安全会话主机和应用程序
客户可采取多个操作并使用多种工具来帮助保护其 Azure 虚拟桌面部署。 下表列出了一些用于保护 Azure 虚拟桌面部署的已测试建议。
| 最佳做法 | 结果 |
|---|---|
| 为云安全状况管理 (CSPM) 功能启用 Microsoft Defender for Cloud | 使用安全性分数 CSPM 功能来提高整体安全性。 |
| 要求多重身份验证 | 改善用户身份验证。 |
| 启用条件访问 | 在授予用户访问权限之前管理风险。 |
| 收集审核日志 | 查看用户和管理员活动。 |
| 使用 RemoteApp | 让用户仅处理一部分已公开的远程计算机,从而降低风险。 |
| 使用 Azure Monitor 监视使用情况 | 创建服务运行状况警报,以接收 Azure 虚拟桌面服务的通知。 |
| 启用终结点保护 | 防止部署受到已知恶意软件的攻击。 |
| 安装终结点检测和响应 (EDR) 产品 | 使用 EDR 提供高级检测和响应功能。 |
| 启用威胁和漏洞管理评估 | 通过服务器操作系统的漏洞评估帮助识别问题点。 |
| 修复环境中的软件漏洞 | 当在本地或虚拟环境中确定了漏洞时,必须修复该漏洞。 |
| 建立最大非活动时间和断开连接策略 | 注销处于非活动状态的用户,以保留资源并防止未经授权的访问。 |
| 锁定空闲会话的设置屏幕 | 通过配置 Azure 虚拟桌面在空闲时间锁定计算机屏幕并需要身份验证才能解除其锁定,阻止不需要的系统访问。 |
| 不向用户授予虚拟桌面的管理员访问权限 | 使用 Configuration Manager 管理软件包。 |
| 考虑用户的对应访问资源 | 限制主机与互联网资源的连接。 |
| 限制操作系统功能 | 加强会话主机的安全性。 |
| 在 Azure 虚拟桌面主机池中,限制 RDP 属性下的设备重定向 | 防止数据泄露。 |
通过 Microsoft Defender for Endpoint 启用终结点保护
为帮助保护公司的终结点安全,建议配置 Microsoft Defender for Endpoint。 它以前称为终结点的Windows Defender。 Microsoft Defender for Endpoint 通常在本地使用,但也可在虚拟桌面基础结构 (VDI) 环境中使用。
若要在 Azure 虚拟桌面 VM 上部署 Microsoft Defender for Endpoint,请向 Microsoft Defender for Cloud 注册 VM。 Microsoft Defender for Cloud 提供许可证作为标准产品/服务一部分。
你还应使用自动设置。 Microsoft Defender for Cloud 中的自动预配设置具有针对每种支持的扩展类型的切换。 启用扩展的自动设置时,分配合适的 DeployIfNotExists 策略,以确保该扩展已预配到该类型的所有现有和将来的资源上。
注意
启用日志分析代理的自动设置。 为 Log Analytics 代理启用自动预配后,Microsoft Defender for Cloud 会在所有受支持的 Azure VM 以及创建的任何新虚拟机上部署该代理。
Microsoft Endpoint Manager 与 Microsoft Intune 的集成
Microsoft 365 包括支持 Microsoft Endpoint Manager 管理中心和 Microsoft Endpoint Configuration Manager。
可使用 Microsoft Intune 创建并检查合规性。 还可使用它将应用程序、功能和设置部署到使用 Azure 的设备。
Microsoft Intune 与 Microsoft Entra ID 集成,用于身份验证和授权。 它还与 Azure 信息保护集成,进行数据保护。 可同时使用 Microsoft Intune 和 Microsoft 365 套件产品。
下表介绍了 Microsoft Intune 的一些主要功能。
| 功能 | 描述 |
|---|---|
| 设备管理 | Microsoft Intune 中用户拥有和组织拥有的已注册设备通过你配置为与组织的安全策略匹配的策略来接收规则和设置。 |
| 应用程序管理 | Microsoft Intune 中的移动应用程序管理可以在组织拥有的设备和个人设备上加入应用程序管理。 |
| 合规和条件访问 | Intune 与 Microsoft Entra ID 集成,以启用一组广泛的访问控制方案。 |
应用程序控制从假定所有应用程序都是可信任的应用程序信任模型开始运行。 新模型要求应用程序在运行前获得信任。 Windows 10 包含用于应用程序控制的两种技术:Windows Defender 应用程序控制和 AppLocker。
Windows Defender 应用程序控制
Windows 10 中具有 Windows Defender 应用程序控制。 组织可以使用此功能来控制在 Windows 10 客户端上运行的驱动程序和应用程序。
在 Windows 10 中,Windows Defender 应用程序控制最初称为可配置代码完整性。 除了运行 Windows 10,可配置代码完整性没有任何特定硬件和软件要求。 在包含现已停用的 Device Guard 的功能中,这是其中一项功能。
AppLocker
建议将 AppLocker 作为整体应用程序控制策略的一部分。 它允许用户在你的系统上运行预定义的应用程序。
AppLocker 控制策略限制规则基于:
- 文件属性,如数字签名
- 产品名称
- 文件名
- 文件版本
默认规则将阻止许多脚本、Windows Installer 程序包和可执行文件。
AppLocker 包括每个规则集合的默认规则,以确保 Windows 正常运行所需的文件在 AppLocker 规则集合中得到允许。 默认规则还允许本地管理员组的成员运行所有 Windows Installer 文件。 默认规则为:
- 允许“每个人”组的成员运行数字签名的 Windows Installer 文件。
- 允许“每个人”组的成员运行位于 Windows\Installer 文件夹中的所有 Windows Installer 文件。
- 允许本地“管理员”组的成员运行所有脚本。
AppLocker 规则集合的作用视为允许的文件列表。 只有规则集合中列出的文件才能运行。 通过此配置可以更轻松地确定应用 AppLocker 规则时将发生的情况。 由于默认情况下,AppLocker 的作用视为允许的文件列表,因而如果文件没有得到规则明确允许或拒绝运行,则 AppLocker 的默认拒绝操作将阻止文件。