunlarla oynanamaz. |
| Kullanıcı sınırı | Kullanıcı, yetkilendirilmeden başka bir kullanıcının koduna ve verilerine erişemez veya verileri değiştiremez. |
| Oturum sınırı | Kullanıcı oturumu, yetkilendirilmeden başka bir kullanıcı oturumuna erişemez veya oturumda değişiklik yapamaz. |
| Web tarayıcısı sınırı | Yetkisiz bir web sitesi aynı kaynak ilkesini ihlal edemez veya Microsoft Edge web tarayıcısı korumalı alanının yerel koduna ve verilerine erişemez veya bunlarla oynanamaz. |
| Sanal makine sınırı | Yetkisiz bir Hyper-V konuk sanal makinesi, başka bir konuk sanal makinenin koduna ve verilerine erişemez veya bunlarla oynanamaz; Bu, Hyper-V yalıtılmış kapsayıcılarını içerir. |
| Sanal Güvenli Mod (VSM) sınırı | VSM güvenilen işlemi veya kapanım dışında çalışan kodlar, güvenilir işlem içindeki verilere ve kodlara erişemez veya bunlarla oynanamaz. |
Azure Sanal Masaüstü senaryoları için önerilen güvenlik sınırları
Ayrıca güvenlik sınırlarıyla ilgili belirli seçimleri büyük/küçük harf temelinde yapmanız gerekir. Örneğin, kuruluşunuzdaki bir kullanıcının uygulamaları yüklemek için yerel yönetici ayrıcalıklarına ihtiyacı varsa, paylaşılan oturum konağı yerine kişisel bir masaüstü vermeniz gerekir. Çok oturumlu havuza alınan senaryolarda kullanıcılara yerel yönetici ayrıcalıkları verilmesini önermiyoruz çünkü bu kullanıcılar oturumlar veya NTFS veri izinleri için güvenlik sınırlarını aşabilir, çok oturumlu VM'leri kapatabilir veya hizmeti kesintiye uğratabilecek veya veri kaybına neden olabilecek başka işlemler yapabilir.
Yönetici ayrıcalıkları gerektirmeyen uygulamaları olan bilgi çalışanları gibi aynı kuruluştan kullanıcılar, çok oturumlu Windows 11 Enterprise gibi çok oturumlu konaklar için harika adaylardır. Birden çok kullanıcı tek bir VM'yi paylaşabileceğinden ve yalnızca kullanıcı başına bir VM'nin ek yük maliyetleriyle bu oturum konakları kuruluşunuzun maliyetlerini azaltır. FSLogix gibi kullanıcı profili yönetimi ürünleriyle, kullanıcılara herhangi bir hizmet kesintisi fark etmeden konak havuzundaki herhangi bir VM atanabilir. Bu özellik, yoğun olmayan saatlerde VM'leri kapatma gibi işlemler yaparak maliyetleri iyileştirmenize de olanak tanır.
Durumunuz farklı kuruluşların kullanıcılarının dağıtımınıza bağlanmasını gerektiriyorsa, Active Directory ve Microsoft Entra kimliği gibi kimlik hizmetleri için ayrı bir kiracınız olmasını öneririz. Ayrıca bu kullanıcılar için Azure Sanal Masaüstü ve VM'ler gibi Azure kaynaklarını barındırmak için ayrı bir aboneliğiniz olması önerilir.
Çoğu durumda, birden çok oturum kullanmak maliyetleri azaltmanın kabul edilebilir bir yoludur, ancak bunun önerilip önerilmeyeceği, paylaşılan çok oturumlu örneğe aynı anda erişimi olan kullanıcılar arasındaki güven düzeyine bağlıdır. Genellikle, aynı kuruluşa ait kullanıcılar yeterli ve üzerinde anlaşmaya varılmış bir güven ilişkisine sahiptir. Örneğin, kişilerin işbirliği yaptığı ve birbirlerinin kişisel bilgilerine erişebildiği bir departman veya çalışma grubu, yüksek güven düzeyine sahip bir kuruluş olabilir.
Windows, kullanıcı işlemlerinin ve verilerin oturumlar arasında yalıtıldığından emin olmak için güvenlik sınırlarını ve denetimleri kullanır. Ancak, Windows yine de kullanıcının üzerinde çalıştığı örneğe erişim sağlar.
Çok oturumlu dağıtımlar, kuruluş içindeki ve dışındaki kullanıcıların diğer kullanıcıların kişisel bilgilerine yetkisiz erişim elde etmesini engelleyen daha fazla güvenlik sınırı ekleyen ayrıntılı bir güvenlik stratejisinden yararlanabilir. Yetkisiz veri erişimi, sistem yöneticisi tarafından yapılandırma sürecindeki bir hata nedeniyle oluşur. Örneğin, açıklanmayan bir güvenlik açığı veya henüz düzeltme eki uygulamamış bilinen bir güvenlik açığı.
Farklı veya rakip şirketler için çalışan kullanıcılara aynı çoklu oturum ortamına erişim izni vermenizi önermeyiz. Bu senaryolar ağ, çekirdek, işlem, kullanıcı veya oturumlar gibi saldırıya uğrayabilecek veya kötüye kullanılabilecek çeşitli güvenlik sınırlarına sahiptir. Tek bir güvenlik açığı yetkisiz veri ve kimlik bilgisi hırsızlığına, kişisel bilgi sızıntılarına, kimlik hırsızlığına ve diğer sorunlara neden olabilir. Sanallaştırılmış ortam sağlayıcıları, mümkün olan her yerde birden çok güçlü güvenlik sınırına ve ek güvenlik özelliklerine sahip iyi tasarlanmış sistemler sunmakla sorumludur.
Bu olası tehditleri azaltmak için hataya dayanıklı bir yapılandırma, düzeltme eki yönetimi tasarım süreci ve düzenli düzeltme eki dağıtım zamanlamaları gerekir. Savunma ilkelerini derinlemesine izlemek ve ortamları ayrı tutmak daha iyidir.
Aşağıdaki tabloda her senaryo için önerilerimiz özetlemektedir.
| Güven düzeyi senaryosu | Önerilen çözüm |
|---|---|
| Standart ayrıcalıklara sahip tek bir kuruluştan kullanıcılar | Windows Enterprise çoklu oturum işletim sistemi (işletim sistemi) kullanın. |
| Kullanıcılar yönetici ayrıcalıklarına ihtiyaç duyar | Kişisel bir konak havuzu kullanın ve her kullanıcıya kendi oturum konaklarını atayın. |
| Farklı kuruluşlardan bağlanan kullanıcılar | Ayrı Azure kiracısı ve Azure aboneliği |
Azure güvenliği için en iyi yöntemler
Azure Sanal Masaüstü, Azure kapsamındaki bir hizmettir. Azure Sanal Masaüstü dağıtımınızın güvenliğini en üst düzeye çıkarmak için, çevredeki Azure altyapısını ve yönetim düzlemini de güvenli hale getirmeniz gerekir. Altyapınızın güvenliğini sağlamak için Azure Sanal Masaüstü'nü daha büyük Azure ekosisteminize nasıl sığdırdığını göz önünde bulundurun. Azure ekosistemi hakkında daha fazla bilgi edinmek için bkz. Azure güvenlik için en iyi yöntemler ve desenler.
Günümüzün tehdit ortamı, güvenlik yaklaşımları göz önünde bulundurularak tasarımlar gerektirir. İdeal olarak, verilerinizin ve ağınızın gizliliğinin tehlikeye düşmesine veya saldırıya uğramasına karşı korumak için bilgisayar ağınız genelinde katmanlı bir dizi güvenlik mekanizması ve denetimi oluşturmak istersiniz. Bu tür bir güvenlik tasarımı, Birleşik Devletler Siber Güvenlik ve Altyapı Güvenlik Ajansı'nın (CISA) derinlemesine savunma olarak adlandırır.
Aşağıdaki bölümlerde Azure Sanal Masaüstü dağıtımının güvenliğini sağlamaya yönelik öneriler yer almaktadır.
Bulut için Microsoft Defender etkinleştirme
Bulut'un gelişmiş güvenlik özellikleri için Microsoft Defender etkinleştirmenizi öneririz:
- Güvenlik açıklarını yönetme.
- PCI Güvenlik Standartları Konseyi'nden olduğu gibi ortak çerçevelerle uyumluluğu değerlendirme.
- Ortamınızın genel güvenliğini güçlendirin.
Daha fazla bilgi edinmek için bkz . Gelişmiş güvenlik özelliklerini etkinleştirme.
Güvenli Puanınızı geliştirin
Güvenli Puan, genel güvenliğinizi geliştirmeye yönelik öneriler ve en iyi yöntem önerileri sağlar. Bu öneriler, hangilerinin en önemli olduğunu seçmenize yardımcı olmak için önceliklendirilir ve Hızlı Düzeltme seçenekleri olası güvenlik açıklarını hızla gidermenize yardımcı olur. Bu öneriler zaman içinde de güncelleştirilir ve ortamınızın güvenliğini korumanın en iyi yolları hakkında güncel kalmanızı sağlar. Daha fazla bilgi edinmek için bkz. Bulut için Microsoft Defender'de Güvenli Puanınızı geliştirme.
Çok faktörlü kimlik doğrulaması gerektir
Azure Sanal Masaüstü'ndeki tüm kullanıcılar ve yöneticiler için çok faktörlü kimlik doğrulaması gerektirmek, tüm dağıtımınızın güvenliğini artırır. Daha fazla bilgi için bkz. Azure Sanal Masaüstü için çok faktörlü Microsoft Entra kimlik doğrulamasını etkinleştirme.
Koşullu Erişimi Etkinleştirme
Koşullu Erişimin etkinleştirilmesi, kullanıcılara Azure Sanal Masaüstü ortamınıza erişim izni vermeden önce riskleri yönetmenize olanak tanır. Hangi kullanıcılara erişim izni verebileceğinize karar verirken, kullanıcının kim olduğunu, nasıl oturum açtıklarını ve hangi cihazı kullandıklarını da göz önünde bulundurmanızı öneririz.
Denetim günlüklerini toplama
Denetim günlüğü toplamayı etkinleştirmek, Azure Sanal Masaüstü ile ilgili kullanıcı ve yönetici etkinliğini görüntülemenizi sağlar. Önemli denetim günlüklerine bazı örnekler şunlardır:
- Azure Etkinlik Günlüğü
- Microsoft Entra Etkinlik Günlüğü
- Microsoft Entra ID
- Oturum konakları
- Key Vault günlükleri
Azure İzleyici ile kullanımı izleme
Azure İzleyici ile Azure Sanal Masaüstü hizmetinizin kullanımını ve kullanılabilirliğini izleyin. Hizmeti etkileyen bir olay olduğunda bildirim almak için Azure Sanal Masaüstü hizmeti için hizmet durumu uyarıları oluşturmayı göz önünde bulundurun.
Oturum konaklarınızı şifreleme
Depolanan verileri yetkisiz erişime karşı korumak için oturum konaklarınızı yönetilen disk şifreleme seçenekleriyle şifreleyin.
Oturum konağı güvenliği için en iyi yöntemler
Oturum konakları, Bir Azure aboneliği ve sanal ağ içinde çalışan sanal makinelerdir. Azure Sanal Masaüstü dağıtımınızın genel güvenliği, oturum konaklarınıza eklediğiniz güvenlik denetimlerine bağlıdır. Bu bölümde oturum konaklarınızı güvenli tutmaya yönelik en iyi yöntemler açıklanmaktadır.
Uç nokta korumasını etkinleştirme
Dağıtımınızı bilinen kötü amaçlı yazılımlardan korumak için tüm oturum konaklarında uç nokta korumasını etkinleştirmenizi öneririz. Windows Defender Virüsten Koruma veya üçüncü taraf bir program kullanabilirsiniz. Daha fazla bilgi için bkz. VDI ortamında Windows Defender Virüsten Koruma için dağıtım kılavuzu.
FSLogix gibi profil çözümleri veya sanal sabit disk dosyalarını takan diğer çözümler için bu dosya uzantılarını dışlamanızı öneririz. FSLogix dışlamaları hakkında daha fazla bilgi için bkz . Virüsten Koruma dosyası ve klasör dışlamalarını yapılandırma.
Uç nokta algılama ve yanıt ürünü yükleme
Gelişmiş algılama ve yanıt özellikleri sağlamak için bir uç nokta algılama ve yanıt (EDR) ürünü yüklemenizi öneririz. Bulut için Microsoft Defender etkin olan sunucu işletim sistemleri için bir EDR ürünü yüklendiğinde Uç Nokta için Microsoft Defender dağıtılır. İstemci işletim sistemleri için bu uç noktalara Uç Nokta için Microsoft Defender veya üçüncü taraf bir ürün dağıtabilirsiniz.
Tehdit ve Güvenlik Açığı Yönetimi değerlendirmelerini etkinleştirme
İşletim sistemlerinde ve uygulamalarda var olan yazılım güvenlik açıklarını belirlemek, ortamınızı güvenli tutmak için kritik öneme sahiptir. Bulut için Microsoft Defender, Uç Nokta için Microsoft Defender Tehdit ve Güvenlik Açığı Yönetimi çözümü aracılığıyla sorun noktalarını belirlemenize yardımcı olabilir. Bu kadar eğilimliyseniz üçüncü taraf ürünleri de kullanabilirsiniz, ancak Bulut ve Uç Nokta için Microsoft Defender için Microsoft Defender kullanmanızı öneririz.
Ortamınızdaki yazılım güvenlik açıklarına düzeltme eki uygulama
Bir güvenlik açığını belirledikten sonra düzeltme eki uygulamanız gerekir. Bu, çalışan işletim sistemlerini, bunların içinde dağıtılan uygulamaları ve yeni makineleri oluşturduğunuz görüntüleri içeren sanal ortamlar için de geçerlidir. Satıcı düzeltme eki bildirim iletişimlerinizi izleyin ve düzeltme eklerini zamanında uygulayın. Yeni dağıtılan makinelerin mümkün olduğunca güvenli olduğundan emin olmak için temel görüntülerinize aylık düzeltme eki uygulamanızı öneririz.
Etkin olmayan en uzun süre ve bağlantı kesme ilkeleri oluşturma
Etkin olmayan kullanıcıların oturumu kapatıldığında kaynaklar korunur ve yetkisiz kullanıcıların erişimi engellenir. Zaman aşımlarının hem kullanıcı üretkenliğini hem de kaynak kullanımını dengelemesini öneririz. Durum bilgisi olmayan uygulamalarla etkileşim kuran kullanıcılar için makineleri kapatan ve kaynakları koruyan daha agresif ilkeleri göz önünde bulundurun. Simülasyon veya CAD işleme gibi bir kullanıcı boştaysa çalışmaya devam eden uzun süre çalışan uygulamaların bağlantısını kesmek kullanıcının çalışmasını kesintiye uğratabilir ve hatta bilgisayarın yeniden başlatılmasını gerektirebilir.
Boştaki oturumlar için ekran kilitlerini ayarlama
Azure Sanal Masaüstü'nü boşta kalma süresinde makinenin ekranını kilitleyecek şekilde yapılandırarak ve kilidini açmak için kimlik doğrulaması gerektirerek istenmeyen sistem erişimini önleyebilirsiniz.
Katmanlı yönetici erişimi oluşturma
Kullanıcılarınıza sanal masaüstlerine yönetici erişimi vermenizi öneririz. Yazılım paketlerine ihtiyacınız varsa, bunları Microsoft Intune gibi yapılandırma yönetimi yardımcı programları aracılığıyla kullanılabilir hale getirmenizi öneririz. Çok oturumlu bir ortamda, kullanıcıların doğrudan yazılım yüklemesine izin vermemenizi öneririz.
Hangi kullanıcıların hangi kaynaklara erişmesi gerektiğini göz önünde bulundurun
Oturum konaklarını mevcut masaüstü dağıtımınızın bir uzantısı olarak düşünün. Ağ kaynaklarına erişimi ortamınızdaki diğer masaüstleri için yaptığınız gibi (ağ segmentasyonu ve filtreleme gibi) denetlemenizi öneririz. Varsayılan olarak, oturum konakları İnternet'te herhangi bir kaynağa bağlanabilir. Azure Güvenlik Duvarı, Ağ Sanal Gereçleri veya ara sunucuları kullanma dahil olmak üzere trafiği sınırlamanın çeşitli yolları vardır. Trafiği sınırlamanız gerekiyorsa, Azure Sanal Masaüstü'nü düzgün çalışabilmesi için uygun kuralları eklediğinizden emin olun.
Microsoft 365 uygulama güvenliğini yönetme
Oturum konaklarınızın güvenliğini sağlamaya ek olarak, bunların içinde çalışan uygulamaların güvenliğini sağlamak da önemlidir. Microsoft 365 uygulamaları, oturum konaklarında dağıtılan en yaygın uygulamalardan bazılarıdır. Microsoft 365 dağıtım güvenliğini geliştirmek için Kurumlar için Microsoft 365 Uygulamaları için Güvenlik İlkesi Danışmanı'nı kullanmanızı öneririz. Bu araç, daha fazla güvenlik için dağıtımınıza uygulayabileceğiniz ilkeleri tanımlar. Güvenlik İlkesi Danışmanı ayrıca güvenlik ve üretkenliğiniz üzerindeki etkilerine bağlı olarak ilkeler önerir.
Kullanıcı profili güvenliği
Kullanıcı profilleri hassas bilgiler içerebilir. Özellikle kullanıcı profillerini SMB paylaşımındaki bir sanal sabit disk dosyasında depolamak için FSLogix Profil Kapsayıcısı kullanıyorsanız, kullanıcı profillerine kimlerin erişimi olduğunu ve bunlara erişme yöntemlerini kısıtlamanız gerekir. SMB paylaşımınızın sağlayıcısı için güvenlik önerilerini izlemeniz gerekir. Örneğin, bu sanal sabit disk dosyalarını depolamak için Azure Dosyalar kullanıyorsanız, özel uç noktaları yalnızca bir Azure sanal ağı içinde erişilebilir hale getirmek için kullanabilirsiniz.
Belirteç Koruması
Azure Sanal Masaüstü'ne bağlanmak Windows App çalıştıran uç noktada Belirteç Koruması gerektir. Belirteç Koruması oturum konağı için geçerli değildir. Platforma göre belirteç koruması için Windows App desteği hakkında daha fazla bilgi edinin.
Genel Güvenli Erişim
Uygulamalarınıza ve kaynaklarınıza güvenli erişim sağlamak için Azure Sanal Masaüstü oturum konaklarınızda Genel Güvenli Erişim'i (GSA) yapılandırın. Aynı erişim denetimlerini özel uygulamalara, İnternet uygulamalarına ve M365 uygulamalarına dış kimliklere (önizleme) genişletebilirsiniz. GSA ve B2B konuk erişimi için GSA'nın yapılandırılması hakkında daha fazla bilgi edinin.
Oturum konakları için diğer güvenlik ipuçları
İşletim sistemi özelliklerini kısıtlayarak oturum konaklarınızın güvenliğini güçlendirebilirsiniz. Yapabileceğiniz birkaç şey şunlardır:
Cihaz yeniden yönlendirmesini kısıtlayın. Sürücüler, pano, yazıcı ve USB cihazları, bir uzak masaüstü oturumunda kullanıcının yerel cihazı için varsayılan olarak devre dışı bırakılır. Güvenlik gereksinimlerinizi değerlendirmenizi ve bu yeniden yönlendirmelerin devre dışı bırakılıp bırakılmaması gerektiğini denetlemenizi öneririz.
Sürücü: Dosya aktarımları için sürücü yeniden yönlendirmesine izin vermek için OneDrive İş kullanmayı göz önünde bulundurun.
Pano: çift yönlü pano aktarımlarını değiştirmek için pano aktarma yönünü göz önünde bulundurun. İçerik türü kısıtlanarak, dosyaların aktarılması riski olmadan pano etkinleştirilebilir.
Yazıcı: Yazıcı yeniden yönlendirme gereksinimini değiştirmek için Evrensel Yazdırmayı göz önünde bulundurun.
USB: Fare, klavye ve web kamerası gibi birçok yaygın çevre birimi için bu özelliğin etkinleştirilmesi gerekmez. Opak alt düzey yeniden yönlendirme için USB yeniden yönlendirmesinin ne zaman etkinleştirileceği konusunda Uzak Masaüstü Protokolü üzerinden çevre birimi ve kaynak yeniden yönlendirmesi hakkında daha fazla bilgi edinin.
Yerel ve uzak sürücü eşlemelerini gizleyerek Windows Gezgini erişimini kısıtlayın. Bu, kullanıcıların sistem yapılandırması ve kullanıcılar hakkında istenmeyen bilgileri bulmasını önler.
Ortamınızdaki oturum konaklarına doğrudan RDP erişiminden kaçının. Yönetim veya sorun giderme için doğrudan RDP erişimine ihtiyacınız varsa, oturum konağındaki olası saldırı yüzeyini sınırlamak için tam zamanında erişimi etkinleştirin.
Kullanıcılara yerel ve uzak dosya sistemlerine erişirken sınırlı izinler verin. Yerel ve uzak dosya sistemlerinizin en az ayrıcalığı olan erişim denetim listelerini kullandığından emin olarak izinleri kısıtlayabilirsiniz. Bu şekilde kullanıcılar yalnızca ihtiyaç duydukları kaynaklara erişebilir ve kritik kaynakları değiştiremez veya silemez.
İstenmeyen yazılımların oturum konaklarında çalışmasını engelleyin. RemoteApp bir güvenlik özelliği değildir ve kullanımı, bir uygulama grubunda yayımlanan uygulamaların ötesinde uygulamaların başlatılmasını engellemez. Oturum konağından yalnızca izin ettiğiniz uygulamaların çalıştırılabilmesini sağlamak için Uygulama Denetimi veya AppLocker gibi Windows özellikleri için Uygulama Denetimi'ni kullanabilirsiniz.
Güvenilir başlatma
Güvenilir başlatma, rootkit'ler, önyükleme setleri ve çekirdek düzeyinde kötü amaçlı yazılım gibi saldırı vektörleri aracılığıyla yığın altı tehditleri gibi kalıcı saldırı tekniklerine karşı korumayı amaçlayan gelişmiş güvenlik özelliklerine sahip Azure VM'leridir. Doğrulanmış önyükleme yükleyicileri, işletim sistemi çekirdekleri ve sürücüleri olan VM'lerin güvenli dağıtımına olanak tanır ve ayrıca VM'lerdeki anahtarları, sertifikaları ve gizli dizileri korur. Güvenilir başlatma hakkında daha fazla bilgi için bkz. Azure sanal makineleri için güvenilir başlatma.
Azure portal kullanarak oturum konakları eklediğinizde, varsayılan güvenlik türü Güvenilen sanal makineler'dir. Bu, VM'nizin Windows 11 için zorunlu gereksinimleri karşılamasını sağlar. Bu gereksinimler hakkında daha fazla bilgi için bkz. Sanal makine desteği.
Azure gizli bilgi işlem sanal makineleri
Azure gizli bilgi işlem sanal makineleri için Azure Sanal Masaüstü desteği, kullanıcının sanal masaüstünün bellekte şifrelenmesini, kullanımda korunmasını ve bir donanım güven kökü tarafından desteklenmesini sağlar.
Azure Sanal Masaüstü ile gizli sanal makinelerin dağıtılması, kullanıcıların Microsoft 365'e ve diğer sanal makinelerden, hiper yöneticiden ve konak işletim sisteminden yalıtımı güçlendiren donanım tabanlı yalıtım kullanan oturum konakları üzerindeki diğer uygulamalara erişmesini sağlar. Bellek şifreleme anahtarları, CPU'nun içinde bulunan ve yazılımdan okunabilen ayrılmış bir güvenli işlemci tarafından oluşturulur ve korunmaktadır. Kullanılabilir VM boyutları da dahil olmak üzere daha fazla bilgi için bkz. Azure gizli bilgi işlemine genel bakış.
Aşağıdaki işletim sistemleri, etkin destekte olan sürümler için Azure Sanal Masaüstü'nde gizli sanal makinelerle oturum konakları olarak kullanılmak üzere desteklenir. Destek tarihleri için bkz. Microsoft Yaşam Döngüsü İlkesi.
- Windows 11 Enterprise
- Windows 11 Enterprise çoklu oturum
- Windows 10 Enterprise
- Windows 10 Enterprise çoklu oturum
- Windows Server 2022
- Windows Server 2019
Azure Sanal Masaüstü'nü dağıtırken gizli sanal makineleri kullanarak oturum konakları oluşturabilir veya bir konak havuzuna oturum konakları ekleyebilirsiniz.
İşletim sistemi disk şifrelemesi
İşletim sistemi diskinin şifrelenmesi, disk şifreleme anahtarlarını gizli bilgi işlem VM'sinin Güvenilen Platform Modülüne (TPM) bağlayan ek bir şifreleme katmanıdır. Bu şifreleme disk içeriğini yalnızca VM için erişilebilir hale getirir. Bütünlük izleme, kanıtlama tanımlı taban çizgisiyle başarısız olduğundan VM önyüklemesi yapılamadıysa VM önyükleme bütünlüğünün ve izleme uyarılarının şifrelenmesine ve doğrulanmasına olanak tanır. Bütünlük izleme hakkında daha fazla bilgi için bkz. Bulut Tümleştirmesi için Microsoft Defender. Konak havuzu oluştururken veya konak havuzuna oturum konakları eklerken gizli VM'leri kullanarak oturum konaklarıoluştururken gizli işlem şifrelemesini etkinleştirebilirsiniz.
Güvenli Önyükleme
Güvenli Önyükleme, platform üretici yazılımının desteklediği ve üretici yazılımınızı kötü amaçlı yazılım tabanlı rootkit'lerden ve önyükleme setlerinden koruyan bir moddur. Bu mod yalnızca imzalı işletim sistemlerinin ve sürücülerin önyüklenmesini sağlar.
Uzaktan Kanıtlama kullanarak önyükleme bütünlüğünü izleme
Uzaktan kanıtlama, VM'lerinizin durumunu denetlemenin harika bir yoludur. Uzaktan kanıtlama, Ölçülen Önyükleme kayıtlarının mevcut, orijinal ve Sanal Güvenilen Platform Modülü'nden (vTPM) kaynaklandığını doğrular. Sistem durumu denetimi olarak, bir platformun doğru şekilde başlatıldığının şifreleme kesinliğini sağlar.
vTPM
vTPM, sanal makine başına TPM sanal örneğine sahip bir donanım Güvenilir Platform Modülü'ne (TPM) ait sanallaştırılmış bir sürümdür. vTPM, VM'nin tüm önyükleme zincirinin (UEFI, işletim sistemi, sistem ve sürücüler) bütünlük ölçümlerini gerçekleştirerek uzaktan kanıtlamayı etkinleştirir.
vTPM'nin VM'lerinizde uzaktan kanıtlama kullanmasını etkinleştirmenizi öneririz. vTPM etkinleştirildiğinde, bekleyen verileri korumak için tam birim şifreleme sağlayan Azure Disk Şifrelemesi ile BitLocker işlevselliğini de etkinleştirebilirsiniz. vTPM kullanan tüm özellikler belirli bir VM'ye bağlı gizli dizilere neden olur. Kullanıcılar havuza alınan bir senaryoda Azure Sanal Masaüstü hizmetine bağlandığında, kullanıcılar konak havuzundaki herhangi bir VM'ye yeniden yönlendirilebilir. Özelliğin nasıl tasarlandığına bağlı olarak bunun bir etkisi olabilir.
Not
BitLocker, FSLogix profil verilerinizi depoladığınız belirli diski şifrelemek için kullanılmamalıdır.
Sanallaştırma Tabanlı Güvenlik
Sanallaştırma Tabanlı Güvenlik (VBS), işletim sistemi tarafından erişilemeyen güvenli bir bellek bölgesi oluşturmak ve yalıtmak için hiper yöneticiyi kullanır. Hypervisor-Protected Kod Bütünlüğü (HVCI) ve Windows Defender Credential Guard, güvenlik açıklarına karşı daha fazla koruma sağlamak için VBS kullanır.
Kod Bütünlüğünü Hypervisor-Protected
HVCI, Windows çekirdek modu işlemlerini kötü amaçlı veya doğrulanmamış kodun eklenmesine ve yürütülmesine karşı korumak için VBS kullanan güçlü bir sistem azaltma özelliğidir.
Windows Defender Credential Guard
Windows Defender Credential Guard'ı etkinleştirin. Windows Defender Credential Guard, gizli dizileri yalnızca ayrıcalıklı sistem yazılımlarının erişebilmesi için yalıtmak ve korumak için VBS kullanır. Bu, bu gizli dizilere ve Karma Geçişi saldırıları gibi kimlik bilgisi hırsızlığı saldırılarına yetkisiz erişimi engeller. Daha fazla bilgi için bkz . Credential Guard'a genel bakış.
Windows Defender Uygulama Denetimi
Windows Defender Uygulama Denetimini etkinleştirin. Windows Defender Uygulama Denetimi, cihazları kötü amaçlı yazılımlara ve diğer güvenilmeyen yazılımlara karşı korumak için tasarlanmıştır. Yalnızca onaylanan kodun (bildiğiniz gibi) çalıştırılabilmesini sağlayarak kötü amaçlı kodun çalışmasını engeller. Daha fazla bilgi için bkz. Windows için Uygulama Denetimi.
Not
Windows Defender Access Control kullanırken yalnızca cihaz düzeyinde ilkeleri hedeflemenizi öneririz. İlkeleri tek tek kullanıcılara hedeflemek mümkün olsa da, ilke uygulandıktan sonra cihazdaki tüm kullanıcıları aynı şekilde etkiler.
Windows Update
Windows Update güncelleştirmeleriyle oturum konaklarınızı güncel tutun. Windows Update, cihazlarınızı güncel tutmak için güvenli bir yol sağlar. Uçtan uca koruması, protokol değişimlerinin manipülasyonunu engeller ve güncelleştirmelerin yalnızca onaylanan içeriği içermesini sağlar. Windows Güncelleştirmeler düzgün erişim elde etmek için bazı korumalı ortamlarınızın güvenlik duvarı ve ara sunucu kurallarını güncelleştirmeniz gerekebilir. Daha fazla bilgi için bkz. güvenlik Windows Update.
diğer işletim sistemi platformlarında istemci ve güncelleştirmeleri Windows App
Diğer işletim sistemi platformlarındaki Azure Sanal Masaüstü hizmetlerine erişmek için kullanabileceğiniz Windows App istemcileri için yazılım güncelleştirmeleri, ilgili platformlarının güvenlik ilkelerine göre güvenli hale getirilir. Tüm istemci güncelleştirmeleri doğrudan platformları tarafından teslim edilir. Daha fazla bilgi için her uygulamanın ilgili mağaza sayfalarına bakın: