Aplicaciones y hosts de sesión seguros
Los clientes pueden realizar varias acciones y usar varias herramientas para ayudar a proteger su implementación de Azure Virtual Desktop. En la tabla siguiente se enumeran algunas sugerencias comprobadas para proteger la implementación de Azure Virtual Desktop.
| Procedimiento recomendado | Resultado |
|---|---|
| Habilitar Microsoft Defender for Cloud para sus características de administración de la posición de seguridad en la nube (CSPM) | Usar la característica CSPM de la puntuación de seguridad para mejorar su seguridad general. |
| Requerir la autenticación multifactor | Mejorar la autenticación de usuarios. |
| Habilitar acceso condicional | Administrar los riesgos antes de conceder acceso a los usuarios. |
| Recopilar registros de auditoría | Revisar la actividad del usuario y del administrador. |
| Usar RemoteApp | Reducir el riesgo al permitirle al usuario trabajar solo con un subconjunto de la máquina remota expuesta. |
| Supervisar el uso con Azure Monitor | Cree alertas de estado del servicio para recibir notificaciones del servicio de Azure Virtual Desktop. |
| Habilitar la protección de puntos de conexión | Proteger la implementación de malware conocido. |
| Instalar un producto de detección y respuesta de puntos de conexión (EDR) | Usar EDR para proporcionar capacidades avanzadas de detección y respuesta. |
| Habilitar las evaluaciones de administración de amenazas y vulnerabilidades | Ayudar a identificar puntos de problemas a través de las evaluaciones de vulnerabilidades de los sistemas operativos del servidor. |
| Corregir vulnerabilidades de software en su entorno | Cuando se identifica una vulnerabilidad, local o en un entorno virtual, debe corregirla. |
| Establecer directivas de tiempo máximo de inactividad y desconexión | Cerrar sesión de los usuarios cuando no puedan conservar recursos y evitar el acceso no autorizado. |
| Pantalla de configuración de bloqueo para sesiones inactivas | Para evitar el acceso al sistema no deseado, configure Azure Virtual Desktop para bloquear la pantalla de un equipo durante el tiempo de inactividad y exija autenticación para desbloquearla. |
| No conceder a los usuarios acceso de administrador a equipos de escritorio virtuales | Administrar paquetes de software con Configuration Manager. |
| Tener en cuenta qué usuarios deben tener acceso a los recursos | Limitar la conexión del host a los recursos de Internet. |
| Restringir las capacidades del sistema operativo | Reforzar la seguridad de los hosts de la sesión. |
| En los grupos de host de Azure Virtual Desktop, limitar el redireccionamiento de dispositivos en propiedades RDP. | Evitar la fuga de datos. |
Habilitar la protección de puntos de conexión con Microsoft Defender para punto de conexión
Para ayudar a proteger los puntos de conexión de una empresa, le recomendamos que configure Microsoft Defender para punto de conexión. Anteriormente se conocía como Windows Defender para el punto de conexión. Microsoft Defender para punto de conexión se suele usar en el entorno local, pero también se puede usar en un entorno de infraestructura de escritorio virtual (VDI).
Para implementar Microsoft Defender para punto de conexión en las máquinas virtuales de Azure Virtual Desktop, inscriba las máquinas virtuales en Microsoft Defender for Cloud. Defender for Cloud proporciona una licencia como parte de su oferta estándar.
También debe usar el aprovisionamiento automático. La configuración del aprovisionamiento automático en Defender for Cloud tiene un botón de alternancia para cada tipo de extensión compatible. Cuando habilita el aprovisionamiento automático de una extensión, asigna la directiva DeployIfNotExists apropiada para asegurarse de que la extensión se aprovisione a todos los recursos existentes y futuros de ese tipo.
Nota:
Habilite la aprovisionamiento automática del agente de análisis de registros. Cuando el aprovisionamiento automático está activado para el agente de análisis de registros, Defender for Cloud implementa el agente en todas las máquinas virtuales de Azure compatibles y en las nuevas que se crean.
Integración de Microsoft Endpoint Manager con Microsoft Intune
Microsoft 365 incluye compatibilidad para el centro de administración de Microsoft Endpoint Manager y Microsoft Endpoint Configuration Manager.
Puede usar Microsoft Intune para crear y comprobar el cumplimiento normativo. También puede usarla para implementar aplicaciones, características y opciones de configuración en los dispositivos que usan Azure.
Microsoft Intune se integra con el identificador de Microsoft Entra para la autenticación y autorización. También se integra con Azure Information Protection para la protección de datos. Puede usar Microsoft Intune con el conjunto de productos de Microsoft 365.
En la tabla siguiente se describen algunas de las principales funcionalidades de Microsoft Intune.
| Funcionalidad | Descripción |
|---|---|
| Administración de dispositivos | Los dispositivos inscritos en Microsoft Intune que pertenecen al usuario y a la organización reciben reglas y opciones de configuración mediante directivas que se configuran para que coincidan con las directivas de seguridad de su organización. |
| Administración de aplicaciones | La administración de aplicaciones móviles en Microsoft Intune puede aportar administración de aplicaciones en los dispositivos propiedad de la organización y en los dispositivos personales. |
| Cumplimiento y acceso condicional | Intune se integra con Microsoft Entra ID para habilitar un amplio conjunto de escenarios de control de acceso. |
El control de aplicaciones pasa de un modelo de confianza de aplicaciones en el que se supone que todas las aplicaciones son de confianza. El nuevo modelo requiere que las aplicaciones generen confianza antes de que puedan ejecutarse. Windows 10 incluye dos tecnologías para el control de aplicaciones: Control de aplicaciones de Windows Defender y AppLocker.
Control de aplicaciones de Windows Defender
Windows 10 introdujo el control de aplicaciones de Windows Defender. Las organizaciones pueden usar esta característica para controlar los controladores y aplicaciones que se pueden ejecutar en sus clientes con Windows 10.
Inicialmente en Windows 10, el control de aplicación de Windows Defender se conoce como integridad de código configurable. La integridad de código configurable no conlleva requisitos específicos de hardware o software distintos de la ejecución de Windows 10. También era una de las características que contenía el ahora obsoleto Device Guard.
AppLocker
Se recomienda usar AppLocker como parte de la estrategia general de control de aplicaciones. Permite que las aplicaciones predefinidas se ejecuten en los sistemas.
Las reglas de restricción de directivas de control de AppLocker se basan en:
- Atributos de archivo como la firma digital
- Nombre del producto
- Nombre de archivo
- Versión de archivo
Las reglas predeterminadas bloquean muchos scripts, paquetes de Windows Installer y archivos ejecutables.
AppLocker incluye reglas predeterminadas para cada colección de reglas, a fin de asegurarse de que los archivos necesarios para que Windows funcione correctamente están permitidos en una colección de reglas de AppLocker. Las reglas predeterminadas también permiten que los miembros del grupo local Administradores ejecuten todos los archivos de Windows Installer. Las reglas predeterminadas son las siguientes:
- Permitir que los miembros del grupo Todos los usuarios ejecuten archivos de Windows Installer firmados digitalmente.
- Permitir que los miembros del grupo Todos los usuarios ejecuten todos los archivos de Windows Installer ubicados en la carpeta Windows\Installer.
- Permitir que los miembros del grupo de administradores locales ejecuten todos los scripts.
Una función de la colección de reglas de AppLocker funciona como una lista de archivos permitidos. Solo se pueden ejecutar los archivos que se muestran en la colección de reglas. Esta configuración hace que sea más fácil determinar qué ocurrirá cuando se aplica una regla AppLocker. Dado que AppLocker funciona como lista permitida de forma predeterminada, si ninguna regla permite o deniega explícitamente la ejecución de un archivo, la acción de denegación predeterminada de AppLocker bloqueará el archivo.