Digital forensics and Windows 365 Enterprise Cloud PC (Cyfrowe badania kryminalistyczne i komputery w chmurze Windows 365 Enterprise)
Podobnie jak urządzenia fizyczne, komputery w chmurze Windows 365 Enterprise mogą być wdrażane, zabezpieczane i zarządzane przy użyciu Microsoft Intune. W ramach własności komputera może zostać wyświetlony monit o przesłanie komputerów w chmurze do wewnętrznych lub innych firm w celu przeprowadzenia analizy cyfrowej. Cyfrowa kryminalistyka to nauka, która zajmuje się odzyskiwaniem i badaniem danych cyfrowych w celu wspierania dochodzeń karnych lub postępowań cywilnych.
Aby wesprzeć te badania kryminalistyczne, Windows 365 oferuje możliwość umieszczenia komputera w chmurze pod przeglądem. Ta akcja umożliwia bezpieczne zapisanie migawki komputera w chmurze na koncie usługi Azure Storage klienta. Po przeniesieniu na to konto klient ma pełną własność migawki. Aby migawka była widoczna, klient powinien utworzyć skrót pliku migawki natychmiast po zapisaniu migawki na koncie usługi Azure Storage.
Badacze mogą dołączyć kopie dysków migawki komputera w chmurze i przenieść ją na bezpieczne konto magazynu przeznaczone do analizy kryminalistycznej. Ten proces można wykonać bez ponownego tworzenia, włączania lub uzyskiwania dostępu do oryginalnego źródłowego komputera w chmurze.
Scenariuszy
Być może trzeba będzie umieścić komputer w chmurze pod kątem dowolnego z następujących scenariuszy:
- Żądanie od zespołu centrum operacji zabezpieczeń wewnętrznych (SOC).
- Odpowiedź na żądanie od wewnętrznego lub zewnętrznego audytora zewnętrznego.
- W odpowiedzi na toczące się lub trwające dochodzenie prawne.
Zagadnienia dotyczące cyfrowej kryminalistyki
W odpowiedzi na żądania prawne dotyczące danych przechowywanych na komputerze w chmurze administratorzy muszą potwierdzić, że przedstawione przez nich dowody cyfrowe pokazują prawidłowy łańcuch nadzoru (CoC) w procesie pozyskiwania, zachowywania i dostępu dowodów. Z tego powodu administratorzy powinni upewnić się, że obsługują odpowiednie elementy:
- Kontrola dostępu. Aby uzyskać więcej informacji na temat zarządzania dostępem just in time, zobacz Best practices for Azure RBAC and Start using Privileged Identity Management (Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure i rozpoczynania korzystania z Privileged Identity Management).
- Ochrona i integralność danych. Tylko sieć wirtualna w dedykowanej subskrypcji zawierającej migawkę ma dostęp do konta magazynu i magazynu kluczy, który archiwizuje dowody. Aby uzyskać więcej informacji, zobacz Microsoft Purview Customer Key for Windows 365 Cloud PCs (Klucz klienta usługi Microsoft Purview dla komputerów z usługą Windows 365 Cloud)
- Monitorowanie i alerty. Aby uzyskać więcej informacji, zobacz Alert dotyczący uprzywilejowanego przypisania roli platformy Azure
- Rejestrowanie i inspekcja, rozdzielenie obowiązków. Tylko niewielka lista administratorów z dostępem do konta magazynu może przyznać śledczym tymczasowy dostęp (który został zapisany i zatwierdzony) do dowodów.
Następne kroki
Umieść komputer w chmurze pod przeglądem.
Aby uzyskać więcej informacji na temat pomocy technicznej firmy Microsoft dla badań cyfrowych, zobacz Łańcuch nadzoru w zakresie kryminalistyki komputerowej na platformie Azure.