Windows Cloud IO Protection

Важно!

Защита windows Cloud IO Protection доступна в общедоступной предварительной версии. Дополнительные условия использования предварительных версий Microsoft Azure см. в статье Юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступную версию.

Обзор. Защита входных данных для Windows 365 облачных компьютеров

Windows 365 облачные компьютеры уже шифруют сеансы и применяют методы проверки подлинности на основе удостоверений, такие как MFA, чтобы предотвратить перехват и атаки "злоумышленник в середине". Тем не менее, угрозы, резидентные конечные точки устройства, нацеленные на облачные сеансы Windows, такие как средства ведения журнала ключей, которые по-прежнему могут скомпрометировать конфиденциальные данные, что приводит к рискам соответствия требованиям и финансовым потерям.

Защита windows Cloud IO Protection устраняет этот пробел с помощью драйвера уровня ядра и шифрования на уровне системы, которое безопасно направляет нажатия клавиш непосредственно на облачный компьютер, минуя уровни ОС, уязвимые для вредоносных программ. Если эта функция включена на облачном компьютере или узле сеансов Azure Виртуального рабочего стола, она применяет модель строгого доверия:

  • Подключаться могут только физические устройства с защищенной конечной точкой.

  • Для защиты конечных точек должен быть установлен MSI-файл Windows Cloud IO Protect .

Если MSI отсутствует, подключение блокируется и появляется сообщение об ошибке. Это обеспечивает безопасный канал между приложением Windows и узлом сеансов Облачного компьютера или Azure виртуального рабочего стола, обеспечивая бескомпромиссную защиту входных данных.

Инструкции по установке WINDOWS Cloud Input Protect MSI

Необходимые условия:

  • Конечная точка должна быть физическим устройством (виртуальные машины не поддерживаются) с Windows 11. Устройство конечной точки должно использовать TPM 2.0.

  • Чтобы установить MSI-файл Windows Cloud IO Protect, пользователь должен иметь права локального Администратор.

  1.  Когда пользователь пытается подключиться с физического устройства (без WINDOWS Cloud Input Protect MSI) к узлу сеансов Облачный компьютер Windows 365 или Azure виртуального рабочего стола, появляется следующее сообщение об ошибке.

    Снимок экрана: сообщение об ошибке из-за того, что клиент защиты клавиатуры не установлен.

  2. Пользователь может выбрать один из двух типов установщика MSI для установки MSI Cloud Input Protect MSI.

  • Windows x64

  • Windows ARM 64

    Выполните действия мастера установки MSI, как показано ниже.

    Снимок экрана: приветствие MSI для драйвера Защиты облачных операций ввода-вывода Windows.

    Снимок экрана: включение ведения журнала трассировки событий Windows для драйвера Защиты облачных операций ввода-вывода Windows.

    Снимок экрана: проверка и начало установки драйвера Windows Cloud IO Protection.

    Снимок экрана после успешной установки драйвера Windows Cloud IO Protection.

Предварительные требования Windows App

Для этой функции требуется Windows App версии 2.0.704.0 или более поздней. Обновите приложение в Microsoft Store.

Снимок экрана: версия Windows App.

Настройка Windows Cloud Input Protection на облачных компьютерах и узлах сеансов Azure виртуального рабочего стола

Облачную защиту ввода Windows можно настроить с помощью свойств удаленного рабочего стола (RDP) для Windows 365 (Intune) и AVD (портал Azure).

Примечание.

Если вы включили эту функцию с помощью раздела реестра fWCIOKeyboardInputProtection, выполните приведенные ниже действия, чтобы удалить ее, так как поддержка раздела реестра для AVD или Windows 365 будет не рекомендуется использовать свойства RDP.

  1. Открытие приложения "Редактор реестра"
  2. Перейдите к HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
  3. Удаление fWCIOKeyboardInputProtection

Действия по настройке защиты windows Cloud Input Protection для AVD с помощью свойств RDP

  1. Войдите в портал Azure.

  2. Перейдите навкладку> Дополнительныесвойства> RDP для пула> узлов.

  3. Введите enablewindowscloudiokeyboardinputprotection:i:1, как показано на снимке экрана.

    Снимок экрана: параметр enablewindowscloudiokeyboardinputprotection в портал Azure свойства RDP.

Действия по настройке защиты windows Cloud Input Protection для Win 365 с помощью свойств RDP

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в раздел Устройства>Windows 365>Параметры>Создание>удаленного подключения (предварительная версия).

    Интерфейс удаленного подключения свойств RDP Win365

  3. Создайте объект Remote Connection Experience и перейдите в раздел Параметры конфигурации , чтобы включить защиту ввода.

    Win 365 RDP Properties Input Protection

  4. После создания объекта удаленного подключения параметр вступит в силу.

Примечание.

Эта функция поддерживается для следующих компонентов:

  • Windows Cloud PC/Azure узел сеансов виртуального рабочего стола с последними версиями клиентских ОС Windows, поддерживаемыми корпорацией Майкрософт
  • Поддерживаемые клиенты. Windows 11 физических устройств под управлением поддерживаемых собственных клиентов, на которых установлен msi Для защиты облачных операций ввода-вывода Windows. 
  • Клиенты не поддерживаются.  Виртуальное устройство конечной точки(ВМ), MAC OS, iOS, Android, Веб и не windows Cloud IO защищают устройства Windows, включая устройства Windows 365 Link.
  • Last updated on