Sichere Sitzungshosts und Anwendungen
Kunden können mehrere Maßnahmen ergreifen und verschiedene Tools verwenden, um für die Sicherheit ihrer Azure Virtual Desktop-Bereitstellung zu sorgen. In der folgenden Tabelle sind einige getestete Methoden zum Sichern der Azure Virtual Desktop-Bereitstellung aufgeführt.
| Bewährte Methode | Ergebnis |
|---|---|
| Aktivieren von Microsoft Defender für Cloud für seine Features „Cloud Security Posture Management (CSPM)“ | Verwenden Sie das CSPM-Feature der Sicherheitsbewertung, um die allgemeine Sicherheit zu erhöhen. |
| Mehrstufige Authentifizierung erfordern | Erhöhen Sie die Sicherheit der Benutzerauthentifizierung. |
| Aktivieren von bedingtem Zugriff | Managen Sie Risiken, bevor Sie Benutzern Zugriff gewähren. |
| Erfassen von Überwachungsprotokollen | Überprüfen Sie Benutzer- und Administratoraktivitäten. |
| RemoteApp verwenden | Verringern Sie Risiken, indem Sie Benutzern die Arbeit mit nur einem Teil des Remotecomputers gestatten. |
| Überwachen der Nutzung mit Azure Monitor | Erstellen Sie Warnungen zum Dienststatus, um Benachrichtigungen für den Azure Virtual Desktop-Dienst zu erhalten. |
| Aktivieren des Endpunktschutzes | Schützen Sie Ihre Bereitstellung vor bekannter Schadsoftware. |
| Installieren eines EDR -Produkts (Endpoint Detection and Response, Endpunkterkennung und -reaktion) | Verwenden Sie EDR, um erweiterte Erkennungs- und Reaktionsfunktionen bereitzustellen. |
| Aktivieren der Bewertung des Bedrohungs- und Sicherheitsrisikomanagements | Erleichtern Sie die Ermittlung von Problempunkten mithilfe von Sicherheitsrisikobewertungen für Serverbetriebssysteme. |
| Beheben von Software-Sicherheitsrisiken in Ihrer Umgebung | Wenn lokal oder in einer virtuellen Umgebung ein Sicherheitsrisiko erkannt wird, muss dieses Problem behoben werden. |
| Festlegen von Inaktivitätslimits und von Trennungsrichtlinien | Sehen Sie die Abmeldung von Benutzern vor, wenn sie inaktiv sind, um Ressourcen zu schützen und nicht autorisierten Zugriff zu verhindern. |
| Setupbildschirm für Leerlaufverbindungen sperren | Verhindern Sie unerwünschten Systemzugriff, indem Sie Azure Virtual Desktop so konfigurieren, dass der Bildschirm eines Computers während Leerlaufzeiten gesperrt wird und für die Aufhebung der Sperre eine Authentifizierung erforderlich ist. |
| Gewähren Sie Ihren Benutzern keinen Administratorzugriff auf virtuelle Desktops | Verwalten Sie Softwarepakete mithilfe von Configuration Manager. |
| Überlegen Sie, welche Benutzer auf welche Ressourcen zugreifen sollen | Beschränken Sie Hostverbindungen mit Internetressourcen. |
| Einschränken der Betriebssystemfunktionen | Erhöhen Sie die Sicherheit Ihrer Sitzungshosts. |
| Schränken Sie in den Azure Virtual Desktop-Hostpools die Geräteumleitung unter den RDP-Eigenschaften ein. | Beugen Sie Datenverlust vor. |
Aktivieren des Endpunktschutzes mithilfe von Microsoft Defender für Endpunkt
Um die Endpunkte eines Unternehmens zu schützen, empfiehlt es sich, Microsoft Defender für Endpunkt zu konfigurieren. Es war zuvor als Windows Defender für Endpunkt bekannt. Microsoft Defender für Endpunkt wird in der Regel lokal verwendet, kann aber auch in einer VDI-Umgebung (Virtuelle Desktopinfrastruktur) verwendet werden.
Registrieren Sie die VMs in Microsoft Defender für Cloud, um Microsoft Defender für Endpunkt auf Ihren Azure Virtual Desktop-VMs bereitzustellen. Defender für Cloud stellt eine Lizenz als Teil des Standardangebots bereit.
Sie sollten auch die automatische Bereitstellung nutzen. In den Einstellungen für die automatische Bereitstellung in Defender für Cloud gibt es einen Schalter für jeden unterstützten Erweiterungstyp. Wenn Sie die automatische Bereitstellung einer Erweiterung aktivieren, weisen Sie die entsprechende DeployIfNotExists-Richtlinie zu, um sicherzustellen, dass die Erweiterung auf allen vorhandenen und zukünftigen Ressourcen dieses Typs bereitgestellt wird.
Hinweis
Aktivieren Sie die automatische Bereitstellung des Log Analytics-Agents. Wenn die automatische Bereitstellung des Log Analytics-Agents aktiviert ist, stellt Defender für Cloud den Agent auf allen unterstützten sowie allen neu erstellten Azure-VMs bereit.
Integration von Microsoft Endpoint Manager mit Microsoft Intune
Microsoft 365 umfasst Unterstützung für das Microsoft Endpoint Manager Admin Center und für den Microsoft Endpoint Configuration Manager.
Sie können Microsoft Intune für die Erstellung und die Überprüfung der Compliance verwenden. Es kann auch verwendet werden, um Apps, Features und Einstellungen auf Ihren Geräten bereitzustellen, die Azure verwenden.
Microsoft Intune ist für die Authentifizierung und Autorisierung in Microsoft Entra ID integriert. Es kann auch in Azure Information Protection zum Schutz von Daten integriert werden. Sie können Microsoft Intune mit der Microsoft 365-Produktsuite verwenden.
In der folgenden Tabelle werden einige der Hauptfunktionen von Microsoft Intune beschrieben.
| Funktionalität | Beschreibung |
|---|---|
| Geräteverwaltung | Regeln und Einstellungen für benutzereigene und unternehmenseigene registrierte Geräte werden in Microsoft Intune über Richtlinien festgelegt, die Sie so konfigurieren können, dass sie den Sicherheitsrichtlinien Ihrer Organisation entsprechen. |
| App-Verwaltung | Die Verwaltung mobiler Anwendungen in Microsoft Intune ermöglicht die Verwaltung von Apps auf unternehmenseigenen sowie auf persönlichen Geräten. |
| Compliance und bedingter Zugriff | Intune ist in Microsoft Entra ID integriert, um eine breite Palette von Zugriffssteuerungsszenarien zu ermöglichen. |
Die Anwendungskontrolle löst sich von einem Modell der Vertrauenswürdigkeit von Anwendungen, bei dem davon ausgegangen wird, dass alle Anwendungen vertrauenswürdig sind. Das neue Modell setzt voraus, dass Anwendungen als vertrauenswürdig eingestuft werden, bevor sie ausgeführt werden können. Windows 10 bietet zwei Technologien für die Anwendungskontrolle: Windows Defender Application Control und AppLocker.
Windows Defender Application Control
Mit Windows 10 wurde Windows Defender Application Control eingeführt. Organisationen können mithilfe dieses Features die Treiber und Anwendungen kontrollieren, die auf ihren Windows 10-Clients ausgeführt werden können.
In Windows 10 wurde Windows Defender Application Control anfänglich als konfigurierbare Codeintegrität bezeichnet. Die konfigurierbare Codeintegrität setzt als einzige Hardware- oder Softwareanforderung voraus, dass Windows 10 ausgeführt wird. Dies war auch eines der Features, die den jetzt nicht mehr unterstützten Device Guard enthielten.
AppLocker
Es wird empfohlen, AppLocker in Ihre allgemeine Strategie zur Anwendungskontrolle zu integrieren. Dadurch können vordefinierte Anwendungen auf Ihren Systemen ausgeführt werden.
Einschränkungsregeln für AppLocker-Steuerungsrichtlinien basieren auf:
- Dateiattributen wie der digitalen Signatur
- Produktname
- Dateiname
- Dateiversion
Die Standardregeln blockieren viele Skripts, Windows Installer-Pakete und ausführbare Dateien.
AppLocker enthält Standardregeln für jede Regelsammlung, um sicherzustellen, dass die Dateien, die für das ordnungsgemäße Funktionieren von Windows erforderlich sind, in einer AppLocker-Regelsammlung zulässig sind. Die Standardregeln ermöglichen außerdem Mitgliedern der Gruppe der lokalen Administratoren, alle Windows Installer-Dateien auszuführen. Dies sind die Standardregeln:
- Mitglieder der Gruppe "Jeder" können digital signierte Windows Installer-Dateien ausführen.
- Mitglieder der Gruppe "Jeder" können alle Windows Installer-Dateien ausführen, die sich im Ordner "Windows\Installer" befinden.
- Mitglieder der Gruppe der lokalen Administratoren können alle Skripts ausführen.
Eine AppLocker-Regelsammlung fungiert als Liste zulässiger Dateien. Nur die in der Regelsammlung aufgeführten Dateien können ausgeführt werden. Durch diese Konfiguration lässt sich einfacher bestimmen, was passiert, wenn eine AppLocker-Regel angewendet wird. Da AppLocker standardmäßig als eine Liste zulässiger Elemente fungiert, wird, wenn keine Regel die Ausführung einer Datei explizit zulässt oder untersagt, die Datei von der standardmäßigen Sperraktion von AppLocker blockiert.