微軟分解了如何保護(hù) Windows 365 云 PC

無(wú)論 PC 是在云端還是在您的辦公桌上，確保其安全都非常重要。

• Microsoft 的一篇新文章可幫助組織保護(hù)運(yùn)行 Windows 365 的云 PC。

• Windows 365 商業(yè)版和 Windows 365 企業(yè)版在標(biāo)準(zhǔn)用戶(hù)的管理員權(quán)限方面有所不同。

• Microsoft 正在努力將可信啟動(dòng)引入 Windows 365。

軟在技術(shù)社區(qū)帖子中詳細(xì)介紹了其新的云 PC 服務(wù)Windows 365 的安全功能。該公司概述了 Windows 365 商業(yè)版和 Windows 365 企業(yè)版的指南，這些指南在用戶(hù)的默認(rèn)權(quán)限級(jí)別方面差異很大。與物理設(shè)備一樣，攻擊者會(huì)嘗試?yán)迷?PC 中的安全漏洞。本月早些時(shí)候，我們報(bào)道了Windows 365 中的一個(gè)安全漏洞。

Windows 365 商業(yè)版面向小型企業(yè)。因此，它授予最終用戶(hù)對(duì)云 PC 的本地管理員權(quán)限。這類(lèi)似于在這些類(lèi)型的組織中使用物理 PC 所看到的情況。但是，與缺乏管理員權(quán)限的標(biāo)準(zhǔn)用戶(hù)相比，它確實(shí)提出了一組不同的安全挑戰(zhàn)。

如果組織想要使用 Microsoft Endpoint Manager，Microsoft 建議執(zhí)行以下步驟：

• 將設(shè)備配置為使用自動(dòng)注冊(cè)注冊(cè)到 Microsoft Endpoint Manager。

• 管理本地管理員組。有關(guān)如何使用 Azure Active Directory 執(zhí)行此操作的更多詳細(xì)信息(Azure AD，請(qǐng)參閱如何管理 Azure AD 加入設(shè)備上的本地管理員組。有關(guān)如何使用 Microsoft Endpoint Manager 執(zhí)行此操作的示例，請(qǐng)參閱 Microsoft MVP Peter 的這篇博文范德沃德。

• 考慮啟用 Microsoft Defender 攻擊面減少 (ASR) 規(guī)則。ASR 規(guī)則是針對(duì)特定安全問(wèn)題的深度防御緩解措施，例如阻止從 Windows 本地安全授權(quán)子系統(tǒng)竊取憑據(jù)。有關(guān)如何啟用 ASR 規(guī)則的詳細(xì)信息，請(qǐng)參閱啟用減少攻擊面規(guī)則。

• 查看 Microsoft 365 商業(yè)高級(jí)版組織安全指南，包括啟用 MFA 以訪問(wèn) Windows 365。

與 Windows 365 商業(yè)版相比，Windows 365 企業(yè)版是為擁有 IT 團(tuán)隊(duì)的組織而構(gòu)建的。Windows 365 Enterprise 使用 Microsoft Endpoint Manager 開(kāi)箱即用。默認(rèn)情況下，它還使人們成為標(biāo)準(zhǔn)用戶(hù)，而不是授予管理員權(quán)限。

Microsoft 建議 Windows 365 Enterprise 客戶(hù)執(zhí)行以下操作：

• 遵循標(biāo)準(zhǔn)的 Windows 10 安全實(shí)踐，包括限制可以使用本地管理員權(quán)限登錄其云 PC 的人員。

• 從 Microsoft Endpoint Manager 將 Windows 365 安全基線部署到其云 PC，并利用 Microsoft Defender 為其端點(diǎn)(包括所有云 PC)提供深入防御。Windows 365 安全基線啟用上述 ASR 規(guī)則。

• 部署 Azure AD 條件訪問(wèn)以對(duì)其云 PC 進(jìn)行安全身份驗(yàn)證，包括多重身份驗(yàn)證 (MFA) 和用戶(hù)/登錄風(fēng)險(xiǎn)緩解。

微軟指出，目前，Windows 365 不支持可信啟動(dòng)。該公司正在努力將可信發(fā)布引入 Windows 365，同時(shí)將Windows 11引入云 PC 服務(wù)。