数字取证和 Windows 365 企业云电脑
与物理设备一样,可以使用 Microsoft Intune 部署、保护和管理 Windows 365 企业版云电脑。 作为电脑所有权的一部分,可能会要求你向内部或第三方提交云电脑以进行数字取证。 数字取证是解决数字数据恢复和调查问题的科学,用于支持刑事调查和民事诉讼。
为了支持这些取证,Windows 365 提供了 将云电脑置于审阅状态的功能。 此操作将安全地将云电脑的快照保存到客户的 Azure 存储帐户。 转到该帐户后,客户拥有快照的完整所有权。 若要使快照不可篡改,客户应在快照保存到 Azure 存储帐户后立即创建快照的文件哈希。
调查员可以附加云电脑快照的磁盘副本,并将其传输到专用于取证分析的安全存储帐户。 无需重新创建、开机或访问原始源云电脑即可完成此过程。
应用场景
对于以下任何应用场景,可能需要将云电脑置于审阅状态:
- 来自内部安全操作中心 (SOC) 团队的请求。
- 对来自内部或外部第三方审核员的请求的响应。
- 作为对挂起或正在进行的法律调查的响应。
数字取证的注意事项
为了响应存储在云电脑上的数据的法律请求,管理员必须证明他们提供的数字证据在整个证据获取、保留和访问过程中展示出有效的监管链 (CoC)。 因此,管理员应确保对以下项目提供足够的支持:
- 访问控制
- 数据保护和完整性
- 监视和警报
- 日志记录和审核
后续步骤
有关 Microsoft 对数字调查的支持的详细信息,请参阅 Azure 中的计算机取证监管链。