Azure 虛擬桌面的安全性建議
Azure 虛擬桌面是受控虛擬桌面服務,包含許多安全性功能,可保護您的組織安全。 Azure 虛擬桌面的架構包含許多元件,組成將用戶連線到其桌面和應用程式的服務。
Azure 虛擬桌面有許多內建的進階安全性功能,例如反向 連線 不需要開啟任何輸入網路埠,這可降低可從任何地方存取遠端桌面的風險。 此服務也受益於 Azure 的其他許多安全性功能,例如多重要素驗證和條件式存取。 本文說明您可以以系統管理員身分採取的步驟,以確保 Azure 虛擬桌面部署的安全,不論您為組織中的使用者或外部使用者提供桌面和應用程式。
共同安全性責任
在 Azure 虛擬桌面之前,遠端桌面服務等內部部署虛擬化解決方案需要將閘道、訊息代理程式、Web 存取等角色的存取權授與使用者。 這些角色必須完全備援,而且能夠處理尖峰容量。 管理員 istrators 會將這些角色安裝為 Windows Server 作業系統的一部分,而且它們必須加入網域,才能存取公用連線的特定埠。 為了確保部署安全,系統管理員必須持續確保基礎結構中的所有內容都維持在最新狀態。
不過,在大部分的雲端服務中,Microsoft 與客戶或合作夥伴之間會有一 組共用的安全性責任 。 對於 Azure 虛擬桌面,大部分元件都是 Microsoft 管理的,但會話主機和一些支援服務和元件是由客戶管理或合作夥伴管理的。 若要深入瞭解 Azure 虛擬桌面的 Microsoft 管理元件,請參閱 Azure 虛擬桌面服務架構和復原能力。
雖然某些元件已為您的環境提供保護,但您必須自行設定其他區域,以符合組織或客戶的安全性需求。 以下是您在 Azure 虛擬桌面部署中負責安全性的元件:
| 元件 | 責任 |
|---|---|
| 身分識別 | 客戶或合作夥伴 |
| 使用者裝置 (行動裝置與電腦) | 客戶或合作夥伴 |
| 應用程式安全性 | 客戶或合作夥伴 |
| 會話主機作業系統 | 客戶或合作夥伴 |
| 部署組態 | 客戶或合作夥伴 |
| 網路控制 | 客戶或合作夥伴 |
| 虛擬化控制平面 | Microsoft |
| 實體主機 | Microsoft |
| 實體網路 | Microsoft |
| 實體資料中心 | Microsoft |
安全性界限
安全性界限會分隔具有不同信任層級之安全性網域的程式代碼和數據。 例如,核心模式與使用者模式之間通常會有安全性界限。 大部分的 Microsoft 軟體和服務相依於多個安全性界限,以隔離網路上的裝置、虛擬機(VM)和裝置上的應用程式。 下表列出 Windows 的每個安全性界限,以及它們針對整體安全性所做的工作。
| 安全性界限 | 描述 |
|---|---|
| 網路界限 | 未經授權的網路端點無法存取或竄改客戶裝置上的程式代碼和數據。 |
| 核心界限 | 非系統管理的使用者模式程式無法存取或竄改核心程式代碼和數據。 管理員 istrator-to-kernel 不是安全性界限。 |
| 進程界限 | 未經授權的使用者模式進程無法存取或竄改另一個進程的程式代碼和數據。 |
| AppContainer 沙盒界限 | AppContainer 型沙盒程式無法根據容器功能存取或竄改沙盒外部的程式代碼和數據。 |
| 用戶界限 | 用戶無法在未經授權的情況下存取或竄改其他使用者的程式代碼和數據。 |
| 會話界限 | 用戶會話無法在未經授權的情況下存取或竄改另一個用戶會話。 |
| 網頁瀏覽器界限 | 未經授權的網站無法違反相同的原始來源原則,也無法存取或竄改 Microsoft Edge 網頁瀏覽器沙箱的機器碼和數據。 |
| 虛擬機界限 | 未經授權的 Hyper-V 客體虛擬機無法存取或竄改另一部客體虛擬機的程式代碼和數據;這包括 Hyper-V 隔離容器。 |
| 虛擬安全模式 (VSM) 界限 | 在 VSM 信任進程或記憶體保護區外執行的程式代碼無法存取或竄改信任進程內的數據和程序代碼。 |
Azure 虛擬桌面案例的建議安全性界限
您也必須根據案例對安全性界限做出特定選擇。 例如,如果組織中的使用者需要本機系統管理員許可權才能安裝應用程式,您必須提供個人桌面,而不是共用會話主機。 我們不建議在多會話集區案例中為使用者提供本機系統管理員許可權,因為這些使用者可以跨會話或 NTFS 數據許可權的安全性界限、關閉多會話 VM,或執行可能會中斷服務或造成數據損失的其他動作。
來自相同組織的使用者,例如具有不需要系統管理員許可權之應用程式的知識工作者,是多會話會話主機的絕佳候選專案,例如 Windows 11 企業版 多會話。 這些會話主機可降低貴組織的成本,因為多個使用者可以共用單一 VM,而每位使用者只需要 VM 的額外負荷成本。 使用 FSLogix 等使用者配置檔管理產品,使用者即可在主機集區中指派任何 VM,而不會注意到任何服務中斷。 這項功能也可讓您藉由在離峰時段關閉 VM 之類的動作,將成本優化。
如果您的情況需要來自不同組織的用戶連線到您的部署,建議您為 Active Directory 和 Microsoft Entra ID 等身分識別服務提供個別的租使用者。 我們也建議您為這些使用者提供個別的訂用帳戶,以便裝載 Azure 虛擬桌面和 VM 等 Azure 資源。
在許多情況下,使用多會話是降低成本的可接受方式,但建議是否取決於同時存取共用多會話實例的使用者之間的信任層級。 一般而言,屬於相同組織的使用者具有足夠且已同意的信任關係。 例如,人員共同作業且可以存取彼此個人資訊之部門或工作組是具有高度信任層級的組織。
Windows 會使用安全性界限和控制項,以確保使用者進程和數據在會話之間隔離。 不過,Windows 仍然提供使用者正在處理之實例的存取權。
多會話部署可受益於安全性深入策略,此策略會新增更多安全性界限,以防止組織內外的使用者未經授權存取其他用戶的個人資訊。 未經授權的數據存取是因為系統管理員在設定程式中發生錯誤,例如未公開的安全性弱點或尚未修補的已知弱點。
我們不建議將適用於不同或競爭公司存取相同多會話環境的使用者授與。 這些案例有數個可遭到攻擊或濫用的安全性界限,例如網路、核心、進程、使用者或會話。 單一安全性弱點可能會導致未經授權的數據和認證竊取、個人資訊外洩、身分識別竊取和其他問題。 虛擬化環境提供者負責提供設計良好的系統,並盡可能啟用多個強大的安全性界限和額外的安全性功能。
減少這些潛在威脅需要防錯誤設定、修補程式管理設計程式,以及一般的修補程式部署排程。 最好遵循深度防禦原則,讓環境保持分開。
下表摘要說明每個案例的建議。
| 信任層級案例 | 建議的解決方案 |
|---|---|
| 一個具有標準許可權的組織使用者 | 使用 Windows 企業版多工作階段 OS。 |
| 使用者需要系統管理許可權 | 使用個人主機集區,並指派每個使用者自己的會話主機。 |
| 來自不同組織連線的使用者 | 分隔 Azure 租使用者和 Azure 訂用帳戶 |
Azure 安全性最佳做法
Azure 虛擬桌面是 Azure 下的一項服務。 若要將 Azure 虛擬桌面部署的安全性最大化,您也應該確保保護周圍的 Azure 基礎結構和管理平面。 若要保護您的基礎結構,請考慮 Azure 虛擬桌面如何融入較大的 Azure 生態系統。 若要深入瞭解 Azure 生態系統,請參閱 Azure 安全性最佳做法和模式。
現今的威脅環境需要考慮到安全性方法的設計。 在理想情況下,您會想要建置一系列的安全性機制,並在整個計算機網路分層控制,以保護您的數據和網路免於遭到入侵或攻擊。 這種類型的安全性設計是 美國 網路安全和基礎結構安全性機構 (CISA) 所呼叫的深層防禦。
下列各節包含保護 Azure 虛擬桌面部署的建議。
啟用適用於雲端的 Microsoft Defender
建議您啟用 適用於雲端的 Microsoft Defender 增強式安全性功能,以:
- 管理弱點。
- 評估符合 PCI 安全性標準委員會等常見架構的規範。
- 強化環境的整體安全性。
若要深入瞭解,請參閱 啟用增強的安全性功能。
改善您的安全分數
安全分數提供改善整體安全性的建議和最佳做法建議。 這些建議的優先順序是協助您挑選最重要的建議,而快速修正選項可協助您快速解決潛在的弱點。 這些建議也會隨著時間更新,讓您隨時掌握維護環境安全性的最佳方法。 若要深入瞭解,請參閱改善 適用於雲端的 Microsoft Defender 中的安全分數。
需要多重要素驗證
要求 Azure 虛擬桌面中所有使用者和系統管理員進行多重要素驗證,可改善整個部署的安全性。 若要深入瞭解,請參閱 啟用 Azure 虛擬桌面的 Microsoft Entra 多重要素驗證。
啟用條件式存取
啟用 條件式存取 可讓您管理風險,再將 Azure 虛擬桌面環境的存取權授與使用者。 決定要授與存取權的使用者時,建議您也考慮使用者是誰、登入方式,以及他們所使用的裝置。
收集稽核記錄
啟用稽核記錄收集可讓您檢視與 Azure 虛擬桌面相關的使用者和系統管理活動。 金鑰稽核記錄的一些範例包括:
使用 RemoteApp
選擇部署模型時,您可以提供遠端存取整個桌面的遠端使用者,或只在發佈為 RemoteApp 時選取應用程式。 當使用者從虛擬桌面使用應用程式時,RemoteApp 可提供順暢的體驗。 RemoteApp 只會讓使用者使用應用程式公開的遠端電腦子集,來降低風險。
使用 Azure 監視器監視使用量
使用 Azure 監視器監視 Azure 虛擬桌面服務的使用量和可用性。 請考慮建立 Azure 虛擬桌面服務的服務健康情況警示 ,以在服務影響事件時接收通知。
加密您的會話主機
使用 受控磁碟加密選項 加密您的會話主機,以保護儲存的數據免於未經授權的存取。
會話主機安全性最佳做法
會話主機是在 Azure 訂用帳戶和虛擬網路內執行的虛擬機。 Azure 虛擬桌面部署的整體安全性取決於您在會話主機上放置的安全性控制。 本節說明讓會話主機保持安全的最佳作法。
啟用端點保護
若要保護您的部署免於已知的惡意軟體,建議您在所有會話主機上啟用端點保護。 您可以使用 Windows Defender 防病毒軟體或第三方程式。 若要深入瞭解,請參閱 VDI 環境中的 Windows Defender 防病毒軟體部署指南。
對於 FSLogix 或其他掛接虛擬硬碟檔案之解決方案的配置檔解決方案,建議您排除這些擴展名。
安裝 端點偵測及回應產品
建議您安裝 端點偵測及回應 (EDR) 產品,以提供進階的偵測和回應功能。 針對已啟用 適用於雲端的 Microsoft Defender 的伺服器操作系統,安裝 EDR 產品將會部署 適用於端點的 Microsoft Defender。 針對用戶端操作系統,您可以將 適用於端點的 Microsoft Defender 或第三方產品部署到這些端點。
啟用 威脅與漏洞管理評定
識別作業系統和應用程式中存在的軟體弱點,對於保護您的環境至關重要。 適用於雲端的 Microsoft Defender 可協助您透過 適用於端點的 Microsoft Defender 威脅與漏洞管理 解決方案找出問題點。 如果您很傾向於,您也可以使用第三方產品,不過我們建議使用 適用於雲端的 Microsoft Defender 和 適用於端點的 Microsoft Defender。
在您的環境中修補軟體弱點
識別弱點之後,您必須加以修補。 這也適用於虛擬環境,包括執行中的操作系統、部署在其中的應用程式,以及您從中建立新計算機的映像。 請遵循廠商修補程式通知通訊,並及時套用修補程式。 建議您每月修補您的基底映射,以確保新部署的計算機盡可能安全。
建立非使用中時間和中斷連線原則上限
將處於非使用中狀態的使用者登出時,可以保留資源,並防止未經授權的使用者存取。 建議您在用戶生產力和資源使用量之間取得平衡。 針對與無狀態應用程式互動的使用者,建議使用更積極的原則來關閉電腦並保留資源。 中斷長時間執行的應用程式,如果使用者處於閑置狀態,例如模擬或 CAD 轉譯,可能會中斷使用者的工作,甚至可能需要重新啟動電腦。
設定閑置會話的屏幕鎖定
您可以藉由設定 Azure 虛擬桌面在閑置期間鎖定電腦的畫面,並要求驗證來解除鎖定電腦畫面,以防止不必要的系統存取。
建立階層式系統管理員存取權
建議您不要將虛擬桌面的系統管理員存取權授與使用者。 如果您需要軟體套件,建議您透過 Microsoft Intune 等組態管理公用程式提供它們。 在多會話環境中,我們建議您不要讓使用者直接安裝軟體。
請考慮哪些用戶應該存取哪些資源
請考慮會話主機作為現有桌面部署的延伸模組。 建議您以與環境中其他桌面相同的方式控制網路資源的存取,例如使用網路分割和篩選。 根據預設,會話主機可以連線到因特網上的任何資源。 有數種方式可以限制流量,包括使用 Azure 防火牆、網路虛擬設備或 Proxy。 如果您需要限制流量,請務必新增適當的規則,讓 Azure 虛擬桌面可以正常運作。
管理 Microsoft 365 應用程式安全性
除了保護您的會話主機之外,還必須保護在其中執行的應用程式。 Microsoft 365 應用程式是會話主機中部署的一些最常見應用程式。 若要改善 Microsoft 365 部署安全性,建議您使用安全策略建議程式進行 Microsoft 365 Apps 企業版。 此工具可識別可套用至部署以取得更多安全性的原則。 安全策略建議程式也會根據原則對安全性和生產力的影響來建議原則。
使用者配置檔安全性
使用者配置檔可以包含敏感性資訊。 您應該限制誰可以存取使用者配置檔和存取它們的方法,特別是如果您使用 FSLogix 配置檔容器 ,將使用者配置檔儲存在 SMB 共用上的虛擬硬碟檔案中。 您應該遵循SMB共用提供者的安全性建議。 例如,如果您使用 Azure 檔案儲存體 來儲存這些虛擬硬碟檔案,您可以使用私人端點,使其只能在 Azure 虛擬網路記憶體取。
會話主機的其他安全性秘訣
藉由限制作業系統功能,您可以加強會話主機的安全性。 以下是一些您可以執行的動作:
將磁碟驅動器、印表機和USB裝置重新導向至遠端桌面會話中的使用者本機裝置,以控制裝置重新導向。 建議您評估安全性需求,並檢查這些功能是否應該停用。
隱藏本機和遠端磁碟驅動器對應來限制 Windows 檔案總管存取。 這可防止使用者探索系統設定和用戶的相關垃圾資訊。
避免在您的環境中直接存取會話主機。 如果您需要直接 RDP 存取以進行管理或疑難解答,請啟用 Just-In-Time 存取來限制會話主機上的潛在受攻擊面。
在使用者存取本機和遠端檔案系統時授與其有限的權限。 您可以確定本機和遠端檔案系統使用具有最低許可權的存取控制清單,以限制許可權。 如此一來,使用者就只能存取所需的專案,而且無法變更或刪除重要資源。
防止垃圾軟體在會話主機上執行。 您可以在會話主機上啟用應用程式保險箱以取得其他安全性,確保只有允許的應用程式可以在主機上執行。
受信任的啟動
受信任的啟動是 Gen2 Azure VM,其安全性功能增強,旨在透過 Rootkit、開機套件和核心層級惡意代碼等攻擊媒介來防範堆棧底部的威脅。 以下是受信任啟動的增強式安全性功能,這些功能全都支援在 Azure 虛擬桌面中。 若要深入瞭解受信任的啟動,請流覽 Azure 虛擬機的受信任啟動。
啟用受信任的啟動作為預設值
受信任的啟動可防範進階和持續性的攻擊技術。 這項功能也允許使用已驗證的開機載入器、OS 核心和驅動程式,安全地部署 VM。 受信任的啟動也會保護 VM 中的金鑰、憑證和秘密。 在 Azure 虛擬機的受信任啟動中深入瞭解受信任啟動。
當您使用 Azure 入口網站 新增工作階段主機時,安全性類型會自動變更為信任的虛擬機。 這可確保您的 VM 符合 Windows 11 的必要需求。 如需這些需求的詳細資訊,請參閱 虛擬機支援。
Azure 機密運算虛擬機
Azure 機密運算虛擬機的 Azure 虛擬桌面支援可確保使用者的虛擬桌面在記憶體中加密、使用中受到保護,並由硬體信任根目錄支援。 適用於 Azure 虛擬桌面的 Azure 機密運算 VM 與 支援的作業系統相容。 使用 Azure 虛擬桌面部署機密 VM 可讓使用者存取使用硬體型隔離的會話主機上的 Microsoft 365 和其他應用程式,以強化與其他虛擬機、Hypervisor 和主機 OS 的隔離。 這些虛擬桌面是由最新的第三代(Gen 3)進階微型裝置(AMD)EPYC™ 處理器所提供,具有安全加密虛擬化安全巢狀分頁(SEV-SNP)技術。 記憶體加密金鑰是由 AMD CPU 內無法從軟體讀取的專用安全處理器所產生及保護。 如需詳細資訊,請參閱 Azure 機密運算概觀。
支援下列作業系統,以作為具有 Azure 虛擬桌面上機密 VM 的工作階段主機:
- Windows 11 企業版 版本 22H2
- Windows 11 企業版 多會話版本 22H2
- Windows Server 2022
- Windows Server 2019
當您建立主機集區或將會話主機新增至主機集區時,您可以使用機密 VM 來建立會話主機。
OS 磁碟加密
加密作業系統磁碟是額外的加密層,會將磁碟加密密鑰系結至機密運算 VM 的信任平台模組 (TPM)。 此加密可讓磁碟內容只能存取 VM。 完整性監視可讓 VM 開機完整性的密碼編譯證明和驗證,並在 VM 未開機時監視警示,因為證明因定義的基準失敗。 如需完整性監視的詳細資訊,請參閱整合 適用於雲端的 Microsoft Defender。 當您建立主機集區或將會話主機新增至主機集區時,您可以使用機密 VM 建立會話主機時,啟用機密計算加密。
安全開機
安全開機是平臺韌體支援的模式,可保護您的韌體免於惡意代碼型 Rootkit 和開機套件。 此模式只允許已簽署的作業系統和驅動程式開機。
使用遠程證明監視開機完整性
遠程證明是檢查 VM 健康情況的絕佳方式。 遠程證明會確認測量開機記錄是否存在、真實且源自虛擬信任平台模組 (vTPM)。 作為健康情況檢查,它會提供平臺正確啟動的密碼編譯確定性。
vTPM
vTPM 是硬體信賴平台模組 (TPM) 的虛擬化版本,每個 VM 的 TPM 虛擬實例。vTPM 藉由執行 VM 整個開機鏈結的完整性測量來啟用遠端證明(UEFI、OS、系統和驅動程式)。
建議您讓 vTPM 在 VM 上使用遠程證明。 啟用 vTPM 后,您也可以使用 Azure 磁碟加密 啟用 BitLocker 功能,以提供完整磁碟區加密來保護待用數據。 任何使用 vTPM 的功能都會造成系結至特定 VM 的秘密。 當使用者在集區案例中連線到 Azure 虛擬桌面服務時,可以將使用者重新導向至主機集區中的任何 VM。 視功能的設計方式而定,這可能會造成影響。
注意
BitLocker 不應該用來加密儲存 FSLogix 設定檔數據的特定磁碟。
虛擬化型安全性
虛擬化型安全性 (VBS) 會使用 Hypervisor 來建立和隔離 OS 無法存取的安全記憶體區域。 Hypervisor 保護的程式代碼完整性 (HVCI) 和 Windows Defender Credential Guard 都使用 VBS 來提供弱點的增強保護。
Hypervisor 保護的程序代碼完整性
HVCI 是功能強大的系統防護功能,使用 VBS 來保護 Windows 核心模式進程,以防止插入和執行惡意或未驗證的程序代碼。
Windows Defender Credential Guard
啟用 Windows Defender Credential Guard。 Windows Defender Credential Guard 會使用 VBS 來隔離及保護秘密,讓只有特殊許可權的系統軟體可以存取它們。 這可防止未經授權存取這些秘密和認證竊取攻擊,例如傳遞哈希攻擊。 如需詳細資訊,請參閱 Credential Guard 概觀。
Windows Defender 應用程式控制
啟用 Windows Defender 應用程式控制。 Windows Defender 應用程控的設計目的是保護裝置抵禦惡意代碼和其他不受信任的軟體。 它可確保只有您知道的已核准程式代碼可以執行,以防止惡意代碼執行。 如需詳細資訊,請參閱 Windows 應用程控。
注意
使用 Windows Defender 存取控制 時,建議只在裝置層級以原則為目標。 雖然可以將原則設為個別用戶的目標,但一旦套用原則,它就會同樣影響裝置上的所有使用者。
Windows Update
使用來自 Windows Update 的更新,讓您的會話主機保持最新狀態。 Windows Update 提供安全的方式,讓您的裝置保持最新狀態。 其端對端保護可防止操作通訊協定交換,並確保更新只包含已核准的內容。 您可能需要更新某些受保護環境的防火牆和 Proxy 規則,才能正確存取 Windows 更新。 如需詳細資訊,請參閱 Windows Update 安全性。
其他 OS 平臺上的遠端桌面用戶端和更新
您可以用來存取其他 OS 平臺上 Azure 虛擬桌面服務的遠端桌面用戶端軟體更新會根據其各自平臺的安全策略進行保護。 所有用戶端更新都會由其平臺直接傳遞。 如需詳細資訊,請參閱每個應用程式的個別市集頁面:
下一步
- 瞭解如何 設定多重要素驗證。
- 針對 Azure 虛擬桌面部署套用 零信任 原則。