Proteggere host e applicazioni di sessione
I clienti possono eseguire diverse azioni e utilizzare più strumenti per proteggere la distribuzione di Desktop virtuale Azure. La tabella seguente elenca alcune procedure consigliate testate per proteggere la distribuzione di Desktop virtuale Azure.
| Procedura consigliata | Risultato |
|---|---|
| Abilitare Microsoft Defender for Cloud per le funzionalità Cloud Security Posture Management (CSPM) | Usare la funzionalità CSPM del punteggio di sicurezza per migliorare la sicurezza generale. |
| Richiedere l'autenticazione a più fattori | Migliorare l'autenticazione degli utenti. |
| Abilitare l'accesso condizionale | Gestire i rischi prima di concedere l'accesso agli utenti. |
| Raccogliere i log di controllo | Esaminare l'attività degli utenti e degli amministratori. |
| Usare RemoteApp | Ridurre i rischi consentendo all'utente di usare solo una parte del computer remoto esposto. |
| Monitorare l'utilizzo con Monitoraggio di Azure | Creare avvisi di integrità dei servizi per ricevere notifiche per il servizio Desktop virtuale Azure. |
| Abilitare la protezione degli endpoint | Proteggere la distribuzione da malware noto. |
| Installare un prodotto di rilevamento e reazione dagli endpoint (EDR) | Usare EDR per fornire funzionalità di rilevamento e reazione avanzate. |
| Abilitare le valutazioni di gestione di minacce e vulnerabilità | Identificare i problemi tramite valutazioni della vulnerabilità per i sistemi operativi server. |
| Correggere le vulnerabilità del software nell'ambiente | Quando viene identificata una vulnerabilità, in un ambiente virtuale o in locale, è necessario correggerla. |
| Stabilire il tempo di inattività massimo e i criteri di disconnessione | Disconnettere gli utenti quando sono inattivi per preservare le risorse e impedire l'accesso non autorizzato. |
| Bloccare la schermata di configurazione per le sessioni inattive | Impedire l'accesso indesiderato al sistema configurando Desktop virtuale Azure in modo da bloccare la schermata di un computer durante il tempo di inattività e richiedere l'autenticazione per sbloccarla. |
| Non concedere agli utenti l'accesso da amministratore ai desktop virtuali | Gestire i pacchetti software con Configuration Manager. |
| Valutare quali utenti dovrebbero accedere a quali risorse | Limitare la connessione host alle risorse Internet. |
| Limitare le funzionalità del sistema operativo | Rafforzare la sicurezza degli host di sessione. |
| Nei pool di host Desktop virtuale Azure, limitare il reindirizzamento dei dispositivi nelle proprietà RDP | Prevenire la perdita di dati. |
Abilitare la protezione degli endpoint usando Microsoft Defender per endpoint
Per proteggere gli endpoint di un'azienda, è consigliabile configurare Microsoft Defender per endpoint. In precedenza era denominato Windows Defender per endpoint. Microsoft Defender per endpoint in genere viene usato in locale, ma può essere utilizzato anche in un ambiente Virtual Desktop Infrastructure (VDI).
Per distribuire Microsoft Defender per endpoint nelle macchine virtuali di Desktop virtuale Azure, registrare le macchine virtuali in Microsoft Defender for Cloud. Defender for Cloud fornisce una licenza come parte dell'offerta standard.
Occorre inoltre utilizzare il provisioning automatico. Le impostazioni per il provisioning automatico in Defender for Cloud hanno un interruttore per ogni tipo di estensione supportata. Quando si abilita il provisioning automatico di un'estensione, si assegna il criterio DeployIfNotExists appropriato per garantire che il provisioning dell'estensione venga eseguito su tutte le risorse esistenti e future di quel tipo.
Nota
Abilitare il provisioning automatico dell'agente di Log Analytics. Quando il provisioning automatico è attivato per l'agente di Log Analytics, Defender for Cloud distribuisce l'agente in tutte le macchine virtuali di Azure supportate e in quelle nuove create.
Integrazione di Microsoft Endpoint Manager con Microsoft Intune
Microsoft 365 include il supporto per l'interfaccia di amministrazione di Microsoft Endpoint Manager e Microsoft Endpoint Configuration Manager.
È possibile usare Microsoft Intune per creare e verificare la conformità. È anche possibile usarlo per distribuire app, funzionalità e impostazioni nei dispositivi che usano Azure.
Microsoft Intune è integrato con l'ID Microsoft Entra per l'autenticazione e l'autorizzazione. Si integra anche con Azure Information Protection per la protezione dei dati. È possibile usare Microsoft Intune con la famiglia di prodotti Microsoft 365.
La tabella seguente descrive alcune delle funzionalità principali di Microsoft Intune.
| Funzionalità | Descrizione |
|---|---|
| Gestione dei dispositivi | I dispositivi registrati di proprietà dell'utente e dell'organizzazione in Microsoft Intune ricevono regole e impostazioni che vengono configurate per rispondere ai criteri di sicurezza dell'organizzazione. |
| Gestione delle app | Mobile Application Management in Microsoft Intune integra la gestione delle app nei dispositivi personali e nei dispositivi dell'organizzazione. |
| Conformità e accesso condizionale | Intune si integra con Microsoft Entra ID per abilitare un ampio set di scenari di controllo di accesso. |
Il controllo delle applicazioni non si basa su un modello di attendibilità delle applicazioni che presuppone che tutte le applicazioni siano attendibili. Il nuovo modello richiede che le applicazioni siano considerate attendibili prima di essere eseguite. Windows 10 include due tecnologie per il controllo delle applicazioni: Controllo di applicazioni di Windows Defender e AppLocker.
Controllo di applicazioni di Windows Defender
Windows 10 ha introdotto Controllo di applicazioni di Windows Defender. Le organizzazioni possono usare questa funzionalità per controllare i driver e le applicazioni che è possibile eseguire nei client Windows 10.
Inizialmente in Windows 10, Controllo di applicazioni Windows Defender era noto come l'integrità del codice configurabile. L'integrità del codice configurabile non impone requisiti specifici per hardware o software se non l'esecuzione di Windows 10. Inoltre, era una delle funzionalità che includeva Device Guard, che è stato ritirato.
AppLocker
È consigliabile usare AppLocker nell'ambito della strategia generale di controllo delle applicazioni. Consente l'esecuzione di applicazioni predefinite nei sistemi in uso.
Le regole di restrizione dei criteri di controllo di AppLocker si basano su quanto segue:
- Attributi di file come la firma digitale
- Nome del prodotto
- Nome del file
- Versione del file
Le regole predefinite bloccano molti script, pacchetti di Windows Installer e file eseguibili.
AppLocker include regole predefinite per ogni raccolta regole al fine di garantire che i file necessari per il corretto funzionamento di Windows siano consentiti in una raccolta regole di AppLocker. Inoltre, le regole predefinite consentono ai membri del gruppo di amministratori locale di eseguire tutti i file di Windows Installer. Le regole predefinite sono le seguenti:
- Consenti ai membri del gruppo Everyone di eseguire file di Windows Installer con firma digitale.
- Consenti ai membri del gruppo Everyone di eseguire tutti i file di Windows Installer che si trovano nella cartella Windows\Installer.
- Consenti ai membri del gruppo di amministratori locale di eseguire tutti gli script.
Una raccolta regole di AppLocker funziona come un elenco di file consentito. È possibile eseguire solo i file indicati nella raccolta regole. Questa configurazione rende più semplice determinare cosa succederà quando viene applicata una regola di AppLocker. Poiché AppLocker funziona come un elenco di file consentito per impostazione predefinita, se nessuna regola consente o nega esplicitamente l'esecuzione di un file, l'azione di negazione predefinita di AppLocker bloccherà il file.