安全工作階段主機和應用程式
客戶可以採取數個動作,並使用多個工具來協助保護他們的 Azure 虛擬桌面部署。 下表列出一些已測試的建議,保護您的 Azure 虛擬桌面部署。
| 最佳做法 | 結果 |
|---|---|
| 針對雲端安全性態勢管理 (CSPM) 功能啟用適用於雲端的 Microsoft Defender | 使用安全性分數的 CSPM 功能來改善整體安全性。 |
| 需要多重要素驗證 | 增強使用者驗證。 |
| 啟用條件式存取 | 在您將存取權授與使用者之前,先管理風險。 |
| 收集稽核記錄 | 檢閱使用者和系統管理員活動。 |
| 使用 RemoteApp | 讓使用者僅使用公開的遠端電腦子集來降低風險。 |
| 使用 Azure 監視器來監視使用情況 | 建立服務健康情況警示以接收 Azure 虛擬桌面服務的通知。 |
| 啟用端點保護 | 保護您的部署不受已知惡意程式碼攻擊。 |
| 安裝端點偵測及回應 (EDR) 產品 | 使用 EDR 提供進階偵測及回應功能。 |
| 啟用威脅與弱點管理評估 | 透過伺服器作業系統的弱點評估,協助識別問題點。 |
| 修正您環境中的軟體弱點 | 在內部部署或虛擬環境中發現弱點時,您必須修正弱點。 |
| 建立非使用中時間上限和中斷連線原則 | 使用者處於非使用中狀態時將其登出,以保留資源並防止未經授權的存取。 |
| 鎖定閒置工作階段的設定畫面 | 將 Azure 虛擬桌面設定為在閒置時間鎖定電腦螢幕並且需要驗證才能解除鎖定,以防止不想要的系統存取。 |
| 不要將虛擬桌面的系統管理員存取權授與您的使用者 | 使用 Configuration Manager 管理軟體套件。 |
| 考量哪些使用者應該存取哪些資源 | 限制主機與網際網路資源的連線。 |
| 限制作業系統功能 | 加強工作階段主機的安全性。 |
| 在 Azure 虛擬桌面主機集區中,限制 RDP 屬性下的裝置重新導向 | 防止資料外洩。 |
使用適用於端點的 Microsoft Defender 來啟用端點保護
為了協助保護公司的端點,建議您設定適用於端點的 Microsoft Defender。 它先前稱為適用於端點的 Windows Defender。 適用於端點的 Microsoft Defender 通常用於內部部署,但是也可以用於虛擬桌面基礎結構 (VDI) 環境。
若要在 Azure 虛擬桌面 VM 上部署適用於端點的 Microsoft Defender,請將 VM 註冊到適用於雲端的 Microsoft Defender 中。 適用於雲端的 Defender 會提供授權做為其標準產品的一部分。
您也應該使用自動佈建。 在適用於雲端的 Defender 中的自動佈建設定具有可以針對每種支援延伸模組類型的切換開關。 當您啟用延伸模組的自動佈建時,會指派適當的 DeployIfNotExists 原則,以確保該延伸模組已在該類型的所有現有和未來資源上佈建。
注意事項
啟用 Log Analytics 代理程式自動佈建。 當 Log Analytics 代理程式開啟自動佈建時,適用於雲端的 Defender 會在所有支援的 Azure VM 和任何已建立的新 VM 上部署代理程式。
Microsoft 端點管理員與 Microsoft Intune 整合
Microsoft 365 包含 Microsoft 端點管理員系統管理中心和 Microsoft Endpoint Configuration Manager 的支援。
您可以使用 Microsoft Intune 來建立和檢查合規性。 您也可以使用其將應用程式、功能和設定部署到使用 Azure 的裝置。
Microsoft Intune 與 Microsoft Entra ID 整合以進行驗證和授權。 也與 Azure 資訊保護整合,以用於資料保護。 您可以搭配使用 Microsoft Intune 與 Microsoft 365 產品套件。
下表說明 Microsoft Intune 的一些主要功能。
| 功能 | 描述 |
|---|---|
| 裝置管理 | Microsoft Intune 中使用者擁有和組織擁有的註冊裝置會透過您設定的原則接收規則和設定,以符合貴組織的安全性原則。 |
| 應用程式管理 | Microsoft Intune 中的行動裝置應用程式管理可以在組織擁有的裝置和個人裝置上帶來應用程式管理。 |
| 合規性與條件式存取 | Intune 與 Microsoft Entra ID 整合,以啟用一組廣泛的訪問控制案例。 |
應用程式控制會從假設所有應用程式都值得信任的應用程式信任模型移動。 新的模型要求應用程式在能夠執行之前,先取得信任。 Windows 10 包含兩種應用程式控制技術:Windows Defender 應用程式控制與 AppLocker。
Windows Defender 應用程式控制
Windows 10 引進了 Windows Defender 應用程式控制。 組織可以使用此功能來控制可在其 Windows 10 用戶端上執行的驅動程式和應用程式。
一開始在 Windows 10 中,Windows Defender 應用程式控制稱為可設定程式碼完整性。 除了執行 Windows 10,可設定程式碼完整性沒有特定硬體或軟體需求。 其中一個功能是包含現在已不復存在的 Device Guard。
AppLocker
我們建議您使用 AppLocker 作為整體應用程式控制策略的一部分。 其可讓預先定義的應用程式在您的系統上執行。
AppLocker 控制原則限制規則是根據:
- 檔案屬性,例如數位簽章
- 產品名稱
- 檔案名稱
- 檔案版本
預設規則會封鎖許多指令碼、Windows Installer 套件和可執行檔。
AppLocker 包含每個規則集合的預設規則,以確保 Windows 正常運作所需的檔案可以在 AppLocker 規則集合中獲得允許。 預設規則也會允許本機系統管理員群組的成員執行所有 Windows Installer 檔案。 預設規則為:
- 允許 Everyone 群組的成員執行數位簽章 Windows Installer 檔案。
- 允許 Everyone 群組的成員執行位於 Windows\Installer 資料夾中的所有 Windows Installer 檔案。
- 允許本機系統管理員群組的成員執行所有指令碼。
AppLocker 規則集合可作為允許的檔案清單。 只有列在規則集合中的檔案才能執行。 此組態可以讓判斷 AppLocker 規則套用時會發生什麼情形更簡單。 因為 AppLocker 預設會作為允許清單,如果沒有規則明確允許或拒絕檔案執行,AppLocker 的預設拒絕動作將會封鎖檔案。