Hosts e aplicativos de sessão seguros
Clientes podem realizar várias ações e usar várias ferramentas para ajudar a proteger a implantação da Área de Trabalho Virtual do Azure. A tabela a seguir lista algumas sugestões testadas para proteger a implantação da Área de Trabalho Virtual do Azure.
| Práticas recomendadas | Resultado |
|---|---|
| Habilitar o Microsoft Defender para Nuvem para seus recursos de gerenciamento da postura de segurança na nuvem (CSPM) | Usar o recurso CSPM da pontuação de segurança para melhorar sua segurança geral. |
| Requer autenticação multifator | Aprimore a autenticação do usuário. |
| Habilitar Acesso Condicional | Gerenciar os riscos antes de conceder acesso aos usuários. |
| Coletar logs de auditoria | Revisar a atividade do usuário e do administrador. |
| Usar RemoteApp | Reduzir o risco, permitindo que o usuário trabalhe com apenas um subconjunto do computador remoto exposto. |
| Monitorar o uso com o Azure Monitor | Criar alertas de integridade do serviço para receber notificações do serviço da Área de Trabalho Virtual do Azure. |
| Habilitar proteção do ponto de extremidade | Proteger sua implantação de malware conhecido. |
| Instalar um produto de EDR (EDR) | Usar EDR para fornecer recursos avançados de detecção e resposta. |
| Permitir avaliações de gerenciamento de ameaças e vulnerabilidades | Ajuda a identificar pontos de problema por meio de avaliações de vulnerabilidade para sistemas operacionais de servidor. |
| Correção de vulnerabilidades de software em seu ambiente | Quando uma vulnerabilidade é identificada, no local ou em um ambiente virtual, você deve corrigi-la. |
| Estabeleça tempo máximo de inatividade e políticas de desconexão | Desconecte usuários quando eles estiverem inativos para preservar recursos e impedir o acesso não autorizado. |
| Bloquear tela de configuração para sessões inativas | Evite o acesso indesejado ao sistema configurando a Área de Trabalho Virtual do Azure para bloquear a tela de um computador durante o tempo ocioso e exigindo autenticação para desbloqueá-la. |
| Não conceda a seus usuários acesso de administrador a área de trabalho virtual | Gerenciar pacotes de software usando o Gerenciador de Configurações. |
| Considere quais usuários devem acessar quais recursos | Limite a conexão do host aos recursos da Internet. |
| Restringir os recursos do sistema operacional | Fortaleça a segurança de seus hosts de sessão. |
| Nos pools de host da Área de Trabalho Virtual do Azure, limite o redirecionamento do dispositivo nas propriedades RDP | Evitar o vazamento de dados. |
Habilitar a proteção do ponto de extremidade usando o Microsoft Defender para Ponto de Extremidade
Para ajudar a segurar os terminais de uma empresa, recomendamos que você configure o Microsoft Defender para Ponto de Extremidade. Previamente, era conhecido como Windows Defender para Ponto de extremidade. Microsoft Defender para Ponto de Extremidade é normalmente usado no local, mas também pode ser usado em um ambiente de infraestrutura da área de trabalho virtual (VDI).
Para implantar o Microsoft Defender para Ponto de Extremidade em suas VMs da Área de Trabalho Virtual do Azure, registre as VMs no Microsoft Defender para Nuvem. O Defender para Nuvem fornece uma licença como parte de sua oferta padrão.
Você também deve usar o provisionamento automático. As configurações de provisionamento automático no Defender for Cloud têm uma alternância para cada tipo de extensão com suporte. Ao habilitar o provisionamento automático de uma extensão, você atribui a política DeployIfNotExists apropriada para garantir que a extensão seja provisionada em todos os recursos existentes e futuros desse tipo.
Observação
Habilitar o provisionamento automático do agente de Análise de Log. Quando o provisionamento automático é ativado para o agente do Log Analytics, o Defender for Cloud implanta o agente em todas as VMs do Azure com suporte e quaisquer novas que forem criadas.
Integração do Microsoft Endpoint Manager com o Microsoft Intune
Microsoft 365 inclui suporte para o centro de administração do Microsoft Endpoint Manager e o Microsoft Endpoint Configuration Manager.
Você pode usar o Microsoft Intune para criar e verificar a conformidade. Você também pode usá-lo para implantar aplicativos, recursos e configurações em seus dispositivos que usam o Azure.
O Microsoft Intune está integrado no Microsoft Entra ID para autenticação e autorização. Ele também se integra a Proteção de Informações do Azure para proteção de dados. Você pode usar o Microsoft Intune com o pacote de produtos Microsoft 365.
A tabela a seguir descreve algumas das principais funcionalidades do Microsoft Intune.
| Funcionalidade | Descrição |
|---|---|
| Gerenciamento de dispositivos | Dispositivos registrados de propriedade do usuário e da organização no Microsoft Intune recebem regras e configurações por meio de políticas que você configura para corresponder às políticas de segurança da sua organização. |
| Gerenciamento de aplicativos | Gerenciamento de aplicativos móveis no Microsoft Intune pode trazer o gerenciamento de aplicativos em dispositivos de propriedade da organização e dispositivos pessoais. |
| Conformidade e Acesso Condicional | O Intune integra-se com o Microsoft Entra ID para permitir um vasto conjunto de cenários de controlo de acesso. |
Controle de aplicativos passa de um modelo de confiança de aplicativo que assume que todos os aplicativos são confiáveis. O novo modelo exige que os aplicativos ganhem confiança antes de serem executados. Windows 10 inclui duas tecnologias para controle de aplicativos: Controle de Aplicativos e AppLocker do Windows Defender.
Controle de Aplicativos do Windows Defender
Windows 10 introduziu o Controle de Aplicativos do Windows Defender. Organizações podem usar esse recurso para controlar os drivers e aplicativos que podem ser executados em seus clientes Windows 10.
Inicialmente no Windows 10, o Controle de Aplicativos do Windows Defender era conhecido como integridade de código configurável. Integridade do código configurável não possui requisitos específicos de hardware ou software além da execução do Windows 10. Era também um dos recursos que continham o agora extinto do Microsoft Defender Device Guard.
AppLocker
Recomendamos o uso do AppLocker como parte de sua estratégia geral de controle de aplicativos. Ele permite que aplicativos predefinidos sejam executados em seus sistemas.
Regras de restrição das políticas de controle do AppLocker são baseadas em:
- Atributos de arquivo, como a assinatura digital
- Nome do produto
- Nome do arquivo
- Versão do arquivo
As regras padrão bloqueiam muitos scripts, pacotes do Windows Installer e arquivos executáveis.
AppLocker inclui regras padrão para cada coleção de regras para garantir que os arquivos necessários para o Windows operar corretamente sejam permitidos em uma coleção de regras do AppLocker. As regras padrão também permitem que os membros do grupo Administradores local executem todos os arquivos do Windows Installer. As regras padrão são:
- Permitir que os membros do grupo Todos executem arquivos do Windows Installer assinados digitalmente.
- Permitir que os membros do grupo Todos executem todos os arquivos do Windows Installer localizados na pasta Windows\Installer.
- Permitir que membros do grupo Administradores local executem todos os scripts.
Uma coleção de regras de AppLocker funciona como uma lista de arquivos permitidos. Apenas os arquivos listados na coleção de regras podem ser executados. Essa configuração torna mais fácil determinar o que ocorrerá quando uma regra de AppLocker for aplicada. Como o AppLocker funciona como uma lista permitida por padrão, se nenhuma regra permitir ou negar explicitamente a execução de um arquivo, a ação negar padrão do AppLocker bloqueará o arquivo.