Digitale forensische en Windows 365 Enterprise Cloud-pc's

Net als fysieke apparaten kunnen Windows 365 Enterprise Cloud-pc's worden geïmplementeerd, beveiligd en beheerd met behulp van Microsoft Intune. Als onderdeel van het eigendom van de pc wordt u mogelijk gevraagd cloud-pc's in te dienen bij interne of externe partijen om digitale forensische gegevens uit te voeren. Digitaal forensisch onderzoek is de wetenschap die zich richt op het herstellen en onderzoeken van digitale gegevens ter ondersteuning van strafrechtelijke onderzoeken of civiele procedures.

Ter ondersteuning van deze forensische gegevens biedt Windows 365 de mogelijkheid om een cloud-pc te controleren. Met deze actie wordt een momentopname van de cloud-pc veilig opgeslagen in het Azure Storage-account van de klant. Wanneer de klant naar dat account wordt overgedragen, is de momentopname volledig eigendom. Om de manipulatie van de momentopname duidelijk te maken, moet de klant een bestands-hash van de momentopname maken zodra de momentopname is opgeslagen in het Azure Storage-account.

Onderzoekers kunnen schijfkopieën van de cloud-pc-momentopname koppelen en deze overdragen naar een beveiligd opslagaccount dat is toegewezen aan forensische analyse. Dit proces kan worden uitgevoerd zonder de oorspronkelijke cloud-pc opnieuw te maken, in te schakelen of te openen.

Scenario's

Mogelijk moet u een cloud-pc controleren voor een van deze scenario's:

1. Een aanvraag van een intern SOC-team (Security Operation Center).
2. Een reactie op een verzoek van een interne of externe externe externe auditor.
3. Als reactie op een lopend of lopend juridisch onderzoek.

Overwegingen voor digitale forensische gegevens

In reactie op juridische aanvragen voor gegevens die zijn opgeslagen op een cloud-pc, moeten beheerders bevestigen dat het digitale bewijs dat ze verstrekken een geldige Chain of Custody (CoC) aantoont tijdens het proces voor het verkrijgen, bewaren en openen van bewijs. Daarom moeten beheerders ervoor zorgen dat ze voldoende ondersteuning bieden voor:

• Toegangsbeheer. Zie Best practices voor Azure RBAC en Beginnen met het gebruik van Privileged Identity Management voor meer informatie over Just-In-Time-toegangsbeheer.
• Gegevensbescherming en integriteit. Alleen het virtuele netwerk in het toegewezen abonnement met de momentopname heeft toegang tot het opslagaccount en de sleutelkluis waarmee het bewijs wordt gearchiveerd. Zie Microsoft Purview-klantsleutel voor Windows 365 Cloud-pc's voor meer informatie
• Bewaking en waarschuwingen. Zie Waarschuwing over bevoorrechte Azure-roltoewijzing voor meer informatie
• Logboekregistratie en controle, scheiding van taken. Alleen de kleine lijst met beheerders met toegang tot het opslagaccount kan onderzoekers tijdelijke toegang verlenen (die is vastgelegd en goedgekeurd) tot het bewijsmateriaal.

Volgende stappen

Controleer een cloud-pc.

Zie Computer forensics chain of custody in Azure voor meer informatie over de ondersteuning van Microsoft voor digitaal onderzoek.