Azure 虚拟桌面的安全建议

Azure 虚拟桌面是一种托管虚拟桌面服务,其中包括用于保护组织安全的许多安全功能。 Azure 虚拟桌面的体系结构包含许多组件,构成将用户连接到其桌面和应用的服务。

Azure 虚拟桌面具有许多内置高级安全功能,例如反向连接,该功能无需打开入站网络端口,这可降低允许从任何位置访问远程桌面所涉及的风险。 该服务还受益于 Azure 的许多其他安全功能,例如多重身份验证和条件访问。 本文介绍管理员为确保 Azure 虚拟桌面部署的安全可以采取的步骤,无论是为组织中的用户还是外部用户提供桌面和应用。

共担安全责任

在 Azure 虚拟桌面之前,本地虚拟化解决方案(如远程桌面服务)需要授予用户对网关、代理、Web 访问等角色的访问权限。 这些角色必须是完全冗余的,并能够处理高峰容量。 管理员会将这些角色作为 Windows Server 操作系统的一部分进行安装,并且它们必须加入域,且特定端口可供公共连接访问。 为了保证部署安全,管理员必须不断地确保基础结构中的所有内容保持最新状态。

但在大多数云服务中,Microsoft 与客户或合作伙伴之间存在着一组共担的安全责任。 对于 Azure 虚拟桌面,大多数组件都由 Microsoft 管理,但会话主机和一些支持服务和组件由客户管理或合作伙伴管理。 若要详细了解 Azure 虚拟桌面的 Microsoft 托管组件,请参阅 Azure 虚拟桌面服务体系结构和复原能力

虽然某些组件已针对你的环境进行了安全配置,但你还需要自行配置其他方面,以满足组织或客户的安全需求。 下面是你在 Azure 虚拟桌面部署中负责其安全性的组件:

组件 职责
标识 客户或合作伙伴
用户设备(移动和电脑) 客户或合作伙伴
应用安全 客户或合作伙伴
会话主机操作系统 客户或合作伙伴
部署配置 客户或合作伙伴
网络控制措施 客户或合作伙伴
虚拟化控制平面 Microsoft
物理主机 Microsoft
物理网络 Microsoft
物理数据中心 Microsoft

安全边界

安全边界利用不同的信任级别分隔安全域的代码和数据。 例如,内核模式和用户模式之间通常存在安全边界。 大多数 Microsoft 软件和服务都依赖于多个安全边界来隔离网络上的设备、虚拟机 (VM) 和设备上的应用程序。 下表列出了 Windows 的每个安全边界以及它们对总体安全性的作用。

安全边界 说明
网络边界 未经授权的网络终结点无法访问或篡改客户设备上的代码和数据。
内核边界 非管理用户模式进程无法访问或篡改内核代码和数据。 管理员到内核不是安全边界。
进程边界 未经授权的用户模式进程无法访问或篡改其他进程的代码和数据。
AppContainer 沙盒边界 基于 AppContainer 的沙盒进程无法访问或篡改基于容器功能的沙盒之外的代码和数据。
用户边界 用户无法在未经授权的情况下访问或篡改其他用户的代码和数据。
会话边界 用户会话无法在未经授权的情况下访问或篡改其他用户会话。
Web 浏览器边界 未经授权的网站不能违反同源策略,也不能访问或篡改 Microsoft Edge Web 浏览器沙盒的本机代码和数据。
虚拟机边界 未经授权的 Hyper-V 来宾虚拟机无法访问或篡改其他来宾虚拟机的代码和数据;这包括 Hyper-V 独立容器。
虚拟安全模式 (VSM) 边界 在 VSM 可信进程或 enclave 外部运行的代码无法访问或篡改受信任进程中的数据和代码。

还需要根据具体情况对安全边界做出一些选择。 例如,如果组织中的某个用户需要使用本地管理员特权才能安装应用,则你需要为他们提供个人桌面,而不是共享的会话主机。 我们不建议在多会话共用场景中为用户提供本地管理员特权,因为这些用户可以跨越会话或 NTFS 数据权限的安全边界,关闭多会话 VM,或执行可能中断服务或导致数据丢失的其他操作。

同一组织中的用户(例如拥有不需要管理员特权的应用的知识型员工)非常适合使用多会话会话主机(例如 Windows 11 企业版多会话)。 由于多个用户可以共享单个 VM,因此这些会话主机可降低组织成本,仅产生每个用户使用 VM 的开销成本。 通过使用用户配置文件管理产品(如 FSLogix),可以为用户分配主机池中的任何 VM,而不会发现任何服务中断。 借助此功能,还可以通过在非高峰期执行关闭 VM 等操作来优化成本。

如果你的情况要求不同组织的用户连接到你的部署,则建议你为标识服务(如 Active Directory 和 Microsoft Entra ID)使用单独的租户。 还建议让这些用户使用单独的订阅来托管 Azure 资源(如 Azure 虚拟桌面)和 VM。

在许多情况下,使用多会话是一种降低成本的可接受方法,但是否建议这样做取决于同时访问共享多会话实例的用户之间的信任级别。 通常,属于同一组织的用户具有足够且一致同意的信任关系。 例如,员工相互协作并可以访问彼此个人信息的部门或工作组是具有高度信任级别的组织。

Windows 使用安全边界和控件来确保用户进程和数据在会话之间隔离。 但是,Windows 仍然提供对用户正在处理的实例的访问权限。

多会话部署将受益于安全深度策略,该策略增加了更多的安全边界,防止组织内外的用户未经授权访问其他用户的个人信息。 发生未经授权的数据访问是由于系统管理员在配置过程中出错(例如未公开的安全漏洞或尚未修补的已知漏洞)。

我们不建议为效力于不同公司或竞争对手公司的用户授予对同一多会话环境的访问权限。 这些场景具有若干安全边界,这些边界可能会被攻击或滥用,例如网络、内核、进程、用户或会话。 单个安全漏洞可能会导致未经授权的数据和凭据被盗、个人信息泄漏、标识盗用和其他问题。 虚拟化环境提供商负责提供设计良好的系统,这些系统具有多个强大的安全边界,并根据需要启用额外的安全功能。

减少这些潜在威胁需要防故障配置、修补程序管理设计流程和定期修补程序部署计划。 最好遵循深度防御原则,使环境保持独立。

下表总结了针对每种场景的建议。

信任级别场景 建议的解决方案
一个组织中具有标准特权的用户 使用 Windows Enterprise 多会话操作系统 (OS)。
用户需要管理权限 使用个人主机池并向每个用户分配其自己的会话主机。
来自不同组织连接的用户 单独的 Azure 租户和 Azure 订阅

Azure 安全最佳做法

Azure 虚拟桌面是一项 Azure 服务。 若要最大程度地提高 Azure 虚拟桌面部署的安全性,应确保同时保护周围的 Azure 基础结构和管理平面。 若要保护你的基础结构,请考虑 Azure 虚拟桌面如何适应更大的 Azure 生态系统。 若要了解有关 Azure 生态系统的详细信息,请参阅 Azure 安全最佳做法和模式

鉴于如今的威胁环境,需要在设计时考虑安全方法。 理想情况下,你将需要构建一系列安全机制和在整个计算机网络中分层的控件,以保护数据和网络不被泄露或攻击。 美国网络安全和基础结构安全机构 (CISA) 将这种安全设计称为“深度防御”

以下部分包含用于保护 Azure 虚拟桌面部署的建议。

启用 Microsoft Defender for Cloud

建议启用 Microsoft Defender for Cloud 的增强安全功能以:

  • 管理漏洞。
  • 评估是否符合常见框架,例如 PCI 安全标准委员会发布的框架。
  • 增强环境的总体安全性。

要了解详细信息,请参阅启用增强的安全性功能

提高安全分数

安全评分提供有关如何提高总体安全性的建议和最佳做法建议。 这些建议的优先顺序可帮助你选择最重要的建议,而快速修复选项可帮助你快速解决潜在漏洞。 这些建议还会随着时间的推移进行更新,使你可以获取保持环境安全的最新的最佳做法。 要了解详细信息,请参阅在 Microsoft Defender for Cloud 中提高安全功能分数

要求多重身份验证

Azure 虚拟桌面要求所有用户和管理员进行多重身份验证,这可以提高整个部署的安全性。 若要了解详细信息,请参阅为 Azure 虚拟桌面启用 Microsoft Entra 多重身份验证

启用条件访问

启用条件访问可让你在向用户授予对 Azure 虚拟桌面环境的访问权限之前管理风险。 在决定要授予访问权限的用户时,我们建议你同时考虑用户是谁、他们登录的方式以及他们使用的设备。

收集审核日志

启用审核日志收集可查看与 Azure 虚拟桌面相关的用户和管理员活动。 重要审核日志的一些示例如下:

使用 RemoteApp

选择部署模型时,可以为远程用户提供对整个桌面的访问权限,也可以仅在作为 RemoteApp 发布时选择应用程序。 用户在虚拟桌面上使用应用时,RemoteApp 可提供无缝体验。 RemoteApp 仅让用户使用应用程序公开的一小部分远程计算机以降低风险。

使用 Azure Monitor 监视使用情况

使用 Azure Monitor 监视 Azure 虚拟桌面服务的使用情况和可用性。 考虑为 Azure 虚拟桌面服务创建服务运行状况警报,以便在出现服务影响事件时接收通知。

加密会话主机

使用托管磁盘加密选项加密会话主机,以保护存储的数据免受未经授权的访问。

会话主机安全最佳做法

会话主机是在 Azure 订阅和虚拟网络中运行的虚拟机。 Azure 虚拟桌面部署的总体安全性取决于在会话主机上设置的安全控制。 本部分介绍保持会话主机安全的最佳做法。

启用终结点保护

为了防止部署被已知恶意软件攻击,我们建议在所有会话主机上启用终结点保护。 可以使用 Windows Defender 防病毒,也可以使用第三方程序。 若要了解更多信息,请参阅 VDI 环境中的 Windows Defender 防病毒部署指南

对于 FSLogix 等配置文件解决方案或装载虚拟硬盘文件的其他解决方案,建议排除这些文件扩展名。

修补环境中的软件漏洞

确定漏洞后,你必须对其进行修补。 这也适用于虚拟环境,其中包括正在运行的操作系统、在其中部署的应用程序,以及从中创建新计算机的映像。 遵循供应商修补通知通信并及时应用修补程序。 建议每月修补基本映像,以确保新部署的计算机尽可能安全。

建立最大非活动时间和断开连接策略

当用户处于非活动状态时将其注销会保留资源并防止未经授权的用户访问。 我们建议超时在用户工作效率和资源使用情况之间取得平衡。 对于与无状态应用程序交互的用户,请考虑更严格的策略,这些策略会关闭计算机并保留资源。 断开在用户空闲时继续运行的长时间运行的应用程序(例如模拟或 CAD 渲染)会中断用户的工作,甚至可能需要重启计算机。

设置空闲会话的屏幕锁定

可以通过将 Azure 虚拟桌面配置为在空闲时锁定计算机屏幕且需要身份验证才能解锁,来防止意外的系统访问。

建立分层管理员访问权限

建议你不要向用户授予对虚拟桌面的管理员访问权限。 如果需要软件包,我们建议通过配置管理实用程序提供。 在多会话环境下,建议不要允许用户直接安装软件。

考虑哪些用户应该有权访问哪些资源

将会话主机视为现有桌面部署的扩展。 建议使用与环境中的其他桌面相同的方式(如使用网络分段和筛选)来控制对网络资源的访问。 默认情况下,会话主机可以连接到 Internet 上的任何资源。 可以通过多种方式来限制流量,包括使用 Azure 防火墙、网络虚拟设备或代理。 如果需要限制流量,请确保添加适当的规则,以便 Azure 虚拟桌面可以正常工作。

管理 Microsoft 365 应用安全性

除了保护会话主机以外,还必须确保在其中运行的应用程序的安全。 Microsoft 365 应用是会话主机中部署的一些最常见应用程序。 为了改进 Microsoft 365 部署安全性,我们建议对 Microsoft 365 应用企业版使用安全策略顾问。 此工具标识可应用于部署以提高安全性的策略。 安全策略顾问还根据对安全性和工作效率的影响来推荐策略。

用户配置文件安全性

用户配置文件可包含敏感信息。 应限制有权访问用户配置文件的人员及访问这些文件的方法,尤其是在使用 FSLogix 配置文件容器 将用户配置文件存储在 SMB 共享上一个虚拟硬盘文件中时。 应遵循 SMB 共享提供程序的安全建议。 例如,如果使用 Azure 文件存储来存储这些虚拟硬盘文件,可以使用专用终结点使其只能通过 Azure 虚拟网络进行访问。

会话主机的其他安全提示

通过限制操作系统功能,可以增强会话主机的安全性。 下面是可以执行的几个操作:

  • 通过在远程桌面会话中将驱动器、打印机和 USB 设备重定向到用户的本地设备来控制设备重定向。 建议你评估安全要求,并检查是否应禁用这些功能。

  • 通过隐藏本地和远程驱动器映射来限制 Windows 资源管理器访问权限。 这可以防止用户发现有关系统配置和用户的意外信息。

  • 避免对环境中的会话主机进行直接 RDP 访问。 如果需要直接 RDP 访问以便进行管理或故障排除,请启用即时访问以限制会话主机上的潜在攻击面。

  • 授予用户访问本地和远程文件系统时的有限权限。 可以通过确保本地和远程文件系统使用具有最低权限的访问控制列表来限制权限。 这样,用户只能访问他们需要的内容,而不能更改或删除关键资源。

  • 防止意外软件在会话主机上运行。 可以启用 App Locker 以提高会话主机的安全性,确保只有允许的应用可在主机上运行。

受信任的启动

受信任启动是 Azure VM,其增强的安全功能旨在防止通过攻击途径(如 Rootkit、Bootkit和内核级恶意软件)的持久性攻击技术,例如堆栈底部威胁。 它允许使用经过验证的启动加载程序、OS 内核和驱动程序安全地部署 VM,并保护 VM 中的密钥、证书和机密。 要了解有关受信任启动的详细信息,请访问 Azure 虚拟机的受信任启动

使用 Azure 门户添加会话主机时,默认安全类型为受信任的虚拟机。 这可确保 VM 满足 Windows 11 的强制性要求。 有关这些要求的详细信息,请参阅虚拟机支持

操作系统磁盘加密

加密操作系统磁盘是一个额外的加密层,可将磁盘加密密钥绑定到机密计算 VM 的受信任平台模块 (TPM)。 通过此加密,磁盘内容将仅可供 VM 访问。 通过完整性监视,可对 VM 启动完整性进行加密证明和验证,并在 VM 因证明由于已定义的基线失败而无法启动时监视警报。 有关完整性监视的详细信息,请参阅 Microsoft Defender for Cloud 完整性。 在创建主机池将会话主机添加到主机池时,如果使用机密 VM 创建会话主机,则可以启用机密计算加密。

安全启动

安全启动是平台固件支持的一种模式,可保护固件免受基于恶意软件的 Rootkit 和 Bootkit 的侵害。 此模式仅允许启动已签名的操作系统和驱动程序。

使用远程证明监视启动完整性

远程证明是检查 VM 运行状况的好方法。 远程证明将验证测量启动记录是否存在、是否是正版,以及是否源自虚拟受信任的平台模块 (vTPM)。 作为一项运行状况检查,它以加密方式确定平台正确启动。

vTPM

vTPM 是硬件受信任平台模块 (TPM) 的虚拟化版本,每个 VM 有一个 TPM 虚拟实例。vTPM 通过对 VM 的整个启动链(UEFI、OS、系统和驱动程序)执行完整性测量来实现远程证明。

建议在 VM 上启用 vTPM 以使用远程证明。 启用 vTPM 后,你还可以通过 Azure 磁盘加密启用 BitLocker 功能,它提供全卷加密来保护静态数据。 使用 vTPM 的任何功能都将导致机密绑定到特定 VM。 当用户在共用情况下连接到 Azure 虚拟桌面服务时,可以将用户重定向到主机池中的任何 VM。 根据功能的设计方式,这可能会产生影响。

注意

不应使用 BitLocker 对存储 FSLogix 配置文件数据的特定磁盘进行加密。

基于虚拟化的安全性

基于虚拟化的安全性 (VBS) 使用虚拟机监控程序来创建和隔离操作系统不可访问的安全内存区域。 虚拟机监控程序保护的代码完整性 (HVCI) 和 Windows Defender Credential Guard 均使用 VBS 来提供增强的漏洞防护。

虚拟机监控程序保护的代码完整性

HVCI 是功能强大的系统缓解机制,其使用 VBS 防止在 Windows 内核模式进程中注入和执行恶意代码或未经验证的代码。

Windows Defender Credential Guard

启用 Windows Defender Credential Guard。 Windows Defender 凭据保护使用 VBS 来隔离和保护机密,以便只有特权系统软件可以访问它们。 这样可以防止未经授权访问这些机密和凭据窃取攻击,如传递哈希攻击。 有关详细信息,请参阅 Credential Guard 概述

Windows Defender 应用程序控制

启用 Windows Defender 应用程序控制。 Windows Defender 应用程序控制旨在保护设备免受恶意软件和其他不受信任的软件的攻击。 它通过确保只能运行你知道的已批准的代码来防止恶意代码运行。 有关详细信息,请参阅“适用于 Windows 的应用程序控制”。

注意

使用 Windows Defender 访问控制时,建议仅将策略面向设备级别。 虽然可使策略面向单个用户,但在应用策略后,它对设备上的所有用户都有同样的影响。

Windows 更新

通过 Windows 更新将会话主机保持最新状态。 Windows 更新提供了一种安全的方式来使设备保持最新状态。 其端到端保护可防止操作协议交换,并确保更新仅包含已批准的内容。 可能需要更新某些受保护环境的防火墙和代理规则,以便获取访问 Windows 更新的权限。 有关详细信息,请参阅 Windows 更新

其他 OS 平台上的远程桌面客户端和更新

可用于在其他 OS 平台上访问 Azure 虚拟桌面服务的远程桌面客户端的软件更新会根据其各自平台的安全策略进行保护。 所有客户端更新都由其平台直接提供。 有关详细信息,请参阅每个应用的相应应用商店页面:

后续步骤