Azure 虛擬桌面中的安全性建議
Azure 虛擬桌面是受控虛擬桌面服務,其中包含許多安全性功能,可保護您組織安全。 Azure 虛擬桌面的架構包含許多元件,其組成將使用者連線到其桌面和應用程式的服務。
Azure 虛擬桌面有許多內建的進階安全性功能,例如不需要開啟任何輸入網路連接埠的反向連線,這可降低可從任何地方存取遠端桌面的風險。 此服務也受益於 Azure 的其他許多安全性功能,例如多重要素驗證和條件式存取。 本文說明您可以用系統管理員身分採取的步驟,以確保 Azure 虛擬桌面部署的安全,不論您為組織中的使用者或外部使用者提供桌面和應用程式。
共同安全性責任
在 Azure 虛擬桌面之前,遠端桌面服務等內部部署虛擬化解決方案需要為使用者授與閘道、訊息代理程式、Web 存取等角色的存取權。 這些角色必須完全備援,而且能夠處理尖峰容量。 系統管理員會將這些角色安裝為 Windows Server 作業系統的一部分,而且它們必須加入網域,且特定連接埠可供公用連線存取。 為了保持部署安全,系統管理員必須持續確保基礎結構中的所有項目都受到維護且為最新。
不過,在大部分的雲端服務中,Microsoft 與客戶或合作夥伴之間有一組共用的安全性責任。 對於 Azure 虛擬桌面,大部分元件都是 Microsoft 管理的,但工作階段主機和一些支援服務和元件是由客戶管理或合作夥伴管理的。 若要深入了解 Azure 虛擬桌面的 Microsoft 管理元件,請參閱 Azure 虛擬桌面服務架構和復原。
雖然某些元件已為您的環境提供保護,但您必須自行設定其他區域,以符合組織或客戶的安全性需求。 下列是您針對在 Azure 虛擬桌面部署中的安全性所負責的元件:
| 元件 | 責任 |
|---|---|
| 身分識別 | 客戶或合作夥伴 |
| 使用者裝置 (行動裝置與電腦) | 客戶或合作夥伴 |
| 應用程式安全性 | 客戶或合作夥伴 |
| 工作階段主機作業系統 | 客戶或合作夥伴 |
| 部署組態 | 客戶或合作夥伴 |
| 網路控制 | 客戶或合作夥伴 |
| 虛擬化控制平面 | Microsoft |
| 實體主機 | Microsoft |
| 實體網路 | Microsoft |
| 實體資料中心 | Microsoft |
安全性界限
安全性界限會使用不同層級的信任來區隔安全性網域的程式碼和資料。 例如,核心模式與使用者模式之間通常會有安全性界限。 大部分的 Microsoft 軟體和服務相依於多個安全性界限,以隔離裝置上的網路、虛擬機器 (VM) 和裝置上的應用程式。 下表列出 Windows 的每個安全性界限,以及它們針對整體安全性執行的動作。
| 安全性界限 | 描述 |
|---|---|
| 網路界限 | 未經授權的網路端點無法存取或竄改客戶裝置上的程式碼和資料。 |
| 核心界限 | 非系統管理使用者模式程序無法存取或竄改核心程式碼和資料。 系統管理員到核心不是安全性界限。 |
| 處理程序界限 | 未經授權的使用者模式程序無法存取或竄改另一個程序的程式碼和資料。 |
| AppContainer 沙箱界限 | 以 AppContainer 為基礎的沙箱程序無法存取或竄改以容器功能為基礎的沙箱外部程式碼和資料。 |
| 使用者界限 | 使用者未經授權無法存取或竄改另一個使用者的程式碼和資料。 |
| 工作階段界限 | 在未經授權的情況下,使用者工作階段無法存取或竄改另一個使用者工作階段。 |
| 網頁瀏覽器界限 | 未經授權的網站不能違反相同來源原則,亦無法存取或竄改 Microsoft Edge 網頁瀏覽器沙箱的原生程式碼和資料。 |
| 虛擬機器界限 | 未經授權的 Hyper-V 客體虛擬機器無法存取或竄改另一個客體虛擬機器的程式碼和資料,包括 Hyper-V 隔離容器。 |
| 虛擬安全模式 (VSM) 界限 | 在 VSM 信任程序或記憶體保護區外部執行的程式碼無法存取或竄改信任程序內的資料和程式碼。 |
Azure 虛擬桌面案例建議的安全性界限
您也必須以案例為基礎,針對安全性界限進行特定選擇。 例如,如果組織中的使用者需要本機系統管理權限才能安裝應用程式,您必須提供其個人桌面,而不是共用工作階段主機。 不建議在多重工作階段集區案例中提供使用者本機系統管理員權限,因為這些使用者可以跨工作階段或 NTFS 資料權限的安全性界限、關閉多重工作階段 VM,或執行可能會中斷服務或造成資料損失的其他動作。
來自相同組織的使用者,例如知識工作者其擁有的應用程式不需要系統管理員權限,是多重工作階段之工作階段主機 (例如 Windows 11 企業版的多重工作階段) 的絕佳候選項目。 這些工作階段主機可降低貴組織的成本,因為多個使用者可以共用單一 VM,而只有單一使用者需要負擔虛擬機器的費用。 使用 FSLogix 等使用者設定檔管理產品,使用者可在主機集區中獲指派任何 VM,而不會注意到任何服務中斷。 透過在離峰時段關閉 VM 之類的動作,此功能也可讓您將成本最佳化。
如果您的情況需要來自不同組織的使用者連接至您的部署,建議您具有 Active Directory 和 Microsoft Entra ID 等身分識別服務的個別租用戶。 我們也建議您為這些使用者提供個別的訂用帳戶來裝載 Azure 資源,例如 Azure 虛擬桌面和 VM。
在許多情況下,使用多重工作階段是降低成本的可接受方式,但我們是否建議則取決於同時存取共用多重工作階段執行個體的使用者之間的信任層級。 一般而言,屬於相同組織的使用者具有足夠且已同意的信任關係。 例如,人員共同作業且可以彼此存取個人資訊的部門或工作群組,是具有高信任層級的組織。
Windows 會使用安全性界限和控制項,以確保在工作階段之間隔離使用者程序和資料。 不過,Windows 仍會提供使用者正在處理的執行個體的存取權。
多工作階段部署會受益於深度安全性策略,其會新增更多安全性界限,以防範組織內外的使用者取得其他使用者個人資訊未經授權的存取權。 發生未經授權的資料存取是因為系統管理員在組態程序中發生錯誤,例如未揭露的安全性弱點或尚未修補的已知弱點。
我們不建議將相同多工作階段環境的存取權授與於不同公司或競爭公司工作的使用者。 這些案例有數個可攻擊或濫用的安全性界限,例如網路、核心、程序、使用者或工作階段。 單一安全性弱點可能會導致未經授權的資料和認證竊取、個人資訊外洩、身分識別竊取和其他問題。 虛擬化環境提供者會負責提供設計良好的系統,並盡可能啟用多個強大的安全性界限和額外的安全性功能。
減少這些潛在威脅需要錯誤證明組態、修補程式管理設計程序,以及一般修補程式部署排程。 最好遵循深度防禦的原則,並讓環境保持分開。
下表摘要我們針對每個案例的建議。
| 信任層級案例 | 建議的解決方案 |
|---|---|
| 使用者來自具有標準權限的一個組織 | 使用 Windows 企業版多重工作階段作業系統。 |
| 使用者需要系統管理權限 | 使用個人主機集區,並指派每個使用者自己的工作階段主機。 |
| 使用者來自不同組織連線 | 個別的 Azure 租用戶和 Azure 訂用帳戶 |
Azure 安全性最佳做法
Azure 虛擬桌面是 Azure 中的一項服務。 若要讓 Azure 虛擬桌面部署達到最安全等級,您也應確保保護周邊 Azure 基礎結構和管理平面。 若要保護您的基礎結構,請考慮 Azure 虛擬桌面如何融入更大的 Azure 生態系統。 若要深入了解 Azure 生態系統,請參閱 Azure 安全性最佳做法與模式 (機器翻譯)。
現今的威脅環境需要在中心考量安全性方法的設計。 在理想情況下,您會想要建置在整個電腦網路中分層的一系列的安全性機制和控制,以保護您的資料和網路免於遭到入侵或攻擊。 這種類型的安全性設計即為美國網路安全性和基礎結構安全性機構 (CISA) 稱為深度防禦的設計。
下列各節包含保護 Azure 虛擬桌面部署的建議。
啟用適用於雲端的 Microsoft Defender
建議您啟用適用於雲端的 Microsoft Defender 增強安全性功能,進行下列操作:
- 管理弱點。
- 評估符合 PCI 安全性標準委員會等常見架構的合規性。
- 強化環境的整體安全性。
若要深入了解,請參閱啟用增強的安全性功能 (機器翻譯)。
改善您的安全分數
安全分數提供改善整體安全性的建議和最佳做法建議。 系統會將這些建議設定優先權,協助您挑選最重要的建議,而快速修正選項可協助您快速解決潛在弱點。 這些建議也會隨著時間更新,讓您隨時掌握最佳做法,維持環境的安全性。 若要深入了解,請參閱在適用於雲端的 Microsoft Defender 中改善您的安全分數 (機器翻譯)。
需要多重要素驗證
要求在 Azure 虛擬桌面中的所有使用者和管理員使用多重要素驗證,可改善整個部署的安全性。 若要深入了解,請參閱 為 Azure 虛擬桌面啟用 Microsoft Entra 多重要素驗證。
啟用條件式存取
啟用條件式存取,可讓您在將 Azure 虛擬桌面環境的存取權授與使用者前,管理風險。 決定要授與存取權的使用者時,建議您考慮使用者身分、使用者登入方式,以及使用者使用的裝置。
收集稽核記錄
啟用收集稽核記錄功能,可讓您檢視 Azure 虛擬桌面相關使用者和管理員活動。 重要稽核記錄的一些範例如下:
使用 RemoteApp
選擇部署模型時,您可以為遠端使用者提供對整個桌面的存取權,也可以在發佈為 RemoteApp 時只選取應用程式。 當使用者從虛擬桌面使用應用程式時,RemoteApp 可提供順暢的體驗。 RemoteApp 只讓使用者使用應用程式公開的遠端電腦子集,以降低風險。
透過 Azure 監視器監視使用量
透過 Azure 監視器,監視 Azure 虛擬桌面服務的使用量和可用性。 請考慮為 Azure 虛擬桌面服務建立服務健康情況警示,在有服務影響事件時收到通知。
加密工作階段主機
使用受控磁碟加密選項將工作階段主機進行加密,以保護儲存的資料免於未經授權的存取。
工作階段主機安全性最佳做法
工作階段主機是在 Azure 訂用帳戶和虛擬網路內執行的虛擬機器。 您 Azure 虛擬桌面部署的整體安全性,取決於您在工作階段主機上設定的安全性控制項。 本節說明保護工作階段主機安全的最佳做法。
啟用端點保護
若要保護您的部署,防範已知的惡意軟體,建議您在所有工作階段主機上啟用端點保護。 您可以使用 Windows Defender 防毒軟體或協力廠商程式。 若要深入了解,請參閱 VDI 環境中 Windows Defender 防毒軟體的部署指南 (機器翻譯)。
對於 FSLogix 等設定檔解決方案,或其他掛接虛擬硬碟檔案的解決方案,建議排除這些副檔名。
安裝端點偵測及回應產品
建議您安裝端點偵測及回應 (EDR) 產品,提供進階偵測及回應功能。 對於啟用適用於雲端的 Microsoft Defender 的伺服器作業系統,安裝 EDR 產品會部署適用於端點的 Microsoft Defender。 對於用戶端作業系統,您可以將適用於端點的 Microsoft Defender 或協力廠商產品部署到那些端點。
啟用威脅與弱點管理評量
找出作業系統和應用程式中的軟體弱點,對於保護您的環境安全至關重要。 適用於雲端的 Microsoft Defender 可協助您透過適用於端點的 Microsoft Defender 威脅與弱點管理解決方案,找出問題點。 如果您傾向使用協力廠商產品,也可以使用,雖然我們建議使用適用於雲端的 Microsoft Defender,以及適用於端點的 Microsoft Defender。
在您的環境中修補軟體弱點
找出弱點之後,您必須加以修補。 這也適用於虛擬環境,其中包括執行中的作業系統、部署在其中的應用程式,以及您從中建立新機器的映像。 請按照您廠商的修補檔通知通訊內容,並及時套用修補檔。 建議每月修補您的基礎映像,確保新部署的機器盡可能安全。
建立非使用中時間上限和中斷連線原則
將處於非使用中狀態的使用者登出時,可以保留資源,並防止未經授權的使用者存取。 建議逾時平衡使用者生產力和資源使用量。 針對與無狀態應用程式互動的使用者,建議使用更積極的原則來關閉電腦並保留資源。 中斷在使用者閒置時繼續執行的長時間執行應用程式,例如模擬或 CAD 轉譯,可能會中斷使用者的工作,甚至可能需要重新啟動電腦。
為閒置工作階段設定螢幕鎖定
您可以將 Azure 虛擬桌面設定為在閒置期間鎖定電腦的螢幕,並要求驗證以解除鎖定,防止不必要的系統存取。
建立階層式管理員存取權
建議您不要將虛擬桌面的管理員存取權授與使用者。 如果您需要軟體套件,建議您透過組態管理公用程式提供,例如 Microsoft Intune。 在多工作階段環境中,建議您不要讓使用者直接安裝軟體。
考慮哪些使用者應存取哪些資源
請將工作階段主機當作現有桌面部署的延伸模組。 建議您以與環境中其他桌面相同的方式,控制網路資源的存取權,例如使用網路分割和篩選。 工作階段主機預設可以連線到網際網路上的任何資源。 有多種方式可以限制流量,包括使用 Azure 防火牆、網路虛擬設備或 Proxy。 如果您必須限制流量,務必新增適當規則,讓 Azure 虛擬桌面可以正常運作。
管理 Microsoft 365 應用程式安全性
除了保護您的工作階段主機之外,務必同時保護其內部執行的應用程式。 Microsoft 365 應用程式是工作階段主機中部署的一些最常見應用程式。 若要改善 Microsoft 365 部署安全性,建議您針對 Microsoft 365 Apps 企業版,使用安全性原則建議程式。 此工具可找出您可以套用至部署,使其更加安全的原則。 安全性原則建議程式也會根據原則對安全性和生產力的影響,建議原則。
使用者設定檔安全性
使用者設定檔可以包含敏感性資訊。 您應該限制誰有權存取使用者設定檔以及存取它們的方法,特別是當您使用 FSLogix 設定檔容器將使用者設定檔儲存在 SMB 共用上的虛擬硬碟檔案中時。 您應該遵循 SMB 共用提供者的安全性建議。 例如,如果您使用 Azure 檔案儲存體儲存這些 VHDX 檔案,您可以使用私人端點,使其只能在 Azure 虛擬網路中存取。
其他工作階段主機安全性秘訣
您可以限制作業系統功能,加強工作階段主機的安全性。 您可以進行下列操作:
將磁碟機、印表機和 USB 裝置,重新導向至遠端桌面工作階段中的使用者本機裝置,控制裝置重新導向。 建議您評估安全性需求,並確認是否應停用這些功能。
隱藏本機和遠端磁碟機對應,限制 Windows 檔案總管存取權。 這可防止使用者探索與系統設定和使用者相關的不必要資訊。
避免直接對環境中的工作階段主機進行 RDP 存取。 如果您需要直接 RDP 存取以管理或疑難排解,請啟用 Just-In-Time 存取權,限制工作階段主機上的潛在受攻擊面。
在使用者存取本機和遠端檔案系統時授與其有限的權限。 您可以確保本機和遠端檔案系統使用權限最低的存取控制清單,藉此限制權限。 如此一來,使用者就只能存取所需的內容,無法變更或刪除重要資源。
防止不必要的軟體在工作階段主機上執行。 您可以在工作階段主機上啟用 App Locker,增添安全性,確保只有允許的應用程式可以在主機上執行。
可信啟動
可信啟動是具有增強安全性功能的 Gen2 Azure VM,旨在防止透過 Rootkit、開機套件和核心層級惡意程式碼等攻擊媒介的堆疊底部威脅。 下列是可信啟動的增強安全性功能,Azure 虛擬桌面中全都支援。 若要深入了解可信啟動,請造訪 Azure 虛擬機器的可信啟動 (機器翻譯)。
啟用可信啟動作為預設值
可信啟動會防止進階和持續性攻擊技術侵擾。 此功能也允許安全部署具有經過驗證的開機載入器、OS 核心和驅動程式的 VM。 可信啟動還保護 VM 中的金鑰、憑證和祕碼。 深入了解在 Azure 虛擬機器的可信啟動中的可信啟動。
當您使用 Azure 入口網站新增工作階段主機時,安全性類型會自動變更為受信任的虛擬機器。 這可確保您的 VM 符合 Windows 11 的必要需求。 如需這些需求的詳細資訊,請參閱 虛擬機器支援。
Azure 機密運算虛擬機器
Azure 虛擬桌面對 Azure 機密運算虛擬機器的支援可確保使用者的虛擬桌面在記憶體中進行加密、使用中受到保護,並且受到硬體信任根目錄的支援。 適用於 Azure 虛擬桌面的 Azure 機密運算 VM 與支援的作業系統相容。 使用 Azure 虛擬桌面部署機密 VM 可讓使用者存取使用硬體式隔離工作階段主機上的 Microsoft 365 和其他應用程式,以強化與其他虛擬機器、Hypervisor 和主機 OS 的隔離。 這些虛擬桌面是由最新的第三代 (Gen 3) 超微半導體 (AMD) EPYC™ 處理器所提供,具備安全加密虛擬化安全巢狀分頁 (SEV-SNP) 技術。 記憶體加密金鑰是由 AMD CPU 內的專用安全處理器所產生及保護,並無法從軟體讀取。 如需詳細資訊,請參閱 Azure 機密運算概觀。
支援下列作業系統用作 Azure 虛擬桌面上的機密 VM 的工作階段主機:
- Windows 11 企業版 22H2 版
- Windows 11 企業版多重工作階段 22H2 版
- Windows Server 2022
- Windows Server 2019
當您建立主機集區或將工作階段主機新增至主機集區時,您可以使用機密 VM 來建立工作階段主機。
OS 磁碟加密
作業系統磁碟加密是一個額外的加密層,可將磁碟加密金鑰繫結到機密運算 VM 的受信任平台模組 (TPM)。 這種加密使得磁碟內容只能由 VM 存取。 完整性監視允許對 VM 開機完整性進行密碼編譯證明和驗證,並在 VM 因定義的基準證明失敗而無法開機時監視警示。 如需完整性監視的詳細資訊,請參閱 適用於雲端的 Microsoft Defender 整合。 當您建立主機集區或將工作階段主機新增至主機集區時,您可以在使用機密 VM 建立工作階段主機時啟用機密運算加密。
安全開機
安全開機是平台韌體支援的模式,可保護您的韌體免於惡意程式碼型 Rootkit 和開機套件。 此模式只允許已簽署的 OS 和驅動程式啟動。
使用遠端證明監視開機完整性
遠端證明是檢查 VM 健康情況的好方法。 遠端證明會確認測量開機記錄存在、為正版,以及來自虛擬信賴平台模組 (vTPM)。 作為健康情況檢查,這提供平台正確啟動的密碼編譯確定性。
vTPM
vTPM 是硬體信賴平台模組 (TPM) 的虛擬化版本,每個 VM 有一個 TPM 虛擬執行個體。vTPM 會執行 VM 的完整開機鏈結 (UEFI、OS、系統和驅動程式) 的完整性測量,啟用遠端證明。
建議您啟用 vTPM,在您的 VM 上使用遠端證明。 啟用 vTPM 後,您也可以啟用 BitLocker 功能搭配 Azure 磁碟加密,提供完整磁碟區加密來保護待用資料。 任何使用 vTPM 的功能都會導致秘密繫結至特定 VM。 使用者在集區式情節中連線到 Azure 虛擬桌面服務時,可以重新導向至主機集區中的任何 VM。 視功能的設計方式而定,這可能會造成影響。
注意
BitLocker 不應該用來加密您儲存 FSLogix 設定檔資料的特定磁碟。
虛擬化型安全性
虛擬化型安全性 (VBS) 會使用 Hypervisor 來建立並隔離無法存取 OS 的安全記憶體區域。 Hypervisor 保護的程式碼完整性 (HVCI) 和 Windows Defender Credential Guard,都會使用 VBS 來提升弱點的保護措施。
Hypervisor 保護的程式碼完整性
HVCI 是一項強大的系統風險降低功能,使用 VBS 來保護Windows 核心模式流程,防止插入和執行惡意或未驗證的程式碼。
Windows Defender Credential Guard
啟用 Windows Defender Credential Guard。 Windows Defender Credential Guard 使用 VBS 來隔離並保護祕密,只有具特殊權限的系統軟體才能存取。 這可防止未經授權存取這些秘密,以及認證竊取攻擊,例如雜湊傳遞攻擊。 如需詳細資訊,請參閱 Credential Guard 概觀。
Windows Defender 應用程式控制
啟用 Windows Defender 應用程式控制。 Windows Defender 應用程式控制的設計目的是保護裝置抵禦惡意程式碼和其他不受信任的軟體。 它可確保只有您知道的已核准程式碼可以執行,以防止惡意程式碼執行。 如需詳細資訊,請參閱 Windows 應用程式控制。
注意
使用 Windows Defender 存取控制時,建議只鎖定裝置層級的原則。 雖然可以將原則設為個別使用者的目標,但套用原則之後,原則會同樣影響裝置上的所有使用者。
Windows Update
使用來自 Windows Update 的更新,讓您的工作階段主機保持最新狀態。 Windows Update 提供了一種讓您的裝置保持最新狀態的安全方法。 其端對端保護可防止對通訊協定交換的操控,並確保更新只包含已核准的內容。 您可能需要更新某些受保護環境的防火牆和 Proxy 規則,才能正確存取 Windows Update。 如需詳細資訊,請參閱 Windows Update 安全性。
其他 OS 平台上的遠端桌面用戶端和更新
您可以用來存取其他 OS 平台上的 Azure 虛擬桌面服務的遠端桌面用戶端的軟體更新,會根據其各自平台的安全性原則進行保護。 所有用戶端更新都會由其平台直接提供。 如需詳細資訊,請參閱每個應用程式的個別市集頁面: