Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальный рабочий стол Azure — это управляемая служба виртуальных рабочих столов, которая включает в себя множество возможностей безопасности для обеспечения безопасности вашей организации. Архитектура Виртуального рабочего стола Azure состоит из множества компонентов, составляющих службу, которая подключает пользователей к их рабочим столам и приложениям.
Виртуальный рабочий стол Azure имеет множество встроенных расширенных функций безопасности, таких как Обратное подключение, где не требуется открывать входящие сетевые порты, что снижает риск, связанный с доступностью удаленных рабочих столов из любого места. Эта служба также имеет преимущества от многих других функций безопасности Azure, таких как многофакторная проверка подлинности и условный доступ. В этой статье описаны действия, которые можно предпринять администратором для обеспечения безопасности развертываний Виртуального рабочего стола Azure независимо от того, предоставляете ли вы рабочие столы и приложения пользователям в организации или внешним пользователям.
Общие обязанности по обеспечению безопасности
Перед Виртуальным рабочим столом Azure локальные решения виртуализации, такие как службы удаленных рабочих столов, должны предоставлять пользователям доступ к таким ролям, как шлюз, брокер, веб-доступ и т. д. Эти роли должны быть полностью избыточными и способными обрабатывать пиковую емкость. Администраторы устанавливают эти роли как часть операционной системы Windows Server, и они должны быть присоединены к домену с определенными портами, доступными для общедоступных подключений. Чтобы обеспечить безопасность развертываний, администраторы должны были постоянно следить за тем, чтобы все в инфраструктуре поддерживалось и обновлялось.
Однако в большинстве облачных служб корпорация Майкрософт и клиент или партнер имеют общий набор обязанностей по обеспечению безопасности . Для Виртуального рабочего стола Azure большинство компонентов управляются корпорацией Майкрософт, но узлы сеансов и некоторые вспомогательные службы и компоненты управляются клиентом или партнером. Дополнительные сведения об управляемых корпорацией Майкрософт компонентах Виртуального рабочего стола Azure см. в статье Архитектура и устойчивость службы Виртуального рабочего стола Azure.
Хотя некоторые компоненты уже защищены для вашей среды, вам потребуется самостоятельно настроить другие области в соответствии с потребностями вашей организации или клиента в области безопасности. Ниже приведены компоненты, за которые вы отвечаете за безопасность в развертывании Виртуального рабочего стола Azure.
| Компонент | Ответственность |
|---|---|
| Удостоверение | Клиент или партнер |
| Пользовательские устройства (мобильные устройства и компьютеры) | Клиент или партнер |
| Безопасность приложений. | Клиент или партнер |
| Операционная система узла сеансов | Клиент или партнер |
| Конфигурация развертывания | Клиент или партнер |
| Элементы управления сетями | Клиент или партнер |
| Уровень управления виртуализацией | Корпорация Майкрософт |
| Физические узлы | Корпорация Майкрософт |
| Физическая сеть | Корпорация Майкрософт |
| Физический центр обработки данных | Корпорация Майкрософт |
Границы безопасности
Границы безопасности разделяют код и данные доменов безопасности с разными уровнями доверия. Например, обычно между режимом ядра и режимом пользователя обычно существует граница безопасности. Большинство программного обеспечения и служб Майкрософт зависят от нескольких границ безопасности для изоляции устройств в сетях, виртуальных машинах и приложениях на устройствах. В следующей таблице перечислены все границы безопасности для Windows и их действия для общей безопасности.
| Граница безопасности | Описание |
|---|---|
| Граница сети | Несанкционированная конечная точка сети не может получить доступ к коду и данным на устройстве клиента или изменить его. |
| Граница ядра | Процесс без административного режима пользователя не может получить доступ к коду и данным ядра или изменить его. "Администратор — ядро" не является границей безопасности. |
| Граница процесса | Неавторизованный пользовательский процесс не может получить доступ к коду и данным другого процесса или изменить его. |
| Граница песочницы AppContainer | Процесс песочницы на основе AppContainer не может получить доступ к коду и данным за пределами песочницы или изменить их в зависимости от возможностей контейнера. |
| Граница пользователя | Пользователь не может получить доступ к коду и данным другого пользователя или изменить его без авторизации. |
| Граница сеанса | Сеанс пользователя не может получить доступ к другому сеансу пользователя или изменить его без авторизации. |
| Граница веб-браузера | Несанкционированный веб-сайт не может нарушать ту же политику источника, а также не может получать доступ к машинному коду и данным песочницы веб-браузера Microsoft Edge. |
| Граница виртуальной машины | Несанкционированная гостевая виртуальная машина Hyper-V не может получить доступ или изменить код и данные другой гостевой виртуальной машины; сюда входят изолированные контейнеры Hyper-V. |
| Граница виртуального безопасного режима (VSM) | Код, выполняемый за пределами доверенного процесса или анклава VSM, не может получить доступ к данным и коду в доверенном процессе или изменить их. |
Рекомендуемые границы безопасности для сценариев Виртуального рабочего стола Azure
Вам также потребуется сделать определенный выбор границ безопасности в индивидуальном порядке. Например, если пользователю в вашей организации требуются права локального администратора для установки приложений, необходимо предоставить ему личный рабочий стол, а не общий узел сеансов. Не рекомендуется предоставлять пользователям права локального администратора в сценариях с несколькими сеансами, так как эти пользователи могут пересекать границы безопасности для сеансов или разрешений на данные NTFS, завершать работу виртуальных машин с несколькими сеансами или выполнять другие действия, которые могут нарушить работу службы или привести к потере данных.
Пользователи из одной организации, такие как работники знаний с приложениями, которым не требуются права администратора, являются отличными кандидатами на многосеансовые узлы сеансов, например Windows 11 Корпоративная многосеансовых. Эти узлы сеансов сокращают затраты для вашей организации, так как несколько пользователей могут совместно использовать одну виртуальную машину, при этом накладные расходы на одну виртуальную машину на пользователя. С помощью продуктов управления профилями пользователей, таких как FSLogix, пользователям можно назначать любую виртуальную машину в пуле узлов, не замечая прерываний службы. Эта функция также позволяет оптимизировать затраты, выполняя такие действия, как завершение работы виртуальных машин в нерабочие часы.
Если в вашей ситуации требуется, чтобы пользователи из разных организаций подключались к развертыванию, рекомендуется использовать отдельный клиент для таких служб удостоверений, как Active Directory и Microsoft Entra ID. Мы также рекомендуем иметь отдельную подписку для этих пользователей для размещения ресурсов Azure, таких как Виртуальный рабочий стол Azure и виртуальные машины.
Во многих случаях использование нескольких сеансов является приемлемым способом снижения затрат, но рекомендуем ли мы это сделать, зависит от уровня доверия между пользователями с одновременным доступом к общему многосеансовому экземпляру. Как правило, пользователи, принадлежащие к одной организации, имеют достаточные и согласованные отношения доверия. Например, отдел или рабочая группа, где люди совместно работают и могут получить доступ к личной информации друг друга, — это организация с высоким уровнем доверия.
Windows использует границы безопасности и элементы управления для обеспечения изоляции пользовательских процессов и данных между сеансами. Однако Windows по-прежнему предоставляет доступ к экземпляру, над которым работает пользователь.
Многосеансовые развертывания выиграют от глубокой стратегии безопасности, которая добавляет дополнительные границы безопасности, которые не позволяют пользователям внутри и за пределами организации получать несанкционированный доступ к личной информации других пользователей. Несанкционированный доступ к данным происходит из-за ошибки в процессе настройки системным администратором, например из-за нераскрытой уязвимости безопасности или известной уязвимости, которая еще не была исправлена.
Не рекомендуется предоставлять пользователям, работающим в разных или конкурирующих компаниях, доступ к одной многосеансовой среде. Эти сценарии имеют несколько границ безопасности, которые могут быть атакованы или злоупотреблять, например сеть, ядро, процесс, пользователь или сеансы. Одна уязвимость системы безопасности может привести к несанкционированной краже данных и учетных данных, утечке личной информации, краже удостоверений и другим проблемам. Поставщики виртуализированных сред отвечают за предложение хорошо спроектированных систем с несколькими строгими границами безопасности и дополнительными функциями безопасности, включенными везде, где это возможно.
Для снижения этих потенциальных угроз требуется отказоустойчивая конфигурация, процесс проектирования управления исправлениями и регулярные расписания развертывания исправлений. Лучше следовать принципам глубокой обороны и держать среду отдельно.
В следующей таблице приведены рекомендации по каждому сценарию.
| Сценарий уровня доверия | Рекомендуемое решение |
|---|---|
| Пользователи из одной организации со стандартными привилегиями | Используйте многосеансовую операционную систему Windows Enterprise. |
| Пользователям требуются права администратора | Используйте личный пул узлов и назначьте каждому пользователю собственный узел сеансов. |
| Подключение пользователей из разных организаций | Отдельный клиент Azure и подписка Azure |
Рекомендации по обеспечению безопасности Azure
Виртуальный рабочий стол Azure — это служба в Azure. Чтобы обеспечить максимальную безопасность развертывания Виртуального рабочего стола Azure, необходимо также защитить окружающую инфраструктуру Azure и плоскость управления. Чтобы защитить инфраструктуру, рассмотрите, как Виртуальный рабочий стол Azure вписывается в более широкую экосистему Azure. Дополнительные сведения об экосистеме Azure см. в статье Рекомендации по обеспечению безопасности Azure и шаблоны.
Современный ландшафт угроз требует разработки с учетом подходов к безопасности. В идеале необходимо создать ряд механизмов безопасности и элементов управления, размещенных по всей компьютерной сети, чтобы защитить данные и сеть от компрометации или атаки. Этот тип структуры безопасности — это то, что США кибербезопасности и безопасности инфраструктуры (CISA) вызывает защиту в глубине.
В следующих разделах содержатся рекомендации по защите развертывания Виртуального рабочего стола Azure.
Включение Microsoft Defender для облака
Мы рекомендуем включить Microsoft Defender для функций повышенной безопасности облака, чтобы:
- Управление уязвимостями.
- Оцените соответствие общим платформам, например из Совета по стандартам безопасности PCI.
- Повышение общей безопасности среды.
Дополнительные сведения см. в статье Включение расширенных функций безопасности.
Повышение оценки безопасности
Оценка безопасности содержит рекомендации и рекомендации по повышению общей безопасности. Эти рекомендации являются приоритетными, чтобы выбрать наиболее важные из них, а варианты быстрого исправления помогут быстро устранить потенциальные уязвимости. Эти рекомендации также обновляются со временем, обеспечивая актуальность наилучших способов обеспечения безопасности вашей среды. Дополнительные сведения см. в статье Улучшение оценки безопасности в Microsoft Defender для облака.
Включите обязательную многофакторную проверку подлинности.
Требование многофакторной проверки подлинности для всех пользователей и администраторов в Виртуальном рабочем столе Azure повышает безопасность всего развертывания. Дополнительные сведения см. в статье Включение Microsoft Entra многофакторной проверки подлинности для Виртуального рабочего стола Azure.
Включите условный доступ.
Включение условного доступа позволяет управлять рисками перед предоставлением пользователям доступа к среде Виртуального рабочего стола Azure. При выборе пользователей, которым следует предоставить доступ, рекомендуется также учитывать, кто является пользователем, как они входят в систему и какое устройство они используют.
Включите журналы аудита.
Включение сбора журналов аудита позволяет просматривать действия пользователей и администраторов, связанные с Виртуальным рабочим столом Azure. Ниже приведены некоторые примеры ключевых журналов аудита.
- Журнал действий Azure
- Журнал действий Microsoft Entra
- Microsoft Entra ID
- Узлы сеансов
- журналы Key Vault
Контролируйте использование с помощью Azure Monitor.
Отслеживайте использование и доступность службы Виртуального рабочего стола Azure с помощью Azure Monitor. Рассмотрите возможность создания оповещений о работоспособности службы для службы Виртуального рабочего стола Azure, чтобы получать уведомления при возникновении событий, влияющих на службу.
Шифрование узлов сеансов
Зашифруйте узлы сеансов с помощью параметров шифрования управляемого диска , чтобы защитить сохраненные данные от несанкционированного доступа.
Рекомендации по обеспечению безопасности узла сеансов
Узлы сеансов — это виртуальные машины, которые выполняются в подписке Azure и виртуальной сети. Общая безопасность развертывания Виртуального рабочего стола Azure зависит от элементов управления безопасностью, которые вы размещаете на узлах сеансов. В этом разделе описаны рекомендации по обеспечению безопасности узлов сеансов.
Включите защиту конечных точек.
Чтобы защитить развертывание от известных вредоносных программ, рекомендуется включить защиту конечных точек на всех узлах сеансов. Вы можете использовать windows антивирусная программа Defender или стороннюю программу. Дополнительные сведения см. в статье Руководство по развертыванию windows антивирусная программа Defender в среде VDI.
Для решений профилей, таких как FSLogix или других решений, которые подключают файлы виртуального жесткого диска, рекомендуется исключить эти расширения файлов. Дополнительные сведения об исключениях FSLogix см. в разделе Настройка исключений файлов и папок антивирусной программы.
Установка продукта для обнаружения и реагирования на конечные точки
Мы рекомендуем установить продукт обнаружения и реагирования на конечные точки (EDR), чтобы предоставить расширенные возможности обнаружения и реагирования. Для серверных операционных систем с включенным Microsoft Defender для облака при установке продукта EDR будет развернута Microsoft Defender для конечной точки. Для клиентских операционных систем можно развернуть Microsoft Defender для конечной точки или сторонний продукт в этих конечных точках.
Включите оценки контроля угроз и уязвимостей.
Выявление уязвимостей программного обеспечения, существующих в операционных системах и приложениях, имеет решающее значение для обеспечения безопасности вашей среды. Microsoft Defender для облака поможет вам определить проблемы с помощью решения контроль угроз и уязвимостей Microsoft Defender для конечной точки. Вы также можете использовать сторонние продукты, если вы склонны, хотя мы рекомендуем использовать Microsoft Defender для облака и Microsoft Defender для конечной точки.
Исправление уязвимостей программного обеспечения в вашей среде
Определив уязвимость, необходимо исправить ее. Это относится и к виртуальным средам, которые включают работающие операционные системы, приложения, развернутые в них, и образы, из которых создаются новые компьютеры. Следите за уведомлениями об исправлениях поставщика и своевременно применяйте исправления. Мы рекомендуем ежемесячно устанавливать исправления для базовых образов, чтобы новые развернутые компьютеры были максимально безопасными.
Создайте политики максимального времени неактивности и отключения.
Выход пользователей, когда они неактивны, сохраняет ресурсы и предотвращает доступ несанкционированных пользователей. Рекомендуется, чтобы время ожидания распределяло производительность пользователей и использование ресурсов. Для пользователей, взаимодействующих с приложениями без отслеживания состояния, рекомендуется использовать более агрессивные политики, которые отключают компьютеры и сохраняют ресурсы. Отключение длительных приложений, которые продолжают работать, если пользователь неактивен, например моделирование или отрисовка САПР, может прервать работу пользователя и даже потребовать перезагрузки компьютера.
Настройка блокировки экрана для неактивных сеансов
Вы можете предотвратить нежелательный доступ к системе, настроив Виртуальный рабочий стол Azure для блокировки экрана компьютера во время простоя и требуя проверки подлинности для его разблокировки.
Создание многоуровневого административного доступа
Рекомендуется не предоставлять пользователям доступ администратора к виртуальным рабочим столам. Если вам нужны пакеты программного обеспечения, мы рекомендуем сделать их доступными с помощью служебных программ управления конфигурацией, таких как Microsoft Intune. В многосеансовой среде рекомендуется не разрешать пользователям устанавливать программное обеспечение напрямую.
Предоставляйте доступ определенным пользователям лишь к определенным ресурсам.
Рассмотрите узлы сеансов как расширение существующего развертывания рабочего стола. Мы рекомендуем управлять доступом к сетевым ресурсам так же, как и для других рабочих столов в вашей среде, например с помощью сегментации сети и фильтрации. По умолчанию узлы сеансов могут подключаться к любому ресурсу в Интернете. Существует несколько способов ограничения трафика, включая использование Брандмауэр Azure, виртуальных сетевых модулей или прокси-серверов. Если вам нужно ограничить трафик, убедитесь, что вы добавили соответствующие правила, чтобы Виртуальный рабочий стол Azure работал правильно.
Управление безопасностью приложений Microsoft 365
В дополнение к защите узлов сеансов важно также защитить приложения, работающие внутри них. Приложения Microsoft 365 являются одними из наиболее распространенных приложений, развертываемых на узлах сеансов. Чтобы повысить безопасность развертывания Microsoft 365, рекомендуется использовать помощник по политике безопасности для Приложения Microsoft 365 для предприятий. Это средство определяет политики, которые можно применить к развертыванию для повышения безопасности. Помощник по политике безопасности также рекомендует политики на основе их влияния на безопасность и производительность.
Безопасность профилей пользователей
Профили пользователей могут содержать конфиденциальную информацию. Следует ограничить доступ пользователей к профилям пользователей и методам доступа к ним, особенно если вы используете контейнер профилей FSLogix для хранения профилей пользователей в файле виртуального жесткого диска в общей папке SMB. Следует следовать рекомендациям по безопасности для поставщика общей папки SMB. Например, если вы используете Файлы Azure для хранения файлов виртуального жесткого диска, вы можете использовать частные конечные точки, чтобы сделать их доступными только в виртуальной сети Azure.
Другие советы по безопасности для узлов сеансов
Ограничив возможности операционной системы, можно повысить безопасность узлов сеансов. Вот несколько действий, которые вы можете сделать:
Управляйте перенаправлением устройств, перенаправляя диски, принтеры и USB-устройства на локальное устройство пользователя в сеансе удаленного рабочего стола. Рекомендуется оценить требования к безопасности и проверка, следует ли отключить эти функции.
Ограничьте доступ к Windows Обозреватель путем скрытия сопоставлений локальных и удаленных дисков. Это предотвращает обнаружение пользователями нежелательных сведений о конфигурации системы и пользователях.
Избегайте прямого доступа по протоколу RDP к узлам сеансов в вашей среде. Если вам нужен прямой доступ по протоколу RDP для администрирования или устранения неполадок, включите JIT-доступ , чтобы ограничить потенциальную область атаки на узле сеансов.
Предоставьте пользователям ограниченные разрешения при доступе к локальным и удаленным файловых системам. Вы можете ограничить разрешения, убедившись, что локальные и удаленные файловые системы используют списки управления доступом с минимальными привилегиями. Таким образом, пользователи могут получить доступ только к тому, что им нужно, и не смогут изменять или удалять критически важные ресурсы.
Предотвращение запуска нежелательного программного обеспечения на узлах сеансов. RemoteApp не является функцией безопасности, и ее использование не препятствует запуску приложений за пределами этих приложений, опубликованных в группе приложений. Чтобы гарантировать, что только разрешенные приложения могут работать на узле сеансов, можно использовать управление приложениями для таких функций Windows, как Управление приложениями или AppLocker.
Доверенный запуск
Доверенные запуски — это виртуальные машины Azure с расширенными функциями безопасности, предназначенными для защиты от постоянных атак, таких как угрозы нижнего уровня стека с помощью векторов атак, таких как rootkits, загрузочные комплекты и вредоносные программы на уровне ядра. Он обеспечивает безопасное развертывание виртуальных машин с проверенными загрузчиками, ядрами ОС и драйверами, а также защищает ключи, сертификаты и секреты на виртуальных машинах. Узнайте больше о доверенном запуске при доверенном запуске для виртуальных машин Azure.
При добавлении узлов сеансов с помощью портал Azure типом безопасности по умолчанию является доверенные виртуальные машины. Это гарантирует, что виртуальная машина соответствует обязательным требованиям для Windows 11. Дополнительные сведения об этих требованиях см. в разделе Поддержка виртуальных машин.
Виртуальные машины конфиденциальных вычислений Azure
Поддержка Виртуальных рабочих столов Azure для виртуальных машин конфиденциальных вычислений Azure гарантирует, что виртуальный рабочий стол пользователя шифруется в памяти, защищается при использовании и поддерживается доверенным аппаратным корнем.
Развертывание конфиденциальных виртуальных машин с помощью Виртуального рабочего стола Azure предоставляет пользователям доступ к Microsoft 365 и другим приложениям на узлах сеансов, использующих аппаратную изоляцию, что обеспечивает изоляцию от других виртуальных машин, гипервизора и ОС узла. Ключи шифрования памяти создаются и защищаются выделенным защищенным процессором внутри ЦП, который невозможно считывать из программного обеспечения. Дополнительные сведения, включая доступные размеры виртуальных машин, см. в обзоре конфиденциальных вычислений Azure.
Следующие операционные системы поддерживаются для использования в качестве узлов сеансов с конфиденциальными виртуальными машинами на Виртуальном рабочем столе Azure для версий с активной поддержкой. Даты поддержки см. в разделе Политика жизненного цикла Майкрософт.
- Windows 11 Корпоративная
- Windows 11 Корпоративная многосессионная
- Windows 10 Корпоративная
- Windows 10 Корпоративная (многосеансовый режим)
- Windows Server 2022
- Windows Server 2019
Узлы сеансов можно создавать с помощью конфиденциальных виртуальных машин при развертывании Виртуального рабочего стола Azure или добавлять узлы сеансов в пул узлов.
Шифрование дисков операционной системы
Шифрование диска операционной системы — это дополнительный уровень шифрования, который связывает ключи шифрования дисков с доверенным платформенным модулем (TPM) виртуальной машины конфиденциальных вычислений. Это шифрование делает содержимое диска доступным только для виртуальной машины. Мониторинг целостности позволяет выполнять криптографическую аттестацию и проверку целостности загрузки виртуальной машины и оповещения мониторинга, если виртуальная машина не загрузится из-за сбоя аттестации с заданным базовым показателем. Дополнительные сведения о мониторинге целостности см. в разделе Microsoft Defender для облачной интеграции. Шифрование конфиденциальных вычислений можно включить при создании узлов сеансов с помощью конфиденциальных виртуальных машин при создании пула узлов или добавлении узлов сеансов в пул узлов.
Безопасная загрузка
Безопасная загрузка — это режим, который поддерживает встроенное ПО платформы, который защищает встроенное ПО от вредоносных программ и загрузочных пакетов. Этот режим позволяет загружать только подписанные операционные системы и драйверы.
Мониторинг целостности загрузки с помощью удаленной аттестации
Удаленная аттестация — это отличный способ проверка работоспособности виртуальных машин. Удаленная аттестация проверяет наличие записей измеряемой загрузки, их подлинность и происхождение из виртуального доверенного платформенного модуля (vTPM). Как проверка работоспособности, он обеспечивает криптографическую уверенность в том, что платформа запущена правильно.
vTPM
VTPM — это виртуализированная версия аппаратного доверенного платформенного модуля (TPM) с виртуальным экземпляром TPM для каждой виртуальной машины. VTPM обеспечивает удаленную аттестацию путем измерения целостности всей цепочки загрузки виртуальной машины (UEFI, ОС, системы и драйверов).
Рекомендуется включить vTPM для использования удаленной аттестации на виртуальных машинах. Включив vTPM, вы также можете включить функции BitLocker с помощью шифрования дисков Azure, которое обеспечивает шифрование полного тома для защиты неактивных данных. Все функции, использующие vTPM, приведут к тому, что секреты привязаны к определенной виртуальной машине. Когда пользователи подключаются к службе Виртуального рабочего стола Azure в сценарии с пулом, пользователи могут перенаправляться на любую виртуальную машину в пуле узлов. В зависимости от того, как разработана функция, это может оказать влияние.
Примечание.
BitLocker не следует использовать для шифрования определенного диска, на котором хранятся данные профиля FSLogix.
Безопасность на основе виртуализации
Безопасность на основе виртуализации (VBS) использует гипервизор для создания и изоляции безопасной области памяти, недоступной для ОС. Hypervisor-Protected целостности кода (HVCI) и Credential Guard в Защитнике Windows используют VBS для повышения защиты от уязвимостей.
Целостность кода Hypervisor-Protected
HVCI — это мощная система, которая использует VBS для защиты процессов в режиме ядра Windows от внедрения и выполнения вредоносного или непроверенного кода.
Credential Guard в Защитнике Windows
Включите Credential Guard в Защитнике Windows. Credential Guard в Защитнике Windows использует VBS для изоляции и защиты секретов, чтобы доступ к ним могли получить только привилегированные системные программы. Это предотвращает несанкционированный доступ к этим секретам и атакам на кражу учетных данных, например атакам по передаче хэша. Дополнительные сведения см. в статье Общие сведения об Credential Guard.
Управление приложениями в Защитнике Windows
Включите управление приложениями в Защитнике Windows. Управление приложениями в Защитнике Windows предназначено для защиты устройств от вредоносных программ и другого ненадежного программного обеспечения. Он предотвращает запуск вредоносного кода, гарантируя, что может выполняться только утвержденный код, который вы знаете. Дополнительные сведения см. в разделе Управление приложениями для Windows.
Примечание.
При использовании контроль доступа Защитника Windows рекомендуется ориентироваться только на политики на уровне устройства. Хотя политики можно нацеливать на отдельных пользователей, после применения политики она затрагивает всех пользователей на устройстве в равной степени.
Центр обновления Windows
Поддерживайте узлы сеансов в актуальном состоянии с помощью обновлений из клиентский компонент Центра обновления Windows. клиентский компонент Центра обновления Windows обеспечивает безопасный способ обновления устройств. Его сквозная защита предотвращает манипуляции с обменом протоколами и гарантирует, что обновления включают только утвержденное содержимое. Чтобы получить надлежащий доступ к Windows Обновления, может потребоваться обновить правила брандмауэра и прокси-сервера для некоторых защищенных сред. Дополнительные сведения см. в разделе безопасность клиентский компонент Центра обновления Windows.
Клиент удаленного рабочего стола и обновления на других платформах ОС
Обновления программного обеспечения для клиентов удаленного рабочего стола, которые можно использовать для доступа к службам Виртуальных рабочих столов Azure на других платформах ОС, защищены в соответствии с политиками безопасности соответствующих платформ. Все обновления клиента доставляются непосредственно платформами клиента. Дополнительные сведения см. на соответствующих страницах магазина для каждого приложения: