Azure 虛擬桌面是受控虛擬桌面服務,其中包含許多安全性功能,可確保貴組織的安全。 Azure 虛擬桌面的架構包含許多元件,這些元件組成了將用戶連線到其桌面和應用程式的服務。
Azure 虛擬桌面有許多內建的進階安全性功能,例如不需要開啟任何輸入網路埠的反向連線,這可降低遠端桌面可從任何地方存取的風險。 此服務也受益於 Azure 的許多其他安全性功能,例如多重要素驗證和條件式存取。 本文說明不論您是否為組織中的使用者或外部使用者提供桌面和應用程式,您都可以以系統管理員身分採取的步驟來保護 Azure 虛擬桌面部署的安全。
共用安全性責任
在 Azure 虛擬桌面之前,遠端桌面服務等內部部署虛擬化解決方案需要將閘道、Broker、Web 存取等角色的存取權授與使用者。 這些角色必須完全備援且能夠處理尖峰容量。 系統管理員會將這些角色安裝為 Windows Server作系統的一部分,而且必須與公用聯機可存取的特定埠一起加入網域。 為了確保部署安全,系統管理員必須持續確定基礎結構中的所有專案都已維護並保持最新狀態。
不過,在大部分的雲端服務中,Microsoft與客戶或合作夥伴之間有一 組共同的安全性責任 。 針對 Azure 虛擬桌面,大部分元件都Microsoft管理,但會話主機和一些支援服務和元件是由客戶管理或合作夥伴管理。 若要深入瞭解 Azure 虛擬桌面Microsoft受控元件,請參閱 Azure 虛擬桌面服務架構和復原能力。
雖然某些元件已針對您的環境受到保護,但您必須自行設定其他區域,以符合組織或客戶的安全性需求。 以下是您負責 Azure 虛擬桌面部署中安全性的元件:
| 元件 | 責任 |
|---|---|
| 身分識別 | 客戶或合作夥伴 |
| (行動裝置和電腦) 的用戶裝置 | 客戶或合作夥伴 |
| 應用程式安全性 | 客戶或合作夥伴 |
| 會話主機作系統 | 客戶或合作夥伴 |
| 部署組態 | 客戶或合作夥伴 |
| 網路控制件 | 客戶或合作夥伴 |
| 虛擬化控制平面 | Microsoft |
| 實體主機 | Microsoft |
| 實體網路 | Microsoft |
| 實體數據中心 | Microsoft |
安全性界限
安全性界限會以不同信任層級來分隔安全性網域的程式代碼和數據。 例如,核心模式與使用者模式之間通常會有安全性界限。 大部分的Microsoft軟體和服務都相依於多個安全性界限,以隔離網路上的裝置、虛擬機 (VM) ,以及裝置上的應用程式。 下表列出 Windows 的每個安全性界限,以及它們對於整體安全性所做的動作。
| 安全性界限 | 描述 |
|---|---|
| 網路界限 | 未經授權的網路端點無法存取或竄改客戶裝置上的程式代碼和數據。 |
| 核心界限 | 非系統管理的使用者模式程式無法存取或竄改核心程式代碼和數據。 系統管理員對核心不是安全性界限。 |
| 進程界限 | 未經授權的使用者模式進程無法存取或竄改另一個進程的程式代碼和數據。 |
| AppContainer 沙盒界限 | 以 AppContainer 為基礎的沙箱進程無法根據容器功能,存取或竄改沙盒外部的程式代碼和數據。 |
| 用戶界限 | 未經授權,用戶無法存取或竄改另一位使用者的程式代碼和數據。 |
| 會話界限 | 未經授權,用戶會話無法存取或竄改另一個使用者會話。 |
| 網頁瀏覽器界限 | 未經授權的網站無法違反相同來源原則,也無法存取或竄改 Microsoft Edge 網頁瀏覽器沙箱的原生程式代碼和數據。 |
| 虛擬機界限 | 未經授權的 Hyper-V 客體虛擬機無法存取或竄改另一部客體虛擬機的程式代碼和數據;這包括 Hyper-V 隔離容器。 |
| VSM) 界限 (虛擬安全模式 | 在 VSM 信任進程或記憶體保護區外部執行的程式代碼無法存取或竄改受信任進程內的數據和程序代碼。 |
Azure 虛擬桌面案例的建議安全性界限
您也必須依案例對安全性界限做出特定選擇。 例如,如果您組織中的使用者需要本機系統管理員許可權才能安裝應用程式,您必須為其提供個人桌面,而不是共用會話主機。 我們不建議在多重會話集區案例中為使用者提供本機系統管理員許可權,因為這些使用者可以跨越會話或 NTFS 數據許可權的安全性界限、關閉多重會話 VM,或執行可能會中斷服務或造成數據遺失的其他動作。
來自相同組織的使用者,例如具有不需要系統管理員許可權之應用程式的知識工作者,是多重會話會話主機的絕佳候選專案,例如 Windows 11 企業版 多重會話。 這些會話主機會降低您組織的成本,因為多位使用者可以共用單一 VM,且每個使用者只能有 VM 的額外負荷成本。 使用 FSLogix 之類的使用者配置檔管理產品,即可將主機集區中的任何 VM 指派給使用者,而不會注意到任何服務中斷。 這項功能也可讓您在離峰時段關閉 VM 等動作,將成本優化。
如果您的情況需要不同組織的用戶連線到您的部署,建議您針對 Active Directory 和 Microsoft Entra ID 等身分識別服務使用個別的租使用者。 我們也建議您為這些使用者提供個別的訂用帳戶,以裝載 Azure 虛擬桌面和 VM 等 Azure 資源。
在許多情況下,使用多重會話是降低成本的可接受方式,但我們是否建議它取決於同時存取共用多重會話實例的使用者之間的信任層級。 一般而言,屬於相同組織的使用者具有足夠且同意的信任關係。 例如,人員共同作業並可存取彼此個人資訊的部門或工作組是具有高度信任層級的組織。
Windows 會使用安全性界限和控制項,以確保會話之間隔離用戶進程和數據。 不過,Windows 仍可讓您存取使用者正在處理的實例。
多重會話部署將受益於安全性深入策略,該策略會新增更多安全性界限,以防止組織內外的使用者未經授權存取其他用戶的個人資訊。 發生未經授權的數據存取是因為系統管理員在設定程式中發生錯誤,例如未公開的安全性弱點或尚未修補的已知弱點。
我們不建議將相同多重會話環境的存取權授與為不同或競爭公司工作的使用者。 這些案例有數個可能會受到攻擊或濫用的安全性界限,例如網路、核心、進程、使用者或會話。 單一安全性弱點可能會導致未經授權的數據和認證竊取、個人資訊外洩、身分識別竊取和其他問題。 虛擬化環境提供者負責盡可能提供設計良好的系統,並啟用多個強大的安全性界限和額外的安全性功能。
若要減少這些潛在威脅,需要有容錯設定、修補程式管理設計程式,以及一般的修補程式部署排程。 最好遵循深層防禦原則,並將環境分開。
下表摘要說明我們對每個案例的建議。
| 信任層級案例 | 建議的解決方案 |
|---|---|
| 一個組織中具有標準許可權的使用者 | 使用 Windows Enterprise 多重會話作系統 (OS) 。 |
| 使用者需要系統管理許可權 | 使用個人主機集區,並將自己的會話主機指派給每個使用者。 |
| 來自不同組織連線的使用者 | 個別的 Azure 租使用者和 Azure 訂用帳戶 |
Azure 安全性最佳做法
Azure 虛擬桌面是 Azure 下的一項服務。 若要將 Azure 虛擬桌面部署的安全性最大化,您也應該確保保護周圍的 Azure 基礎結構和管理平面。 若要保護您的基礎結構,請考慮 Azure 虛擬桌面如何融入您較大的 Azure 生態系統。 若要深入瞭解 Azure 生態系統,請參閱 Azure 安全性最佳做法和模式。
現今的威脅環境需要以安全性方法為考慮的設計。 在理想情況下,您會想要建置一系列的安全性機制和控制,並在整個計算機網路中進行分層控制,以保護您的數據和網路不受入侵或攻擊。 這種類型的安全性設計是 美國 網路安全性與基礎結構安全機構 (CISA) 深層呼叫防禦。
下列各節包含保護 Azure 虛擬桌面部署的建議。
啟用雲端 Microsoft Defender
建議您啟用雲端增強式安全性功能的 Microsoft Defender,以:
- 管理弱點。
- 評估PCI安全性標準委員會等常見架構的合規性。
- 加強環境的整體安全性。
若要深入瞭解,請 參閱啟用增強式安全性功能。
改善您的安全分數
安全分數提供改善整體安全性的建議和最佳做法建議。 這些建議的優先順序可協助您挑選最重要的建議,而 [快速修正] 選項可協助您快速解決潛在的弱點。 這些建議也會隨著時間更新,讓您掌握維護環境安全性的最佳方式。 若要深入瞭解,請參閱改善雲端 Microsoft Defender 的安全分數。
需要多重要素驗證
在 Azure 虛擬桌面中要求所有使用者和系統管理員進行多重要素驗證,可改善整個部署的安全性。 若要深入瞭解,請參閱為 Azure 虛擬桌面啟用 Microsoft Entra 多重要素驗證。
啟用條件式存取
啟用 條件式存取 可讓您在將 Azure 虛擬桌面環境的存取權授與使用者之前,先管理風險。 決定要授與存取權的使用者時,建議您也考慮使用者是誰、他們登入的方式,以及他們使用的裝置。
收集稽核記錄
啟用稽核記錄收集可讓您檢視與 Azure 虛擬桌面相關的使用者和系統管理活動。 關鍵稽核記錄的一些範例包括:
使用 Azure 監視器來監視使用情況
使用 Azure 監視器監視 Azure 虛擬桌面服務的使用量和可用性。 請考慮為 Azure 虛擬桌面服務建立 服務健康情況警示 ,以在發生影響服務的事件時接收通知。
加密會話主機
使用受控 磁碟加密選項 來加密會話主機,以保護預存數據免於未經授權的存取。
會話主機安全性最佳做法
會話主機是在 Azure 訂用帳戶和虛擬網路內執行的虛擬機。 Azure 虛擬桌面部署的整體安全性取決於您在會話主機上所放置的安全性控制。 本節說明保護會話主機安全的最佳做法。
啟用端點保護
若要保護您的部署免於遭受已知的惡意軟體攻擊,建議您在所有會話主機上啟用端點保護。 您可以使用 Windows Defender 防毒軟體 或第三方程式。 如需詳細資訊,請參閱 VDI 環境中的 Windows Defender 防毒軟體 部署指南。
針對 FSLogix 之類的配置檔解決方案或其他掛接虛擬硬碟檔案的解決方案,建議您排除這些擴展名。 如需 FSLogix 排除專案的詳細資訊,請 參閱設定防病毒軟體檔案和資料夾排除專案。
安裝端點偵測和響應產品
建議您安裝端點偵測和回應 (EDR) 產品,以提供進階偵測和回應功能。 針對已啟用 Microsoft Defender for Cloud 的伺服器作系統,安裝 EDR 產品將會部署 適用於端點的 Microsoft Defender。 針對用戶端作系統,您可以將 適用於端點的 Microsoft Defender 或第三方產品部署到這些端點。
啟用威脅與弱點管理評估
找出作系統和應用程式中存在的軟體弱點,對於確保您的環境安全至關重要。 Microsoft Defender 雲端可協助您透過 適用於端點的 Microsoft Defender 的 威脅與弱點管理 解決方案來識別問題點。 如果您非常喜歡,您也可以使用第三方產品,不過我們建議您針對雲端和 適用於端點的 Microsoft Defender 使用 Microsoft Defender。
修補環境中的軟體弱點
一旦您識別出弱點,就必須加以修補。 這也適用於虛擬環境,包括執行中的作系統、部署在其中的應用程式,以及您從中建立新機器的映像。 遵循廠商修補通知通訊,並及時套用修補程式。 建議您每月修補基本映像,以確保新部署的機器盡可能安全。
建立非使用中時間上限和中斷連線原則
當使用者處於非作用中狀態時,將使用者註銷會保留資源,並防止未經授權的使用者存取。 建議您在用戶生產力和資源使用量上進行逾時。 對於與無狀態應用程式互動的使用者,請考慮更積極的原則來關閉機器並保留資源。 中斷使用者閑置時繼續執行的長時間執行應用程式,例如模擬或 CAD 轉譯,可能會中斷使用者的工作,甚至可能需要重新啟動電腦。
設定閑置會話的屏幕鎖定
您可以設定 Azure 虛擬桌面在空閒時間鎖定電腦的畫面,並要求驗證以解除鎖定計算機,以避免不必要的系統存取。
建立階層式系統管理員存取
建議您不要將虛擬桌面的系統管理員存取權授與使用者。 如果您需要軟體套件,建議您透過組態管理公用程式提供這些套件,例如 Microsoft Intune。 在多重會話環境中,建議您不要讓使用者直接安裝軟體。
考量哪些使用者應該存取哪些資源
請將會話主機視為現有桌面部署的延伸模組。 我們建議您以與在環境中其他桌面相同的方式來控制網路資源的存取,例如使用網路分割和篩選。 根據預設,會話主機可以連線到因特網上的任何資源。 有數種方式可以限制流量,包括使用 Azure 防火牆、網路虛擬設備或 Proxy。 如果您需要限制流量,請務必新增適當的規則,讓 Azure 虛擬桌面能夠正常運作。
管理 Microsoft 365 應用程式安全性
除了保護會話主機之外,也請務必保護在其中執行的應用程式。 Microsoft 365 應用程式是部署在會話主機中的一些最常見應用程式。 若要改善 Microsoft 365 部署安全性,建議您使用適用於 Microsoft 365 Apps 企業版 的安全策略建議程式。 此工具會識別您可以套用至部署以取得更多安全性的原則。 安全策略建議程式也會根據原則對安全性和生產力的影響來建議原則。
使用者配置檔安全性
使用者配置檔可以包含敏感性資訊。 您應該限制可存取使用者配置檔的人員及其存取方法,特別是當您使用 FSLogix 配置檔容器 將使用者配置檔儲存在 SMB 共用的虛擬硬碟檔案中時。 您應該遵循SMB共用提供者的安全性建議。 例如,如果您使用 Azure 檔案儲存體 來儲存這些虛擬硬碟檔案,您可以使用私人端點,使其只能在 Azure 虛擬網路記憶體取。
會話主機的其他安全性秘訣
藉由限制作系統功能,您可以加強會話主機的安全性。 以下是您可以執行的一些動作:
在遠端桌面會話中將磁碟驅動器、印表機和 USB 裝置重新導向至使用者的本機裝置,以控制裝置重新導向。 建議您評估安全性需求,並檢查這些功能是否停用。
隱藏本機和遠端磁碟驅動器對應,以限制 Windows 檔案總管存取。 這可防止使用者探索有關系統設定和使用者的不必要資訊。
避免直接 RDP 存取環境中的會話主機。 如果您需要直接 RDP 存取以進行系統管理或疑難解答,請啟用 Just-In-Time 存取,以限制會話主機上的潛在受攻擊面。
在使用者存取本機和遠端檔案系統時,授與使用者有限的許可權。 您可以藉由確定本機和遠端檔案系統使用最低許可權的存取控制清單來限制許可權。 如此一來,使用者就只能存取所需的專案,而且無法變更或刪除重要資源。
防止不想要的軟體在會話主機上執行。 RemoteApp 不是安全性功能,其使用方式不會防止應用程式啟動,而非發佈至應用程式群組的應用程式。 若要確保只有您允許的應用程式可以在會話主機上執行,您可以使用 App Control 或 AppLocker 等 Windows 功能的應用 程控 。
信任的啟動
受信任的啟動是具有增強式安全性功能的 Azure VM,旨在透過 rootkit、開機套件和核心層級惡意代碼等攻擊媒介來防範持續性攻擊技術,例如堆疊底端威脅。 它可讓您安全地部署具有已驗證開機載入器、OS 核心和驅動程式的 VM,也可保護 VM 中的密鑰、憑證和秘密。 若要深入瞭解受信任的啟動,請參閱 Azure 虛擬機的信任啟動。
當您使用 Azure 入口網站 新增會話主機時,預設安全性類型為 [信任的虛擬機]。 這可確保您的 VM 符合 Windows 11 的必要需求。 如需這些需求的詳細資訊,請參閱 虛擬機支援。
Azure 機密運算虛擬機
Azure 機密運算虛擬機的 Azure 虛擬桌面支援可確保使用者的虛擬桌面會在記憶體中加密、在使用中受到保護,並受到硬體信任根目錄的支援。
使用 Azure 虛擬桌面部署機密虛擬機,可讓使用者存取使用硬體型隔離的會話主機上Microsoft 365 和其他應用程式,進而強化與其他虛擬機、Hypervisor 和主機 OS 的隔離。 記憶體加密金鑰是由 CPU 內無法從軟體讀取的專用安全處理器所產生和保護。 如需詳細資訊,包括可用的 VM 大小,請參閱 Azure 機密運算概觀。
下列作系統可作為 Azure 虛擬桌面上機密虛擬機的會話主機使用,適用於使用中支援的版本。 如需支援日期,請參閱Microsoft生命周期原則。
- Windows 11 企業版
- Windows 11 企業版多工作模式
- Windows 10 企業版
- Windows 10 企業版多工作階段
- Windows Server 2022
- Windows Server 2019
當您 部署 Azure 虛擬桌面 或將 會話主機新增至主機集區時,可以使用機密虛擬機建立會話主機。
作系統磁碟加密
加密作系統磁碟是額外的加密層,可將磁碟加密密鑰系結至機密運算 VM 的信任平臺模組 (TPM) 。 此加密讓磁碟內容只能供 VM 存取。 完整性監視允許密碼編譯證明和驗證 VM 開機完整性和監視警示,如果 VM 未開機,因為證明失敗與已定義的基準。 如需完整性監視的詳細資訊,請參閱雲端整合 Microsoft Defender。 當您 建立主機集 區或將會話主機新增至 主機集區時,可以使用機密 VM 建立會話主機時,啟用機密計算加密。
安全開機
安全開機是平臺韌體支援的一種模式,可保護您的韌體免於遭受以惡意代碼為基礎的rootkit和開機套件。 此模式只允許已簽署的作系統和驅動程式開機。
使用遠程證明監視開機完整性
遠程證明是檢查 VM 健康情況的絕佳方式。 遠程證明會驗證測量的開機記錄是否存在、正版,且源自 vTPM) (虛擬信任平台模組。 作為健康情況檢查,它會提供平臺正確啟動的密碼編譯確定性。
vTPM
vTPM 是硬體信賴平臺模組的虛擬化版本, (TPM) ,每個 VM 具有 TPM 的虛擬實例。vTPM 可藉由對 VM (UEFI、OS、系統和驅動程式) 的整個開機鏈結執行完整性測量,來啟用遠程證明。
建議您讓 vTPM 在 VM 上使用遠程證明。 啟用 vTPM 后,您也可以使用 Azure 磁碟加密來啟用 BitLocker 功能,以提供完整磁碟區加密來保護待用數據。 使用 vTPM 的任何功能都會導致秘密系結至特定 VM。 當使用者在集區案例中連線到 Azure 虛擬桌面服務時,可以將使用者重新導向至主機集區中的任何 VM。 視功能的設計方式而定,這可能會造成影響。
注意事項
BitLocker 不應用來加密儲存 FSLogix 設定檔數據的特定磁碟。
虛擬化型安全性
虛擬化型安全性 (VBS) 使用 Hypervisor 來建立和隔離 OS 無法存取的安全記憶體區域。 Hypervisor-Protected 程式代碼完整性 (HVCI) 和 Windows Defender Credential Guard 都使用 VBS 來提供更高的保護,以防止弱點。
Hypervisor-Protected 程式代碼完整性
HVCI 是功能強大的系統防護功能,可使用 VBS 來保護 Windows 核心模式程式,避免插入和執行惡意或未經驗證的程序代碼。
Windows Defender Credential Guard
啟用 Windows Defender Credential Guard。 Windows Defender Credential Guard 會使用 VBS 來隔離和保護秘密,讓只有具特殊許可權的系統軟體可以存取秘密。 這可防止未經授權存取這些秘密和認證竊取攻擊,例如傳遞哈希攻擊。 如需詳細資訊,請參閱 Credential Guard 概觀。
Windows Defender 應用程式控制
啟用 Windows Defender 應用程控。 Windows Defender 應用程控的設計目的是要保護裝置免於遭受惡意代碼和其他不受信任的軟體攻擊。 它可確保只能執行您知道的已核准程序代碼,以防止惡意代碼執行。 如需詳細資訊,請 參閱適用於 Windows 的應用程控。
注意事項
使用 Windows Defender 存取控制 時,我們建議只以裝置層級的原則為目標。 雖然可以將原則目標設為個別使用者,但套用原則之後,它同樣會影響裝置上的所有使用者。
Windows Update
使用來自 Windows Update 的更新,讓您的會話主機保持在最新狀態。 Windows Update 提供安全的方式,讓您的裝置保持在最新狀態。 其端對端保護可防止作通訊協定交換,並確保更新只包含已核准的內容。 您可能需要更新某些受保護環境的防火牆和 Proxy 規則,才能正確存取 Windows 匯報。 如需詳細資訊,請參閱 Windows Update 安全性。
遠端桌面用戶端和其他OS平臺上的更新
您可以用來存取其他OS平臺上 Azure 虛擬桌面服務的遠端桌面用戶端軟體更新,會根據其各自平臺的安全策略受到保護。 所有用戶端更新都是由其平臺直接傳遞。 如需詳細資訊,請參閱每個應用程式的個別市集頁面:
後續步驟
- 瞭解如何 設定多重要素驗證。
- 針對 Azure 虛擬桌面部署套用 零信任 原則。