Freigeben über


Sicherheitsempfehlungen für Azure Virtual Desktop

Azure Virtual Desktop ist ein verwalteter virtueller Desktopdienst, der zahlreiche Sicherheitsfunktionen umfasst, mit denen Sie Ihre Organisation schützen können. Die Architektur von Azure Virtual Desktop besteht aus vielen Komponenten, aus denen der Dienst besteht, der Benutzer mit ihren Desktops und Apps verbindet.

Azure Virtual Desktop verfügt über viele integrierte fortschrittliche Sicherheitsfeatures, z. B. Reverse Connect, für das keine eingehenden Netzwerkports benötigt werden, was das Risiko verringert, dass Remotedesktops von überall her zugänglich sind. Der Dienst profitiert auch von vielen anderen Sicherheitsfeatures von Azure, z. B. Multi-Faktor-Authentifizierung und bedingter Zugriff. Dieser Artikel beschreibt Schritte, die Sie als Admin unternehmen können, um die Sicherheit Ihrer Azure Virtual Desktop-Bereitstellungen zu gewährleisten, unabhängig davon, ob Sie Desktops und Anwendungen für Benutzerinnen und Benutzer in Ihrem Unternehmen oder für externe Benutzerinnen und Benutzer bereitstellen.

Gemeinsame Verantwortung für die Sicherheit

Vor Azure Virtual Desktop erforderten lokale Virtualisierungslösungen wie Remotedesktopdienste, dass Benutzern Zugriff auf Rollen wie Gateway, Broker, Webzugriff usw. gewährt wird. Diese Rollen mussten vollständig redundant und dazu in der Lage sein, Spitzenkapazitäten zu bewältigen. Admins installierten diese Rollen als Teil des Windows Server-Betriebssystems; zudem mussten sie mit bestimmten Ports in Domänen eingebunden werden, auf die über öffentliche Verbindungen zugegriffen werden konnte. Zur Gewährleistung der Sicherheit von Bereitstellungen mussten Admins kontinuierlich dafür sorgen, dass alle Komponenten der Infrastruktur gewartet und auf dem neuesten Stand waren.

Bei den meisten Cloud-Diensten teilen sich Microsoft und der Kunde bzw. die Kundin oder Partner jedoch die Verantwortung für die Sicherheit. Bei Azure Virtual Desktop werden die meisten Komponenten von Microsoft verwaltet, aber die Sitzungshosts und einige unterstützende Dienste und Komponenten werden von Kunden bzw. Kundinnen oder Partnern verwaltet. Weitere Informationen über die von Microsoft verwalteten Komponenten von Azure Virtual Desktop finden Sie unter Azure Virtual Desktop-Dienstarchitektur und -Resilienz.

Während einige Komponenten bereits für Ihre Umgebung gesichert sind, müssen Sie andere Bereiche selbst konfigurieren, um den Sicherheitsanforderungen Ihrer Organisation oder Ihrer Kundinnen und Kunden gerecht zu werden. Hier folgen die Komponenten, für deren Sicherheit Sie bei der Bereitstellung von Azure Virtual Desktop zuständig sind:

Komponente Zuständigkeit
Identität Kunde/Partner
Benutzergeräte (mobile Geräte und PCs) Kunde/Partner
App-Sicherheit Kunde/Partner
Betriebssysteme von Sitzungshosts Kunde/Partner
Bereitstellungskonfiguration Kunde/Partner
Netzwerksteuerungen Kunde/Partner
Virtualisierungssteuerungsebene Microsoft
Physische Hosts Microsoft
Physisches Netzwerk Microsoft
Physisches Rechenzentrum Microsoft

Sicherheitsbegrenzungen

Sicherheitsgrenzen trennen den Code und die Daten von Sicherheitsdomänen mit unterschiedlichen Vertrauensebenen. Beispielsweise gibt es in der Regel eine Sicherheitsgrenze zwischen Kernelmodus und Benutzermodus. Die meisten Microsoft-Softwareanwendungen und -Dienste sind von mehreren Sicherheitsgrenzen abhängig, damit Geräte in Netzwerken, VMs und Anwendungen auf Geräten isoliert werden können. In der folgenden Tabelle sind die einzelnen Sicherheitsgrenzen für Windows und ihre jeweiligen Beiträge zur Gesamtsicherheit aufgeführt.

Sicherheitsgrenze Beschreibung
Netzwerkbegrenzung Ein nicht autorisierter Netzwerkendpunkt kann nicht auf den Code und die Daten eines Kundengeräts zugreifen oder diese manipulieren.
Kernelbegrenzung Ein nicht administrativer Benutzermodusprozess kann nicht auf den Kernelcode und die Daten zugreifen oder diese manipulieren. Administrator-to-Kernel ist keine Sicherheitsgrenze.
Prozessbegrenzung Ein nicht autorisierter Benutzermodusprozess kann nicht auf den Code und die Daten eines anderen Prozesses zugreifen oder diese manipulieren.
AppContainer-Sandboxbegrenzung Ein auf AppContainer basierender Sandboxprozess kann nicht auf den Code und die Daten außerhalb der Sandbox, die auf den Containerfunktionen basiert, zugreifen oder diese manipulieren.
Benutzerbegrenzung Ein Benutzer kann ohne entsprechende Autorisierung nicht auf den Code und die Daten eines anderen Benutzers zugreifen.
Sitzungsbegrenzung Eine Benutzersitzung kann ohne entsprechende Autorisierung nicht auf eine andere Benutzersitzung zugreifen oder diese manipulieren.
Webbrowserbegrenzung Eine nicht autorisierte Website kann weder gegen eine Richtlinie desselben Ursprungs verstoßen noch auf den nativen Code und die Daten der Microsoft Edge-Webbrowsersandbox zugreifen oder diese manipulieren.
Begrenzung virtueller Computer Ein nicht autorisierter virtueller Hyper-V-Gastcomputer kann nicht auf den Code und die Daten eines anderen virtuellen Gastcomputers zugreifen oder diese manipulieren. Dies gilt auch für isolierte Hyper-V-Container.
Grenze für den virtuellen sicheren Modus (Virtual Secure Mode, VSM) Code, der außerhalb des vertrauenswürdigen VSM-Prozesses oder des entsprechend geschützten Bereichs ausgeführt wird, kann nicht auf Daten und Code innerhalb des vertrauenswürdigen Prozesses zugreifen oder diese manipulieren.

Sie müssen auch von Fall zu Fall bestimmte Entscheidungen zu Sicherheitsgrenzen treffen. Wenn eine Benutzerin oder ein Benutzer in Ihrer Organisation beispielsweise lokale Administratorrechte zum Installieren von Anwendungen benötigt, müssen Sie dieser bzw. diesem einen persönlichen Desktop anstelle eines freigegebenen Remotedesktop-Sitzungshosts verfügbar machen. Es wird nicht empfohlen, Benutzerinnen und Benutzern lokale Administratorberechtigungen in Szenarien mit einem Pool für mehrere Sitzungen zu erteilen, da diese die Sicherheitsgrenzen für Sitzungen oder NTFS-Datenberechtigungen überschreiten, VMs mit mehreren Sitzungen herunterfahren oder andere Vorgänge ausführen können, die den Dienst unterbrechen oder Datenverluste verursachen könnten.

Benutzerinnen und Benutzer aus derselben Organisation, z. B. Fachkräfte für Anwendungen, die keine Administratorrechte benötigen, sind hervorragende Kandidatinnen und Kandidaten für Sitzungshosts mit mehreren Sitzungen, etwa unter Windows 11 Enterprise Multi-Session. Diese Sitzungshosts ermöglichen Kostensenkungen für Ihre Organisation, da mehrere Benutzerinnen und Benutzer eine einzelne VM gemeinsam nutzen können. Dabei fallen nur die Gemeinkosten einer VM pro Benutzerin bzw. Benutzer an. Mit Benutzerprofil-Verwaltungstools wie FSLogix können Benutzerinnen und Benutzer jeder VM in einem Hostpool zugewiesen werden, ohne dass Dienstunterbrechungen auftreten. Mit diesem Feature können Sie auch die Kosten optimieren, indem Sie beispielsweise VMs außerhalb der Spitzenzeiten herunterfahren.

Wenn Ihre Situation erfordert, dass Benutzer*innen aus verschiedenen Organisationen eine Verbindung mit Ihrer Bereitstellung herstellen, wird empfohlen, einen separaten Mandanten für Identitätsdienste wie Active Directory und Microsoft Entra ID zu verwenden. Außerdem wird empfohlen, ein separates Abonnement für diejenigen Benutzerinnen und Benutzer zum Hosten von Azure-Ressourcen wie Azure Virtual Desktop und VMs zu verwenden.

In vielen Fällen ist die Verwendung mehrerer Sitzungen eine akzeptable Möglichkeit zur Kostensenkung, aber ob sie empfohlen werden kann, hängt von der Vertrauensebene zwischen Benutzern mit gleichzeitigem Zugriff auf eine gemeinsam genutzte Instanz mit mehreren Sitzungen ab. In der Regel verfügen Benutzer, die derselben Organisation angehören, über eine ausreichende und entsprechend vereinbarte Vertrauensstellung. Beispielsweise ist eine Abteilung oder Arbeitsgruppe, in der Personen zusammenarbeiten und auf die persönlichen Informationen des jeweils anderen zugreifen können, eine Organisation mit hoher Vertrauensebene.

Windows verwendet Sicherheitsgrenzen und Steuerelemente, um sicherzustellen, dass Benutzerprozesse und Daten zwischen Sitzungen isoliert werden. Windows bietet jedoch weiterhin Zugriff auf die Instanz, in der der Benutzer arbeitet.

Bereitstellung mit mehreren Sitzungen würde von einer Security-in-Depth-Strategie (Sicherheit in der Tiefe) profitieren, bei der mehr Sicherheitsgrenzen hinzugefügt werden, die verhindern, dass Benutzerinnen und Benutzer innerhalb und außerhalb der Organisation nicht autorisierten Zugriff auf die persönlichen Informationen anderer Benutzerkonten erhalten. Nicht autorisierter Datenzugriff erfolgt aufgrund eines Fehlers im Konfigurationsprozess des Systemadministrators, z. B. eines nicht offengelegten oder eines bekannten Sicherheitsrisikos, das noch nicht gepatcht wurde.

Es wird nicht empfohlen Benutzerinnen und Benutzern, die für verschiedene oder konkurrierende Unternehmen arbeiten, Zugriff auf dieselbe Umgebung mit mehreren Sitzungen zu gewähren. Diese Szenarios weisen mehrere Sicherheitsgrenzen auf, die angegriffen oder missbräuchlich verwendet werden können, z. B. Netzwerk, Kernel, Prozess, Benutzer oder Sitzungen. Ein einzelnes Sicherheitsrisiko kann zu nicht autorisiertem Daten- und Anmeldeinformationsdiebstahl, Verlusten personenbezogener Informationen, Identitätsdiebstahl und anderen Problemen führen. Anbieter von virtualisierten Umgebungen sind dafür verantwortlich, gut entworfene Systeme mit mehreren starken Sicherheitsgrenzen und nach Möglichkeit aktivierten zusätzlichen Sicherheitsfeatures verfügbar zu machen.

Die Reduzierung dieser potenziellen Bedrohungen erfordert eine fehlersichere Konfiguration, einen Entwurfsprozess für die Patchverwaltung und Zeitpläne für die regelmäßige Patchbereitstellung. Es ist besser, die Defense-in-Depth-Prinzipien zu befolgen und Umgebungen getrennt zu halten.

Die folgende Tabelle fasst die Empfehlungen für jedes Szenario zusammen.

Szenario mit Vertrauensebene Empfohlene Lösung
Benutzer aus einer einzigen Organisation mit Standardberechtigungen Verwenden Sie ein Windows Enterprise-Betriebssystem mit mehreren Sitzungen.
Benutzer benötigen Administratorrechte. Verwenden Sie einen persönlichen Hostpool, und weisen Sie jeder Benutzerin und jedem Benutzer einen eigenen Sitzungshost zu.
Benutzer aus verschiedenen Organisationen, die eine Verbindung herstellen Trennen Sie Azure-Mandanten und Azure-Abonnement

Azure-Sicherheit – bewährte Methoden

Azure Virtual Desktop ist ein Dienst unter Azure. Um die Sicherheit Ihrer Azure Virtual Desktop-Bereitstellung zu maximieren, sollten Sie auch die umgebende Azure-Infrastruktur und die Verwaltungsebene sichern. Berücksichtigen Sie zur Sicherung Ihrer Infrastruktur, wie sich Azure Virtual Desktop in Ihr umfassenderes Azure-Ökosystem einfügt. Weitere Informationen zum Azure-Ökosystem finden Sie unter Sicherheit in Azure – bewährte Methoden und Muster.

Die heutige Bedrohungslandschaft erfordert Entwürfe unter Berücksichtigung von Sicherheitsansätzen. Im Idealfall sollten Sie eine Reihe von Sicherheitsmechanismen und Steuerungen erstellen, die im gesamten Computernetzwerk verteilt sind, um Ihre Daten und das Netzwerk vor einer Kompromittierung oder vor Angriffen zu schützen. Diese Art von Sicherheitsentwurf wird von der US-Cybersicherheitsbehörde Cybersecurity and Infrastructure Security Agency (CISA) als Defense in Depth (Verteidigung in der Tiefe) bezeichnet.

Die folgenden Abschnitte enthalten Empfehlungen zum Sichern einer Azure Virtual Desktop-Bereitstellung.

Aktivieren von Microsoft Defender für Cloud

Wir empfehlen die Aktivierung der erweiterten Sicherheitsfunktionen von Microsoft Defender für Cloud für folgende Aktionen:

  • Verwalten von Sicherheitsrisiken
  • Bewerten Sie die Konformität anhand üblicher Frameworks, z. B. vom PCI Security Standards Council.
  • Erhöhen Sie die allgemeine Sicherheit Ihrer Umgebung.

Weitere Informationen finden Sie unter Aktivieren erweiterter Sicherheitsfunktionen.

Verbessern Ihrer Sicherheitsbewertung

Die Sicherheitsbewertung bietet Empfehlungen und Ratschläge zu bewährten Methoden zur Verbesserung Ihrer allgemeinen Sicherheit. Diese Empfehlungen sind nach Prioritäten geordnet, um Ihnen bei der Auswahl der wichtigsten Empfehlungen zu helfen, und die Optionen für die schnelle Problembehebung helfen Ihnen, potenzielle Sicherheitsrisiken schnell zu beheben. Zudem werden diese Empfehlungen im Laufe der Zeit aktualisiert, sodass Sie immer auf dem Laufenden sind, wie Sie die Sicherheit Ihrer Umgebung am besten sicherstellen können. Weitere Informationen finden Sie unter Verbessern Ihres Secure Scores (Indikator für Sicherheitsbewertung) in Microsoft Defender für Cloud.

Erzwingen der mehrstufigen Authentifizierung

Die Anforderung einer Multi-Faktor-Authentifizierung für alle Benutzer*innen und Administrator*innen in Azure Virtual Desktop verbessert die Sicherheit Ihrer gesamten Bereitstellung. Weitere Informationen finden Sie unter Aktivieren der Multi-Faktor-Authentifizierung von Microsoft Entra für Azure Virtual Desktop.

Aktivieren des bedingten Zugriffs

Durch die Aktivierung des bedingten Zugriffs können Sie Risiken verwalten, bevor Sie Benutzern Zugriff auf Ihre Azure Virtual Desktop-Umgebung gewähren. Bei der Entscheidung, welchen Benutzern der Zugriff gewährt werden soll, sollten Sie auch berücksichtigen, wer der Benutzer ist, wie er sich anmeldet und welches Gerät er verwendet.

Sammeln von Überwachungsprotokollen

Wenn Sie das Sammeln von Überwachungsprotokollen aktivieren, können Sie Benutzer- und Verwaltungsaktivitäten im Zusammenhang mit Azure Virtual Desktop anzeigen. Einige Beispiele für wichtige Überwachungsprotokolle sind:

Überwachen der Nutzung mit Azure Monitor

Überwachen Sie die Nutzung und Verfügbarkeit Ihres Azure Virtual Desktop-Diensts mit Azure Monitor. Ziehen Sie in Erwägung, Warnungen zur Dienstintegrität für den Azure Virtual Desktop-Dienst zu erstellen, um Benachrichtigungen zu erhalten, wann immer ein Ereignis auftritt, das sich auf den Dienst auswirkt.

Verschlüsseln Ihrer Sitzungshosts

Verschlüsseln Sie Ihre Sitzungshosts mit Optionen für die Verschlüsselung von verwalteten Datenträgern, um gespeicherte Dateien vor nicht autorisierten Zugriffen zu schützen.

Bewährte Sicherheitsmethoden für den Sitzungshost

Sitzungshosts sind virtuelle Computer, die in einem Azure-Abonnement und einem virtuellen Netzwerk ausgeführt werden. Die Gesamtsicherheit der Azure Virtual Desktop-Bereitstellung hängt von den Sicherheitskontrollen ab, die Sie auf Ihren Sitzungshosts einrichten. In diesem Abschnitt werden bewährte Methoden für die Sicherheit der Sitzungshosts beschrieben.

Aktivieren von Endpoint Protection

Zum Schutz Ihrer Bereitstellung vor bekannter bösartiger Software empfehlen wir, Endpoint Protection auf allen Sitzungshosts zu aktivieren. Sie können entweder Windows Defender Antivirus oder ein Programm eines Drittanbieters verwenden. Weitere Informationen finden Sie unter Leitfaden zur Bereitstellung für Windows Defender Antivirus in einer VDI-Umgebung.

Für Profillösungen wie FSLogix oder andere Lösungen, die VHD-Dateien einbinden, empfehlen wir, diese Dateierweiterungen auszuschließen. Weitere Informationen zu FSLogix-Ausschlüssen finden Sie unter Konfigurieren von Antivirendatei- und Ordnerausschlüssen.

Installieren eines Produkts zur Endpunkterkennung und -antwort

Es wird empfohlen, ein EDR-Produkt (Endpunkterkennung und -antwort) zu installieren, um erweiterte Erkennungs- und Antwortfunktionen bereitzustellen. Bei Serverbetriebssystemen mit aktiviertem Microsoft Defender für Cloud wird bei der Installation eines EDR-Produkts der Microsoft Defender für Endpunkt bereitgestellt. Für Clientbetriebssysteme können Sie den Microsoft Defender für Endpunkt oder ein Produkt eines Drittanbieters an diesen Endpunkten bereitstellen.

Aktivieren von Bewertungen des Bedrohungs- und Sicherheitsrisikomanagements

Die Identifizierung von Softwaresicherheitsrisiken, die in Betriebssystemen und Anwendungen vorhanden sind, ist entscheidend für die Sicherheit Ihrer Umgebung. Microsoft Defender für Cloud kann Ihnen helfen, Probleme über das Untersuchen von Schwachstellen mit dem Bedrohungs- und Sicherheitsrisikomanagement von Microsoft Defender für Endpunkt zu identifizieren. Sie können auch Produkte von Drittanbietern verwenden, wenn Sie dazu geneigt sind, obwohl wir die Verwendung von Microsoft Defender für Cloud und Microsoft Defender für Endpunkt empfehlen.

Patchen von Softwaresicherheitsrisiken in Ihrer Umgebung

Nachdem Sie ein Sicherheitsrisiko identifiziert haben, müssen Sie es Patchen. Dies gilt auch für virtuelle Umgebungen, d. h. für die aktiven Betriebssysteme, die darin bereitgestellten Anwendungen und die Images, mit denen Sie neue Computer erstellen. Befolgen Sie die Mitteilungen Ihrer Anbieter zur Patchbenachrichtigung, und wenden Sie Patches zeitnah an. Es wird empfohlen, Ihre Basisimages monatlich zu patchen, um sicherzustellen, dass neu bereitgestellte Computer so sicher wie möglich sind.

Einrichten von Richtlinien für die maximale inaktive Zeit und die Trennung von Verbindungen

Das Abmelden von Benutzern, wenn diese inaktiv sind, schont die Ressourcen und verhindert den Zugriff durch nicht autorisierte Benutzer. Es wird empfohlen, dass Zeitlimits die Benutzerproduktivität und die Ressourcennutzung ausgleichen. Für Benutzer, die mit zustandslosen Anwendungen interagieren, sollten offensivere Richtlinien in Betracht gezogen werden, die Computer abschalten und Ressourcen bewahren. Das Trennen der Verbindung zeitintensiver Anwendungen, die weiterhin ausgeführt werden, wenn ein Benutzer im Leerlauf ist, z. B. eine Simulation oder ein CAD-Rendering, kann die Arbeit des Benutzers unterbrechen und möglicherweise sogar einen Neustart des Computers erfordern.

Einrichten von Bildschirmsperren für Leerlaufsitzungen

Sie können unerwünschten Systemzugriff verhindern, indem Sie Azure Virtual Desktop so konfigurieren, dass der Bildschirm eines Computers während des Leerlaufs gesperrt wird und eine Authentifizierung zum Entsperren erforderlich ist.

Einrichten eines mehrstufigen Administratorzugriffs

Es wird empfohlen, Ihren Benutzern keinen Administratorzugriff auf virtuelle Desktops zu gewähren. Wenn Sie Softwarepakete benötigen, empfehlen wir Ihnen, diese über Hilfsprogramme für die Konfigurationsverwaltung wie Microsoft Intune zur Verfügung zu stellen. In einer Umgebung mit mehreren Sitzungen wird empfohlen, dass Benutzer die Software nicht direkt installieren dürfen.

Berücksichtigen, welche Benutzer auf welche Ressourcen zugreifen sollten

Betrachten Sie Sitzungshosts als eine Erweiterung Ihrer bestehenden Desktopbereitstellung. Es wird empfohlen, den Zugriff auf Netzwerkressourcen auf dieselbe Weise zu steuern, wie für andere Desktops in Ihrer Umgebung, z. B. durch Netzwerksegmentierung und Filterung. Standardmäßig können Sitzungshosts eine Verbindung zu jeder beliebigen Ressource im Internet herstellen. Es gibt verschiedene Möglichkeiten, den Datenverkehr einzuschränken, einschließlich der Verwendung von Azure Firewall, virtueller Netzwerkgeräte oder Proxys. Wenn Sie den Datenverkehr einschränken müssen, stellen Sie sicher, dass Sie die richtigen Regeln hinzufügen, damit Azure Virtual Desktop ordnungsgemäß funktionieren kann.

Verwalten der Sicherheit von Microsoft 365-Apps

Zusätzlich zum Schutz der Sitzungshosts ist es wichtig, die darin ausgeführten Anwendungen ebenfalls zu sichern. Microsoft 365 Apps sind einige der am häufigsten in Sitzungshosts eingesetzten Anwendungen. Um die Sicherheit der Microsoft 365-Bereitstellung zu verbessern, empfehlen wir Ihnen die Verwendung des Sicherheitsrichtlinienratgebers für Microsoft 365-Apps for Enterprise. Dieses Tool identifiziert Richtlinien, die Sie für mehr Sicherheit auf Ihre Bereitstellung anwenden können. Der Sicherheitsrichtlinienberater empfiehlt Richtlinien auch auf der Grundlage ihrer Auswirkungen auf Ihre Sicherheit und Produktivität.

Sicherheit von Benutzerprofilen

Benutzerprofile können vertrauliche Informationen enthalten. Sie sollten einschränken, wer Zugriff auf Benutzerprofile und die Methoden für den Zugriff darauf hat, insbesondere wenn Sie den FSLogix-Profilcontainer verwenden, um Benutzerprofile in einer virtuellen Festplattendatei eines SMB-Anteils zu speichern. Sie sollten die Sicherheitsempfehlungen für den Anbieter Ihres SMB-Anteils befolgen. Wenn Sie beispielsweise Azure Files verwenden, um diese VHDX-Dateien zu speichern, können Sie private Endpunkte verwenden, um sie nur innerhalb eines virtuellen Azure-Netzwerks zugänglich zu machen.

Weitere Sicherheitstipps für Sitzungshosts

Indem Sie die Funktionen des Betriebssystems einschränken, können Sie die Sicherheit Ihrer Sitzungshosts erhöhen. Hier folgen einige durchführbare Schritte:

  • Steuern Sie die Geräteumleitung, indem Sie Laufwerke, Drucker und USB-Geräte in einer Remotedesktopsitzung auf das lokale Gerät eines Benutzers umleiten. Es wird empfohlen, dass Sie Ihre Sicherheitsanforderungen auswerten und prüfen, ob diese Features deaktiviert werden sollten oder nicht.

  • Schränken Sie den Zugriff auf Windows Explorer ein, indem Sie lokale und Remotelaufwerkszuordnungen ausblenden. Dadurch wird verhindert, dass Benutzer unerwünschte Informationen über Systemkonfigurationen und Benutzer entdecken.

  • Vermeiden Sie den direkten RDP-Zugriff auf Sitzungshosts in Ihrer Umgebung. Wenn Sie direkten RDP-Zugriff für die Verwaltung oder Problembehandlung benötigen, aktivieren Sie Just-In-Time-Zugriff, um die potenzielle Angriffsfläche auf einem Sitzungshost einzuschränken.

  • Gewähren Sie Benutzern eingeschränkte Berechtigungen, wenn sie auf lokale und Remotedateisysteme zugreifen. Sie können Berechtigungen einschränken, indem Sie sicherstellen, dass Ihre lokalen und Remotedateisysteme Zugriffssteuerungslisten mit geringsten Rechten verwenden. Auf diese Weise können Benutzer nur auf erforderliche Daten zugreifen und können wichtige Ressourcen nicht ändern oder löschen.

  • Verhindern Sie die Ausführung unerwünschter Software auf Sitzungshosts. Sie können AppLocker für zusätzliche Sicherheit auf Sitzungshosts aktivieren, um sicherzustellen, dass nur die von Ihnen zugelassenen Apps auf dem Host ausgeführt werden können.

Vertrauenswürdiger Start

Der vertrauenswürdige Start bezieht sich auf Azure-VMs mit erweiterten Sicherheitsfeatures zum Schutz vor beständigen Angriffstechniken, wie Bedrohungen in der unteren Ebene des Stapels durch Angriffsvektoren wie z. B. Rootkits, Bootkits und Schadsoftware auf Kernelebene. Er ermöglicht die sichere Bereitstellung von VMs mit verifizierten Bootloadern, Betriebssystemkerneln und Treibern und schützt außerdem Schlüssel, Zertifikate und Geheimnisse in den VMs. Weitere Informationen zum vertrauenswürdigen Start finden Sie unter Vertrauenswürdiger Start für Azure-VMs.

Wenn Sie Sitzungshosts mithilfe des Azure-Portals hinzufügen, ist der Standardsicherheitstyp Vertrauenswürdige VMs. Dadurch wird sichergestellt, dass Ihre VM die obligatorischen Anforderungen für Windows 11 erfüllt. Weitere Informationen zu diesen Anforderungen finden Sie unter VM-Unterstützung.

VMs für Azure Confidential Computing

Mit der Azure Virtual Desktop-Unterstützung für Azure Confidential Computing-VMs wird sichergestellt, dass der virtuelle Desktop eines Benutzers im Speicher verschlüsselt, bei der Verwendung geschützt und durch einen Vertrauensanker in der Hardware gesichert wird.

Durch die Bereitstellung vertraulicher VMs mit Azure Virtual Desktop erhalten Benutzerinnen und Benutzer Zugriff auf Microsoft 365 und andere Anwendungen auf Sitzungshosts, die die hardwarebasierte Isolation nutzen, wodurch die Isolation von anderen VMs, dem Hypervisor und dem Hostbetriebssystem verstärkt wird. Verschlüsselungsschlüssel für den Speicher werden durch einen dedizierten sicheren Prozessor innerhalb der CPU generiert und gesichert, die nicht von Software gelesen werden können. Weitere Informationen, einschließlich zu verfügbaren VM-Größen, finden Sie unter Übersicht über Azure Confidential Computing.

Die folgenden Betriebssysteme werden für die Verwendung als Sitzungshosts mit vertraulichen VMs auf Azure Virtual Desktop unterstützt, sofern es sich um Versionen handelt, die aktiv unterstützt werden. Die Supportdaten finden Sie unter Microsoft Lifecycle-Richtlinie.

  • Windows 11 Enterprise
  • Windows 11 Enterprise Mehrfachsitzung
  • Windows 10 Enterprise
  • Windows 10 Enterprise für mehrere Sitzungen
  • Windows Server 2022
  • Windows Server 2019

Sie können Sitzungshosts mithilfe vertraulicher VMs erstellen, wenn Sie Azure Virtual Desktop bereitstellen oder einem Hostpool Sitzungshosts hinzufügen.

Verschlüsselung von Betriebssystemdatenträgern

Die Verschlüsselung des Betriebssystemdatenträgers ist eine zusätzliche Verschlüsselungsebene, die Datenträgerverschlüsselungsschlüssel an das Trusted Platform Module (TPM) der Confidential Computing-VM bindet. Durch diese Verschlüsselung wird der Datenträgerinhalt nur für die VM zugänglich. Die Integritätsüberwachung ermöglicht den kryptografischen Nachweis und die Überprüfung der VM-Startintegrität sowie die Überwachung von Benachrichtigungen, wenn die VM nicht gestartet wurde, weil der Nachweis mit der definierten Baseline fehlgeschlagen ist. Weitere Informationen zur Integritätsüberwachung finden Sie unter Integration von Microsoft Defender for Cloud. Sie können die Verschlüsselung vertraulicher Computeressourcen aktivieren, wenn Sie Sitzungshosts mithilfe vertraulicher VMs erstellen, wenn Sie einen Hostpool erstellen oder einem Hostpool Sitzungshosts hinzufügen.

Sicherer Start

Der sichere Start ist ein in der Plattformfirmware unterstützter Modus, der die Firmware vor schadsoftwarebasierten Rootkits und Bootkits schützt. In diesem Modus können nur signierte Betriebssysteme und Treiber gebootet werden.

Überwachen der Startintegrität über Remotenachweis

Der Remotenachweis eignet sich ideal zum Überprüfen der Integrität Ihrer VMs. Mit dem Remotenachweis wird geprüft, ob Datensätze des kontrollierten Starts vorhanden und echt sind und aus dem virtuellen Trusted Platform Module (vTPM) stammen. Als Integritätsprüfung bietet er kryptografische Sicherheit, dass eine Plattform ordnungsgemäß gestartet wurde.

vTPM

Ein vTPM ist eine virtualisierte Version eines Trusted Platform Module (TPM) mit einer virtuellen Instanz eines TPM pro VM. vTPM ermöglicht einen Remotenachweis, indem eine Integritätsmessung der gesamten Startkette der VM (UEFI, Betriebssystem, System und Treiber) durchgeführt wird.

Es wird empfohlen, das vTPM für die Verwendung des Remotenachweises auf Ihren VMs zu aktivieren. Bei aktiviertem vTPM können Sie außerdem die BitLocker-Funktionalität mit Azure Disk Encryption aktivieren, mit der vollständige Volumeverschlüsselung zum Schutz von ruhenden Daten gewährleistet wird. Alle Funktionen, bei denen das vTPM verwendet wird, haben zur Folge, dass Geheimnisse an die spezifische VM gebunden sind. Wenn Benutzer in einem Poolszenario eine Verbindung mit dem Azure Virtual Desktop-Dienst herstellen, können sie zu jeder VM im Hostpool umgeleitet werden. Je nachdem, wie die Funktion gestaltet ist, wirkt sich dies möglicherweise negativ aus.

Hinweis

BitLocker sollte nicht dazu verwendet werden, den Datenträger zu verschlüsseln, auf dem Ihre FSLogix-Profildaten gespeichert sind.

Virtualisierungsbasierte Sicherheit

Bei der virtualisierungsbasierten Sicherheit (VBS) wird über Hypervisor ein sicherer Speicherbereich erstellt und isoliert, der für das Betriebssystem nicht zugänglich ist. Bei HVCI (Hypervisor-Protected Code Integrity) und Windows Defender Credential Guard sorgt VBS für einen verstärkten Schutz vor Sicherheitsrisiken.

Hypervisor-Protected Code Integrity

HVCI bietet eine leistungsstarke Risikominderung für das System unter Verwendung von VBS und schützt Windows-Kernelmodusprozesse vor der Einschleusung und Ausführung von schädlichem oder nicht überprüftem Code.

Windows Defender Credential Guard

Aktivieren von Windows Defender Credential Guard. Mit Windows Defender Credential Guard werden Geheimnisse mithilfe von VBS isoliert und geschützt, sodass der Zugriff nur über privilegierte Systemsoftware erfolgen kann. Dies verhindert einen nicht autorisierten Zugriff auf diese Geheimnisse und Angriffe zum Diebstahl von Anmeldeinformationen, z. B. Pass-the-Hash-Angriffe. Weitere Informationen finden Sie unter Übersicht über Credential Guard.

Windows Defender Application Control

Aktivieren Sie Windows Defender Application Control Die Windows Defender-Anwendungssteuerung wurde entwickelt, um Geräte vor Schadsoftware und anderer nicht vertrauenswürdiger Software zu schützen. Dadurch wird verhindert, dass bösartiger Code ausgeführt wird, indem sichergestellt wird, dass nur genehmigter Code ausgeführt werden kann, den Sie kennen. Weitere Informationen finden Sie unter Anwendungssteuerung für Windows.

Hinweis

Wenn Sie die Windows Defender-Anwendungssteuerung verwenden, wird empfohlen, nur Richtlinien auf Geräteebene als Ziel zu verwenden. Obwohl es möglich ist, Richtlinien auf einzelne Benutzer auszurichten, wirkt sich die Richtlinie, sobald sie angewendet wird, auf alle Benutzer des Geräts gleichermaßen aus.

Windows Update

Halten Sie Ihre Sitzungshosts mit Updates von Windows Update auf dem neuesten Stand. Windows Update bietet eine sichere Möglichkeit, Ihre Geräte auf dem neuesten Stand zu halten. Der End-to-End-Schutz verhindert Manipulationen des Protokollaustauschs und stellt sicher, dass Updates nur genehmigte Inhalte enthalten. Möglicherweise müssen Sie Firewall- und Proxyregeln für einige Ihrer geschützten Umgebungen aktualisieren, um den richtigen Zugriff auf Windows Updates zu erhalten. Weitere Informationen erhalten Sie unter Windows Update-Sicherheit.

Remotedesktopclient und Updates auf anderen Betriebssystemplattformen

Softwareupdates für die Remotedesktopclients, die Sie für den Zugriff auf Azure Virtual Desktop-Dienste auf anderen Betriebssystemplattformen verwenden können, werden gemäß den Sicherheitsrichtlinien der jeweiligen Plattformen geschützt. Alle Clientupdates werden direkt von ihren Plattformen bereitgestellt. Weitere Informationen finden Sie auf der Store-Seite der jeweiligen App:

Nächste Schritte