Recomendações de segurança para a Área de Trabalho Virtual do Azure
A Área de Trabalho Virtual do Azure é um serviço de área de trabalho virtual gerenciado que inclui várias funcionalidades de segurança para manter sua organização segura. A arquitetura da Área de Trabalho Virtual do Azure compreende muitos componentes que compõem o serviço que conecta os usuários a suas áreas de trabalho e aplicativos.
A Área de Trabalho Virtual do Azure possui vários recursos de segurança avançados internos, como a Conexão Reversa, que não exige portas de redes de entrada abertas e reduz o risco envolvido em ter áreas de trabalho remotas acessíveis de qualquer lugar. O serviço também dispõe de benefícios de muitos outros recursos de segurança do Azure como, por exemplo, a autenticação multifator e o acesso condicional. Este artigo descreve as etapas que um administrador pode seguir para manter as implantações da Área de Trabalho Virtual do Azure seguras, independentemente de fornecer áreas de trabalho e aplicativos aos usuários na organização ou aos usuários externos.
Responsabilidade compartilhada pela segurança
Antes da Área de Trabalho Virtual do Azure, soluções locais de virtualização como os Serviços de Área de Trabalho Remota exigiam que os usuários recebessem funções como Gateway, Broker, Acesso via Web e assim por diante. Essas funções tinham de ser totalmente redundantes e capazes de lidar com a capacidade de pico. Os administradores instalavam essas funções como parte do sistema operacional Windows Server e precisavam conectá-las ao domínio com portas específicas acessíveis para conexões públicas. Para manter as implantações seguras, os administradores tinham de garantir constantemente que tudo na infraestrutura estava adequado e atualizado.
No entanto, para a maioria dos serviços de nuvem há um conjunto compartilhado de responsabilidades de segurança entre a Microsoft e o cliente ou o parceiro. Na Área de Trabalho Virtual do Azure, a maioria dos componentes são gerenciados pela Microsoft, mas, os hosts da sessão e alguns serviços e componentes de suporte são gerenciados pelo cliente ou pelo parceiro. Para saber mais sobre os componentes da Área de Trabalho Virtual do Azure gerenciados pela Microsoft, consulte Arquitetura e resiliência do serviço da Área de Trabalho Virtual do Azure.
Embora alguns componentes já estejam protegidos para o ambiente, será necessário que você configure as outras áreas para ajustá-las às necessidades de segurança da organização ou do cliente. Estes são os componentes pelos quais você será responsável pela segurança na implantação da Área de Trabalho Virtual do Azure:
Componente | Capacidade de resposta |
---|---|
Identidade | Cliente ou parceiro |
Dispositivos de usuário (móvel e PC) | Cliente ou parceiro |
Segurança do aplicativo | Cliente ou parceiro |
Sistema operacional de host da sessão | Cliente ou parceiro |
Configuração de implantação | Cliente ou parceiro |
Controles de rede | Cliente ou parceiro |
Plano de controle de virtualização | Microsoft |
Hosts físicos | Microsoft |
Rede física | Microsoft |
Datacenter físico | Microsoft |
Limites de segurança
Limites de segurança separam o código e os dados de domínios de segurança com diferentes níveis de confiança. Por exemplo, há geralmente um limite de segurança entre o modo kernel e o modo de usuário. A maioria dos softwares e dos serviços da Microsoft depende de vários limites de segurança para isolar dispositivos em redes, VMs (máquinas virtuais) e aplicativos em dispositivos. A tabela a seguir lista cada limite de segurança do Windows e o papel deles na segurança geral.
Marco de delimitação de segurança | Descrição |
---|---|
Limite de rede | Um ponto de extremidade de rede não autorizado não pode acessar nem adulterar o código e os dados no dispositivo de um cliente. |
Limite de kernel | Um processo de modo de usuário não administrativo não pode acessar nem adulterar o código e os dados do kernel. A função de administrador de kernel não é um limite de segurança. |
Limite de processo | Um processo de modo de usuário não autorizado não pode acessar nem adulterar o código e os dados de outro processo. |
Limite de área restrita do AppContainer | Um processo de área restrita baseado no AppContainer não pode acessar nem adulterar o código e os dados fora da área restrita com base nos recursos do contêiner. |
Limite de usuário | Um usuário não pode acessar nem adulterar o código e os dados de outro usuário sem autorização. |
Limite de sessão | Uma sessão de usuário não pode acessar nem adulterar outra sessão de usuário sem autorização. |
Limite de navegador da Web | Um site não autorizado não pode violar a política de mesma origem nem acessar/adulterar o código nativo e os dados da área restrita do navegador Web Microsoft Edge. |
Limite de máquina virtual | Uma máquina virtual Hyper-V convidada não autorizada não pode acessar nem adulterar o código e os dados de outra máquina virtual convidada, o que inclui contêineres isolados do Hyper-V. |
Limite do VSM (modo de segurança virtual) | Os códigos que são executados fora do enclave ou do processo confiável do VSM não podem acessar nem adulterar o código e os dados do processo confiável. |
Limites de segurança recomendados para cenários da Área de Trabalho Virtual do Azure
Também pode ser necessário escolher os limites de segurança caso a caso. Por exemplo, se um usuário na sua organização precisa ter privilégios de administrador local para instalar aplicativos, é necessário que você forneça ao administrador uma área de trabalho pessoal em vez de um host da sessão compartilhado. Não é recomendável conceder privilégios de administrador local para usuários em cenários de pool de múltiplas sessões porque esses usuários poderão ultrapassar os limites de segurança das sessões ou permissões de dados NTFS, desligar VMs com múltiplas sessões ou realizar outras ações que poderão interromper o serviço ou causar perdas de dados.
Usuários da mesma organização, por exemplo, trabalhadores do conhecimento com aplicativos que não exigem privilégios de administrador, são excelentes candidatos para hosts da sessão com múltiplas sessões, como o Windows 11 Enterprise com múltiplas seções. Esses hosts da sessão reduzem os custos para a organização, já que vários usuários poderão compartilhar uma única VM e apenas com os custos de sobrecarga de uma VM por usuário. Com produtos de gerenciamento de perfil do usuário como o FSLogix, é possível atribuir usuários a VMs em um pool de host sem que interrupções no serviço sejam percebidas. Esse recurso também permite otimizar os custos, como através do desligamento de VMs fora do horário de pico.
Se sua situação exigir que usuários de organizações diferentes se conectem à sua implantação, recomendamos que você tenha um locatário separado para serviços de identidade, como o Active Directory e o Microsoft Entra ID. Também é recomendável que esses usuários tenham uma assinatura separada para hospedar recursos do Azure, como VMs e Área de Trabalho Virtual do Azure.
Em muitos casos, o uso de várias sessões é uma maneira aceitável de reduzir os custos, mas a recomendação dele depende do nível de confiança entre os usuários com acesso simultâneo a uma instância compartilhada de várias sessões. Normalmente, os usuários que pertencem à mesma organização têm uma relação de confiança suficiente e acordada. Por exemplo, um departamento ou grupo de trabalho em que as pessoas colaboram e podem acessar as informações pessoais umas das outras é uma organização com alto nível de confiança.
O Windows usa controles e limites de segurança para garantir que os processos e os dados do usuário sejam isolados entre as sessões. No entanto, ele ainda fornece acesso à instância em que o usuário está trabalhando.
Implantações com múltiplas sessões se beneficiam de uma estratégia de segurança aprofundada que adiciona mais limites de segurança para evitar que usuários, tanto dentro quanto fora da organização, recebam acesso não autorizado às informações pessoais de outros usuários. O acesso não autorizado a dados ocorre devido a um erro do administrador do sistema no processo de configuração, como uma vulnerabilidade de segurança não divulgada ou uma vulnerabilidade conhecida que ainda não foi corrigida.
Não é recomendável conceder a usuários que trabalhem em empresas diferentes ou concorrentes o acesso ao mesmo ambiente com múltiplas sessões. Esses cenários têm vários limites de segurança que podem ser atacados ou aproveitados, como redes, kernel, processos, usuários ou sessões. Uma única vulnerabilidade de segurança pode causar roubos de credenciais e dados não autorizados, vazamentos de informações pessoais, roubo de identidade, entre outros problemas. Os provedores de ambientes virtualizados são responsáveis por oferecer, sempre que possível, sistemas bem projetados com diversos limites de segurança sólidos e recursos adicionais de segurança habilitados.
Reduzir essas ameaças potenciais requer uma configuração à prova de falhas, um processo de design de gerenciamento de patches e agendas de implantação regular de patches. É recomendado seguir os princípios de defesa em profundidade e manter os ambientes separados.
A tabela a seguir resume as nossas recomendações para cada cenário.
Cenário de nível de confiança | Solução recomendada |
---|---|
Usuários de uma organização com privilégios padrão | Use um sistema operacional Windows Enterprise com múltiplas sessões. |
Os usuários exigem privilégios administrativos | Use um pool de host pessoal e atribua a cada usuário seu próprio host da sessão. |
Usuários de diferentes organizações se conectam | Separe a assinatura do Azure e o locatário do Azure. |
Melhores práticas de segurança do Azure
A Área de Trabalho Virtual do Azure é um serviço do Azure. Para maximizar a segurança de sua implantação de Área de Trabalho Virtual do Azure, você também deve garantir a proteção da infraestrutura e do plano de gerenciamento em torno do Azure. Para proteger sua infraestrutura, considere como a Área de Trabalho Virtual do Azure se adapta ao seu ecossistema maior do Azure. Para saber mais sobre o ecossistema do Azure, consulte Padrões e melhores práticas de segurança do Azure.
O panorama de ameaças de hoje exige designs que levem em conta abordagens de segurança. Idealmente, você cria uma série de controles e mecanismos de segurança dispostos em camadas por toda a rede de computadores para proteger tanto ela quanto os dados contra ataques ou falhas. Esse tipo de design de segurança é chamado pela CISA (Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos) de defesa em profundidade.
As seguintes seções contêm recomendações para proteger uma implantação da Área de Trabalho Virtual do Azure.
Habilitar o Microsoft Defender para Nuvem
Recomendamos habilitar recursos de segurança aprimorados do Microsoft Defender para Nuvem para:
- Gerenciar vulnerabilidades.
- Avalie a conformidade com estruturas comuns, como as do Conselho de Padrões de Segurança PCI.
- Fortalecer a segurança geral do seu ambiente.
Para saber mais, consulte Habilitar recursos de segurança aprimorados.
Aprimorar sua classificação de segurança
A classificação segura fornece recomendações e conselhos de melhores práticas para melhorar sua segurança geral. Essas recomendações são priorizadas para ajudar você a escolher quais são as mais importantes, e as opções de Correção Rápida ajudam você a resolver vulnerabilidades potenciais rapidamente. Essas recomendações também são atualizadas com o passar do tempo, mantendo você atualizado sobre as melhores formas de manter a segurança do seu ambiente. Para saber mais, consulte Melhorar a Pontuação de Segurança no Microsoft Defender para Nuvem.
Exigir autenticação multifator
Exigir a autenticação multifator para todos os usuários e administradores na Área de Trabalho Virtual do Azure aprimora a segurança de toda a implantação. Para saber mais, confira Habilitar a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure.
Habilitar o Acesso Condicional
Habilitar o Acesso Condicional permite que você gerencie os riscos antes de conceder acesso ao seu ambiente de Área de Trabalho Virtual do Azure. Ao decidir a quais usuários conceder acesso, recomendamos que você também considere quem é o usuário, como eles se conectam e qual dispositivo ele está usando.
Coletar logs de auditoria
Habilitar a coleta de log de auditoria permite exibir a atividade de usuário e de administrador relacionada à Área de Trabalho Virtual do Azure. Alguns exemplos de logs de auditoria de chave são:
- Log de atividades do Azure
- Log de atividades do Microsoft Entra
- Microsoft Entra ID
- Hosts de sessão
- Logs do Key Vault
Usar RemoteApp
Ao escolher um modelo de implantação, você pode fornecer aos usuários remotos acesso a áreas de trabalho inteiras ou apenas selecionar aplicativos quando publicados como um RemoteApp. O RemoteApp fornece uma experiência perfeita à medida que o usuário trabalha com aplicativos em sua área de trabalho virtual. O RemoteApp reduz o risco ao permitir que o usuário trabalhe com um subconjunto do computador remoto exposto pelo aplicativo.
Monitorar o uso com o Azure Monitor
Monitore o uso e a disponibilidade do serviço de Área de Trabalho Virtual do Azure com o Azure Monitor. Cogite criar alertas de integridade do serviço para o serviço de Área de Trabalho Virtual do Azure para receber notificações sempre que houver um evento de impacto no serviço.
Criptografar os hosts da sessão
Criptografe os hosts da sessão com opções de criptografia de disco gerenciado para proteger os dados armazenados contra acesso não autorizado.
Melhores práticas de segurança do host da sessão
Os hosts de sessão são máquinas virtuais que são executadas dentro de uma assinatura e rede virtual do Azure. A segurança geral da implantação de Área de Trabalho Virtual do Azure depende dos controles de segurança que você colocou em seus hosts de sessão. Esta seção descreve as melhores práticas para manter seus hosts de sessão seguros.
Habilitar a proteção de ponto de extremidade
Para proteger sua implantação contra softwares mal-intencionados conhecidos, é recomendável habilitar a proteção de ponto de extremidade em todos os hosts de sessão. Você pode usar o Windows Defender Antivírus ou um programa de terceiros. Para maiores informações, consulte o Guia de implantação do Windows Defender Antivírus em um ambiente da VDI.
Para soluções de perfil como FSLogix ou outras soluções que montam arquivos de disco rígido virtual, é recomendável excluir essas extensões de arquivo. Para obter mais informações, confira
Instalar um produto de detecção e resposta de ponto de extremidade
É recomendável que você instale um produto de EDR (detecção e resposta de ponto de extremidade) para fornecer recursos avançados de detecção e resposta. Para sistemas operacionais de servidor com o Microsoft Defender para Nuvem habilitado, a instalação de um produto de EDR implantará o Microsoft Defender para Ponto de Extremidade. Para sistemas operacionais cliente, você pode implantar o Microsoft Defender para Ponto de Extremidade ou um produto de terceiros para esses pontos de extremidade.
Habilitar avaliações de gerenciamento de ameaças e vulnerabilidades
A identificação de vulnerabilidades de software existentes em sistemas operacionais e aplicativos é essencial para manter seu ambiente seguro. o microsoft defender for Cloud pode ajudá-lo a identificar pontos de problemas por meio da solução de gerenciamento de ameaças e vulnerabilidades do Microsoft Defender para Ponto de Extremidade. Você também pode usar produtos de terceiros caso prefira, embora seja recomendável usar o Microsoft Defender para Nuvem e o Microsoft Defender para Ponto de Extremidade.
Corrigir vulnerabilidades de software no seu ambiente
Assim que identificar uma vulnerabilidade, você deve corrigi-la. Isso também se aplica a ambientes virtuais, que inclui os sistemas operacionais em execução, os aplicativos implantados dentro deles e as imagens usadas para cria novos computadores. Siga suas comunicações de notificação de patch do fornecedor e aplique patches em tempo oportuno. É recomendável aplicar patches de suas imagens base mensalmente para garantir que os computadores implantados recentemente estejam o mais seguro possível.
Estabelecer políticas de tempo máximo inativo e de desconexão
Ao desconectar usuários quando eles estão inativos, você preserva recursos e impede o acesso de usuários não autorizados. É recomendável que os tempos limite equilibrem a produtividade do usuário, bem como o uso de recursos. Para usuários que interagem com aplicativos sem estado, cogite usar políticas mais agressivas que desliguem computadores e preservem recursos. A desconexão de aplicativos de execução prolongada que continuam sendo executados caso um usuário esteja ocioso, como uma simulação ou renderização CAD, poderá interromper o trabalho do usuário e poderá até mesmo exigir a reinicialização do computador.
Configurar bloqueios de tela para sessões ociosas
Você pode impedir o acesso indesejado ao sistema configurando a Área de Trabalho Virtual do Azure para bloquear a tela de um computador durante o tempo ocioso e exigir autenticação para desbloqueá-la.
Estabelecer o acesso de administrador em camadas
É recomendável que você não conceda aos usuários o acesso de administrador a áreas de trabalho virtuais. Caso precise de pacotes de software, é recomendável torná-los disponíveis através de utilitários de gerenciamento de configuração, como o Microsoft Intune. Em um ambiente de várias sessões, é recomendável não permitir que os usuários instalem o software de modo direto.
Considere quais usuários devem acessar quais recursos
Pense nos hosts de sessão como uma extensão da implantação de área de trabalho existente. É recomendável que você controle o acesso a recursos de rede do mesmo modo que seria feito para outras áreas de trabalho do seu ambiente, como usar a segmentação e a filtragem de rede. Por padrão, os hosts de sessão podem ser conectados a qualquer recurso na Internet. Há várias maneiras de limitar o tráfego, incluindo o uso do Firewall do Azure, de proxies ou de soluções de virtualização de rede. Caso precise limitar o tráfego, adicione as regras apropriadas para que a Área de Trabalho Virtual do Azure possa funcionar adequadamente.
Gerenciar a segurança do Microsoft 365 Apps
Além de proteger seus hosts de sessão, também é importante proteger os aplicativos em execução dentro deles. O Microsoft 365 Apps é um dos aplicativos mais comuns implantados em hosts da sessão. Para melhorar a segurança da implantação do Microsoft 365 Apps, é recomendável usar o Assistente de Política de Segurança para Microsoft 365 Apps para Grandes Empresas. Essa ferramenta identifica as políticas que podem ser aplicadas à sua implantação para obter mais segurança. O Assistente de Política de Segurança também recomenda políticas com base no impacto delas na sua segurança e produtividade.
Segurança de perfil do usuário:
Os perfis do usuário podem conter informações confidenciais. É necessário restringir quem terá acesso aos perfis dos usuários e aos métodos de acessá-los, especialmente se você estiver usando o Contêiner de Perfil FSLogix para armazenar os perfis dos usuários em um arquivo de disco rígido virtual em um compartilhamento SMB. Você deve seguir as recomendações de segurança para o provedor do compartilhamento SMB. Por exemplo, se estiver usando os Arquivos do Azure para armazenar esses arquivos de disco rígido virtual, você poderá usar pontos de extremidade privados para torná-los acessíveis somente em uma rede virtual do Azure.
Outras dicas de segurança para hosts de sessão
Ao restringir recursos do sistema operacional, você pode reforçar a segurança dos seus hosts de sessão. Aqui estão algumas coisas que você pode fazer:
Controlar o redirecionamento de dispositivo ao redirecionar unidades, impressoras e dispositivos USB para o dispositivo local de um usuário em uma sessão de área de trabalho remota. É recomendável que você avalie os requisitos de segurança e verifique se esses recursos devam ser desabilitados ou não.
Restrinja o acesso ao Windows Explorer ocultando os mapeamentos de unidade locais e remotas. Isso impede que os usuários descubram informações indesejadas sobre a configuração do sistema e sobre os usuários.
Evite o acesso RDP direto a hosts de sessão no seu ambiente. Caso precise de acesso RDP direto para administração ou solução de problemas, habilite o acesso just-in-time para limitar a possível superfície de ataque em um host de sessão.
Conceda permissões limitadas aos usuários quando eles acessarem sistemas de arquivos locais e remotos. Você pode restringir as permissões ao fazer com que seus sistemas de arquivos locais e remotos usem listas de controle de acesso com privilégios mínimos. Dessa forma, os usuários só podem acessar aquilo de que precisam, não podendo alterar ou excluir recursos críticos.
Impedir que um software indesejado seja executado em hosts de sessão. Você pode habilitar o Bloqueador de Aplicativo para segurança adicional em hosts de sessão, garantindo que apenas aplicativos permitidos possam ser executados no host.
Inicialização confiável
Início confiável são VMs do Azure com recursos de segurança aprimorada destinados a proteger contra técnicas de ataque persistentes, como ameaças de "parte inferior da pilha" por meio de vetores de ataque, por exemplo, rootkits, kits de inicialização e malware no nível do kernel. Ele permite a implantação segura de VMs com carregadores de inicialização, kernels de sistema operacional e drivers verificados e também protege as chaves, os certificados e os segredos nas VMs. Saiba mais sobre o início confiável em Início confiável para máquinas virtuais do Azure.
Ao adicionar hosts da sessão por meio do portal do Microsoft Azure, o tipo de segurança padrão será Máquinas Virtuais confiáveis. Isso garante que sua VM atenda aos requisitos obrigatórios para o Windows 11. Para obter mais informações sobre esses requisitos, consulte Suporte a máquinas virtuais.
Computação confidencial do Azure para máquinas virtuais
O suporte à Área de Trabalho Virtual do Azure para Computação confidencial do Azure para máquinas virtuais garante que a área de trabalho virtual do usuário esteja criptografada na memória, protegida em uso e apoiada pela raiz de confiança baseada em hardware.
A implantação de máquinas virtuais confidenciais com Área de Trabalho Virtual do Azure concede aos usuários acesso ao Microsoft 365 e a outros aplicativos nos hosts da sessão que utilizam isolamento baseado em hardware, o que fortalece o isolamento de outras máquinas virtuais, do hipervisor e do sistema operacional do host. As chaves de criptografia de memória são geradas e protegidas por um processador seguro dedicado dentro da CPU que não pode ser lido pelo software. Para obter mais informações, incluindo os tamanhos de VM disponíveis, consulte a visão geral da computação confidencial do Azure.
Os seguintes sistemas operacionais têm suporte para uso como hosts da sessão com máquinas virtuais confidenciais na Área de Trabalho Virtual do Azure, para versões que tenham o suporte ativo. Para datas de suporte, consulte Política de Ciclo de Vida da Microsoft.
- Windows 11 Enterprise
- Várias sessões do Windows 11 Enterprise
- Windows 10 Enterprise
- Windows 10 Enterprise com várias sessões
- Windows Server 2022
- Windows Server 2019
É possível criar hosts da sessão usando máquinas virtuais confidenciais ao implantar a Área de Trabalho Virtual do Azure ou adicionar hosts da sessão a um pool de host.
Criptografia de disco do sistema operacional
Criptografar o disco do sistema operacional é uma camada adicional de criptografia que associa as chaves de criptografia de disco ao TPM (Trusted Platform Module) da VM de computação confidencial. Essa criptografia torna o conteúdo do disco acessível somente à VM. O monitoramento da integridade permite o atestado criptográfico e a verificação da integridade da inicialização da VM, além de alertas de monitoramento se a VM não inicializar porque o atestado falhou com a linha de base definida. Para obter mais informações sobre o monitoramento de integridade, consulte Microsoft Defender para Cloud Integration. Você pode habilitar a criptografia de computação confidencial ao criar hosts da sessão usando VMs confidenciais ao criar um pool de host ou adicionar hosts da sessão a um pool de host.
Inicialização Segura
A Inicialização Segura é um modo compatível com o firmware de plataforma que protege seu firmware contra rootkits e kits de inicialização baseados em malware. Esse modo permite somente a inicialização de sistemas operacionais e drivers atribuídos.
Monitorar a integridade da inicialização usando o Atestado Remoto
O atestado remoto é uma ótima maneira de verificar a integridade de suas VMs. O atestado remoto verifica se estão presentes registros da Inicialização Medida, e que são provenientes do vTPM (virtual Trusted Platform Module). Como uma verificação de integridade, ele fornece certeza criptográfica de que uma plataforma foi iniciada corretamente.
vTPM
Um vTPM é uma versão virtualizada de um TPM (hardware Trusted Platform Module), com uma instância virtual de um TPM por VM. O vTPM habilita o atestado remoto executando a medição de integridade de toda a cadeia de inicialização da VM (UEFI, SISTEMA, sistema e drivers).
É recomendável habilitar o vTPM para usar o atestado remoto em suas VMs. Com o vTPM habilitado, você também pode habilitar a funcionalidade do BitLocker com o Azure Disk Encryption, que fornece criptografia de volume completo para proteger os dados inativos. Todos os recursos que usam vTPM resultarão em segredos vinculados à VM específica. Quando os usuários se conectam ao serviço de Área de Trabalho Virtual do Azure em um cenário em pool, os usuários podem ser redirecionados para qualquer VM no pool de hosts. Dependendo de como o recurso foi projetado, isso pode ter um impacto.
Observação
Não utilize BitLocker para criptografar o disco específico em que você está armazenando os dados do perfil do FSLogix.
Segurança com base em virtualização
A VBS (Segurança com base em virtualização) usa o hipervisor para criar e isolar uma região segura de memória que fica inacessível ao sistema operacional. A HVCI (integridade de código de Hypervisor-Protected) e o Windows Defender Credential Guard usam a VBS para fornecer maior proteção contra vulnerabilidades.
Integridade de código de Hypervisor-Protected
A HVCI é uma poderosa mitigação de sistema que usa a VBS para proteger processos do modo kernel do Windows contra a injeção e execução de código mal-intencionado ou não verificado.
Windows Defender Credential Guard
Habilitar o Windows Defender Credential Guard. O Windows Defender Credential Guard usa a VBS para isolar e proteger segredos para que somente o software de sistema privilegiado possa acessá-los. Isso impede o acesso não autorizado a esses segredos e ataques de roubo de credenciais, como ataques Pass-the-Hash. Para obter mais informações, consulte visão geral do Credential Guard.
Controle de Aplicativos do Windows Defender
Habilitar o Controle de Aplicativos do Windows Defender. O Controle de Aplicativos do Windows Defender foi projetado para proteger os dispositivos contra malware e outros softwares não confiáveis. Ele impede a execução de códigos mal-intencionados, garantindo que somente os códigos aprovados, que você conhece, possam executar. Para obter mais informações, consulte Controle de aplicativos para Windows.
Observação
Ao usar o Controle de Acesso do Windows Defender, recomendamos direcionar apenas políticas no nível do dispositivo. Embora seja possível direcionar políticas a usuários individuais, após a aplicação da política, isso afeta igualmente todos os usuários no dispositivo.
Windows Update
Mantenha os hosts da sessão atualizados com as atualizações do Windows Update. O Windows Update fornece uma maneira segura de manter seus dispositivos atualizados. Sua proteção de ponta a ponta evita a manipulação de trocas de protocolo e garante que as atualizações incluam apenas conteúdo aprovado. Talvez seja necessário atualizar as regras de firewall e proxy para alguns de seus ambientes protegidos para obter acesso adequado às Atualizações do Windows. Para obter mais informações, confira Segurança do Windows Update.
Cliente de Área de Trabalho Remota e atualizações em outras plataformas de sistema operacional
As atualizações de software para os clientes de Área de Trabalho Remota que você usa para acessar os serviços de Área de Trabalho Virtual do Azure em outras plataformas de sistema operacional são protegidas de acordo com as políticas de segurança de suas respectivas plataformas. Todas as atualizações do cliente são entregues diretamente por suas plataformas. Para mais informações, confira as respectivas páginas da loja de cada aplicativo: