你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 虚拟桌面是一项托管的虚拟桌面服务,包含许多安全功能,用于保护组织的安全。 Azure 虚拟桌面的体系结构包含许多组件,这些组件构成了将用户连接到其桌面和应用的服务。
Azure 虚拟桌面具有许多内置的高级安全功能,例如不需要打开入站网络端口的反向连接,这降低了从任意位置访问远程桌面所涉及的风险。 该服务还受益于 Azure 的许多其他安全功能,例如多重身份验证和条件访问。 本文介绍作为管理员可以采取的步骤,以确保 Azure 虚拟桌面部署的安全,无论你是向组织中的用户提供桌面和应用,还是向外部用户提供。
共同的安全责任
在 Azure 虚拟桌面之前,远程桌面服务等本地虚拟化解决方案需要向用户授予对网关、代理、Web 访问等角色的访问权限。 这些角色必须完全冗余,并且能够处理峰值容量。 管理员会将这些角色安装为Windows Server作系统的一部分,并且必须使用公共连接可访问的特定端口加入域。 若要确保部署安全,管理员必须不断确保基础结构中的所有内容都得到维护和更新。
但是,在大多数云服务中,Microsoft与客户或合作伙伴之间有一 组共同的安全责任 。 对于 Azure 虚拟桌面,大多数组件Microsoft管理,但会话主机和某些支持服务和组件由客户管理或合作伙伴管理。 若要详细了解 Azure 虚拟桌面的Microsoft托管组件,请参阅 Azure 虚拟桌面服务体系结构和复原能力。
虽然某些组件已针对你的环境进行了保护,但你需要自行配置其他区域,以满足组织或客户的安全需求。 下面是你负责 Azure 虚拟桌面部署中安全性的组件:
| 组件 | 职责 |
|---|---|
| 标识 | 客户或合作伙伴 |
| 移动和电脑) (用户设备 | 客户或合作伙伴 |
| 应用程序安全 | 客户或合作伙伴 |
| 会话主机作系统 | 客户或合作伙伴 |
| 部署配置 | 客户或合作伙伴 |
| 网络控制 | 客户或合作伙伴 |
| 虚拟化控制平面 | Microsoft |
| 物理主机 | Microsoft |
| 物理网络 | Microsoft |
| 物理数据中心 | Microsoft |
安全边界
安全边界使用不同信任级别分隔安全域的代码和数据。 例如,内核模式和用户模式之间通常存在安全边界。 大多数Microsoft软件和服务依赖于多个安全边界来隔离网络上的设备、虚拟机 (VM) ,以及设备上的应用程序。 下表列出了 Windows 的每个安全边界,以及它们对整体安全性的用途。
| 安全边界 | 说明 |
|---|---|
| 网络边界 | 未经授权的网络终结点无法访问或篡改客户设备上的代码和数据。 |
| 内核边界 | 非管理用户模式进程无法访问或篡改内核代码和数据。 管理员到内核不是安全边界。 |
| 进程边界 | 未经授权的用户模式进程无法访问或篡改另一个进程的代码和数据。 |
| AppContainer 沙盒边界 | 基于 AppContainer 的沙盒进程不能基于容器功能访问或篡改沙盒之外的代码和数据。 |
| 用户边界 | 未经授权,用户无法访问或篡改其他用户的代码和数据。 |
| 会话边界 | 未经授权,用户会话无法访问或篡改其他用户会话。 |
| Web 浏览器边界 | 未经授权的网站不能违反同源策略,也不能访问或篡改 Microsoft Edge Web 浏览器沙盒的本机代码和数据。 |
| 虚拟机边界 | 未经授权的 Hyper-V 来宾虚拟机无法访问或篡改其他来宾虚拟机的代码和数据;这包括 Hyper-V 隔离容器。 |
| 虚拟安全模式 (VSM) 边界 | 在 VSM 受信任进程或 enclave 外部运行的代码无法访问或篡改受信任进程内的数据和代码。 |
Azure 虚拟桌面方案的建议安全边界
还需要根据具体情况对安全边界做出某些选择。 例如,如果组织中的用户需要本地管理员权限才能安装应用,则需要为他们提供个人桌面而不是共享会话主机。 我们不建议在多会话共用方案中向用户授予本地管理员权限,因为这些用户可能会越过会话或 NTFS 数据权限的安全边界,关闭多会话 VM,或者执行其他可能中断服务或导致数据丢失的事情。
来自同一组织中的用户(例如具有不需要管理员权限的应用的知识工作者)是多会话会话主机(如Windows 11 企业版多会话)的绝佳候选者。 这些会话主机可降低组织成本,因为多个用户可以共享单个 VM,而每个用户的开销成本仅为 VM。 使用 FSLogix 等用户配置文件管理产品,可以向用户分配主机池中的任何 VM,而不会注意到任何服务中断。 此功能还允许通过在非高峰时段关闭 VM 等作来优化成本。
如果情况要求来自不同组织的用户连接到部署,我们建议为 Active Directory 和 Microsoft Entra ID 等标识服务提供单独的租户。 我们还建议为这些用户提供单独的订阅,用于托管 Azure 虚拟桌面和 VM 等 Azure 资源。
在许多情况下,使用多会话是降低成本的一种可接受的方法,但是否推荐它取决于同时访问共享多会话实例的用户之间的信任级别。 通常,属于同一组织的用户具有足够且商定的信任关系。 例如,人们协作并可以访问彼此个人信息的部门或工作组是具有高信任级别的组织。
Windows 使用安全边界和控制来确保用户进程和数据在会话之间隔离。 但是,Windows 仍提供对用户正在处理的实例的访问权限。
多会话部署将受益于安全深度策略,该策略增加了更多安全边界,防止组织内外的用户未经授权访问其他用户的个人信息。 未经授权的数据访问是由于系统管理员在配置过程中出错,例如未公开的安全漏洞或尚未修补的已知漏洞。
我们不建议授予为不同或竞争公司工作的用户访问同一多会话环境的权限。 这些方案具有多个可能受到攻击或滥用的安全边界,例如网络、内核、进程、用户或会话。 单个安全漏洞可能会导致未经授权的数据和凭据被盗、个人信息泄露、身份盗用和其他问题。 虚拟化环境提供商负责提供设计良好的系统,这些系统具有多个强大的安全边界,并尽可能启用额外的安全功能。
减少这些潜在威胁需要防故障配置、修补程序管理设计过程和定期的修补程序部署计划。 最好遵循深层防御原则,并保持环境分离。
下表汇总了针对每个方案的建议。
| 信任级别方案 | 建议的解决方案 |
|---|---|
| 具有标准权限的组织中的用户 | 使用 Windows 企业版多会话作系统 (OS) 。 |
| 用户需要管理权限 | 使用个人主机池并为每个用户分配自己的会话主机。 |
| 连接不同组织的用户 | 单独的 Azure 租户和 Azure 订阅 |
Azure 安全最佳做法
Azure 虚拟桌面是 Azure 下的一项服务。 若要最大程度地提高 Azure 虚拟桌面部署的安全性,还应确保保护周围的 Azure 基础结构和管理平面。 若要保护基础结构,请考虑 Azure 虚拟桌面如何适应更大的 Azure 生态系统。 若要详细了解 Azure 生态系统,请参阅 Azure 安全最佳做法和模式。
当今的威胁形势要求设计时考虑安全方法。 理想情况下,你需要在整个计算机网络中构建一系列安全机制和控制,以保护数据和网络免受入侵或攻击。 这种类型的安全设计是美国网络安全和基础结构安全机构 (CISA) 调用的深层防御。
以下部分包含有关保护 Azure 虚拟桌面部署的建议。
为云启用 Microsoft Defender
我们建议为云的增强安全功能启用Microsoft Defender,以便:
- 管理漏洞。
- 评估 PCI 安全标准委员会等常见框架的合规性。
- 增强环境的整体安全性。
若要了解详细信息,请参阅 启用增强的安全功能。
提高安全功能分数
安全功能分数提供了有关提高整体安全性的建议和最佳做法建议。 这些建议的优先级可帮助你选择最重要的建议,快速修复选项可帮助你快速解决潜在的漏洞。 这些建议还会随着时间的推移而更新,让你随时了解维护环境安全性的最佳方法。 若要了解详细信息,请参阅提高 Microsoft Defender for Cloud 中的安全功能分数。
要求多重身份验证
要求对 Azure 虚拟桌面中的所有用户和管理员进行多重身份验证可提高整个部署的安全性。 若要了解详细信息,请参阅为 Azure 虚拟桌面启用Microsoft Entra多重身份验证。
启用条件访问
启用 条件访问 可以在向用户授予对 Azure 虚拟桌面环境的访问权限之前管理风险。 在决定向哪些用户授予访问权限时,建议还考虑用户是谁、他们如何登录以及他们使用的设备。
收集审核日志
启用审核日志收集后,可以查看与 Azure 虚拟桌面相关的用户和管理员活动。 关键审核日志的一些示例包括:
使用 Azure Monitor 监视使用情况
使用 Azure Monitor 监视 Azure 虚拟桌面服务的使用情况和可用性。 请考虑为 Azure 虚拟桌面服务创建 服务运行状况警报 ,以便在发生服务影响事件时接收通知。
加密会话主机
使用 托管磁盘加密选项加密 会话主机,以保护存储的数据免受未经授权的访问。
会话主机安全最佳做法
会话主机是在 Azure 订阅和虚拟网络中运行的虚拟机。 Azure 虚拟桌面部署的整体安全性取决于对会话主机施加的安全控制。 本部分介绍确保会话主机安全的最佳做法。
启用终结点保护
若要保护部署免受已知恶意软件的侵害,我们建议在所有会话主机上启用终结点保护。 可以使用 Windows Defender 防病毒或第三方程序。 有关详细信息,请参阅 VDI 环境中的 Windows Defender 防病毒部署指南。
对于 FSLogix 等配置文件解决方案或其他装载虚拟硬盘文件的解决方案,我们建议排除这些文件扩展名。 有关 FSLogix 排除项的详细信息,请参阅 配置防病毒文件和文件夹排除项。
安装终结点检测和响应产品
建议 (EDR) 产品安装终结点检测和响应,以提供高级检测和响应功能。 对于启用了 Microsoft Defender for Cloud 的服务器作系统,安装 EDR 产品将部署Microsoft Defender for Endpoint。 对于客户端作系统,可以将Microsoft Defender for Endpoint或第三方产品部署到这些终结点。
启用威胁和漏洞管理评估
识别作系统和应用程序中存在的软件漏洞对于确保环境安全至关重要。 Microsoft Defender for Cloud 可以帮助你通过Microsoft Defender for Endpoint危险和漏洞管理解决方案来确定问题点。 如果你愿意,也可以使用第三方产品,不过我们建议使用 Microsoft Defender for Cloud 和 Microsoft Defender for Endpoint。
修补环境中的软件漏洞
识别漏洞后,必须对其进行修补。 这也适用于虚拟环境,包括正在运行的作系统、在其中部署的应用程序以及从中创建新计算机的映像。 关注供应商的修补程序通知通信,并及时应用修补程序。 建议每月修补基础映像,以确保新部署的计算机尽可能安全。
建立最大非活动时间和断开连接策略
在用户处于非活动状态时注销会保留资源并阻止未经授权的用户访问。 建议使用超时来平衡用户工作效率和资源使用情况。 对于与无状态应用程序交互的用户,请考虑关闭计算机并保留资源的更激进的策略。 断开在用户空闲时继续运行的长时间运行的应用程序(例如模拟或 CAD 渲染)可能会中断用户的工作,甚至可能需要重新启动计算机。
为空闲会话设置屏幕锁
可以通过将 Azure 虚拟桌面配置为在空闲时间锁定计算机的屏幕,并要求通过身份验证来解锁计算机,从而防止不必要的系统访问。
建立分层管理员访问权限
建议不要向用户授予对虚拟桌面的管理员访问权限。 如果需要软件包,建议通过配置管理实用工具(如Microsoft Intune)提供软件包。 在多会话环境中,建议不要让用户直接安装软件。
考虑用户的对应访问资源
将会话主机视为现有桌面部署的扩展。 建议像控制环境中其他桌面一样控制对网络资源的访问,例如使用网络分段和筛选。 默认情况下,会话主机可以连接到 Internet 上的任何资源。 可通过多种方式限制流量,包括使用Azure 防火墙、网络虚拟设备或代理。 如果需要限制流量,请确保添加适当的规则,以便 Azure 虚拟桌面可以正常工作。
管理 Microsoft 365 应用安全性
除了保护会话主机之外,还必须保护在其中运行的应用程序。 Microsoft 365 应用是会话主机中部署的一些最常见的应用程序。 若要提高 Microsoft 365 部署安全性,建议使用安全策略顾问进行Microsoft 365 企业应用版。 此工具标识可以应用于部署的策略,以增加安全性。 安全策略顾问还会根据策略对安全性和工作效率的影响来推荐策略。
用户配置文件安全性
用户配置文件可以包含敏感信息。 应限制谁有权访问用户配置文件以及访问它们的方法,尤其是在使用 FSLogix 配置文件容器 将用户配置文件存储在 SMB 共享上的虚拟硬盘文件中时。 应遵循 SMB 共享提供商的安全建议。 例如,如果使用 Azure 文件存储 来存储这些虚拟硬盘文件,则可以使用专用终结点使它们只能在 Azure 虚拟网络中访问。
会话主机的其他安全提示
通过限制作系统功能,可以增强会话主机的安全性。 下面是你可以执行的一些作:
通过在远程桌面会话中将驱动器、打印机和 USB 设备重定向到用户的本地设备来控制设备重定向。 建议评估安全要求,并检查是否应禁用这些功能。
通过隐藏本地和远程驱动器映射来限制 Windows 资源管理器访问。 这可以防止用户发现有关系统配置和用户的不需要的信息。
避免对环境中的会话主机进行直接 RDP 访问。 如果需要直接 RDP 访问权限进行管理或故障排除,请启用 实时 访问以限制会话主机上的潜在攻击面。
在用户访问本地和远程文件系统时,向用户授予受限权限。 可以通过确保本地和远程文件系统使用具有最低特权的访问控制列表来限制权限。 这样,用户只能访问所需的内容,不能更改或删除关键资源。
防止不需要的软件在会话主机上运行。 RemoteApp 不是一项安全功能,其使用不会阻止启动发布到应用程序组的应用程序以外的应用程序。 若要确保仅允许的应用程序可以在会话主机上运行,可以将 应用程序控制用于 Windows 功能,例如应用控制或 AppLocker。
受信任的启动
受信任的启动是具有增强安全功能的 Azure VM,旨在通过攻击途径(如 rootkit、启动工具包和内核级恶意软件)防范持久性攻击技术,例如堆栈底层威胁。 它允许使用经过验证的启动加载程序、OS 内核和驱动程序的安全部署 VM,并保护 VM 中的密钥、证书和机密。 有关受信任启动的详细信息,请参阅 Azure 虚拟机的受信任启动。
使用 Azure 门户 添加会话主机时,默认安全类型为“受信任的虚拟机”。 这可确保 VM 满足Windows 11的强制性要求。 有关这些要求的详细信息,请参阅 虚拟机支持。
Azure 机密计算虚拟机
Azure 虚拟桌面对 Azure 机密计算 虚拟机的支持可确保用户的虚拟桌面在内存中加密、在使用中受到保护,并由硬件信任根提供支持。
使用 Azure 虚拟桌面部署机密虚拟机允许用户访问会话主机上Microsoft 365 和其他应用程序,这些应用程序使用基于硬件的隔离,从而强化与其他虚拟机、虚拟机监控程序和主机 OS 的隔离。 内存加密密钥由 CPU 内部的专用安全处理器生成和保护,该处理器无法从软件中读取。 有关详细信息,包括可用的 VM 大小,请参阅 Azure 机密计算概述。
以下作系统支持用作 Azure 虚拟桌面上机密虚拟机的会话主机,适用于处于活动支持状态的版本。 有关支持日期,请参阅 Microsoft 生命周期策略。
- Windows 11 企业版
- Windows 11 企业版多会话
- Windows 10 企业版
- Windows 10 企业版多会话
- Windows Server 2022
- Windows Server 2019
部署 Azure 虚拟桌面 或将会话主机添加到主机池时,可以使用机密虚拟机创建 会话主机。
作系统磁盘加密
加密作系统磁盘是一个额外的加密层,将磁盘加密密钥绑定到机密计算 VM 的受信任平台模块 (TPM) 。 此加密使磁盘内容只能由 VM 访问。 完整性监视允许加密证明和验证 VM 启动完整性,如果 VM 未启动,则监视警报,因为证明失败并显示定义的基线。 有关完整性监视的详细信息,请参阅 cloud Integration Microsoft Defender。 在创建主机池或将会话主机添加到 主机池 时,可以使用机密 VM 创建 会话主机时启用机密计算加密。
安全启动
安全启动是平台固件支持的一种模式,可保护固件免受基于恶意软件的根工具包和启动工具包的侵害。 此模式仅允许已签名的作系统和驱动程序启动。
使用远程证明监视启动完整性
远程证明是检查 VM 运行状况的好方法。 远程证明验证测量的启动记录是否存在、正版以及源自虚拟受信任的平台模块 (vTPM) 。 作为运行状况检查,它提供平台正确启动的加密确定性。
vTPM
vTPM 是硬件受信任的平台模块的虚拟化版本, (TPM) ,每个 VM 有一个 TPM 的虚拟实例。vTPM 通过对 VM 的整个启动链执行完整性测量来启用远程证明, (UEFI、OS、系统和驱动程序) 。
建议让 vTPM 在 VM 上使用远程证明。 启用 vTPM 后,还可以通过 Azure 磁盘加密启用 BitLocker 功能,该加密提供全卷加密来保护静态数据。 使用 vTPM 的任何功能都将导致绑定到特定 VM 的机密。 当用户在共用方案中连接到 Azure 虚拟桌面服务时,可以将用户重定向到主机池中的任何 VM。 根据功能的设计方式,这可能会产生影响。
注意
BitLocker 不应用于加密存储 FSLogix 配置文件数据的特定磁盘。
基于虚拟化的安全性
基于虚拟化的安全 (VBS) 使用虚拟机监控程序来创建和隔离作系统无法访问的安全内存区域。 Hypervisor-Protected 代码完整性 (HVCI) 和 Windows Defender Credential Guard 都使用 VBS 来增强对漏洞的保护。
Hypervisor-Protected 代码完整性
HVCI 是一种功能强大的系统缓解措施,它使用 VBS 来保护 Windows 内核模式进程,防止恶意代码或未经验证的代码注入和执行。
Windows Defender Credential Guard
启用 Windows Defender Credential Guard。 Windows Defender Credential Guard 使用 VBS 来隔离和保护机密,以便只有特权系统软件才能访问它们。 这可以防止未经授权访问这些机密和凭据盗窃攻击,例如传递哈希攻击。 有关详细信息,请参阅 Credential Guard 概述。
Windows Defender 应用程序控制
启用 Windows Defender 应用程序控制。 Windows Defender 应用程序控制旨在保护设备免受恶意软件和其他不受信任的软件的侵害。 它通过确保只能运行已批准的代码(你知道)来防止恶意代码运行。 有关详细信息,请参阅 适用于 Windows 的应用程序控制。
注意
使用 Windows Defender 访问控制时,建议仅针对设备级别的策略。 尽管可以将策略面向单个用户,但在应用策略后,它会平等地影响设备上的所有用户。
Windows 更新
使用来自 Windows 更新 的更新使会话主机保持最新状态。 Windows 更新提供了一种使设备保持最新状态的安全方法。 其端到端保护可防止作协议交换,并确保更新仅包含已批准的内容。 你可能需要更新某些受保护环境的防火墙和代理规则,才能正确访问 Windows 汇报。 有关详细信息,请参阅Windows 更新安全性。
其他 OS 平台上的远程桌面客户端和更新
可用于访问其他 OS 平台上的 Azure 虚拟桌面服务的远程桌面客户端的软件更新会根据其各自平台的安全策略进行保护。 所有客户端更新均由其平台直接提供。 有关详细信息,请参阅每个应用的相应应用商店页面:
后续步骤
- 了解如何 设置多重身份验证。
- 为 Azure 虚拟桌面部署应用零信任原则。