On peut prendre plusieurs mesures et utiliser plusieurs outils pour aider à sécuriser les hôtes de session et les applications déployées sur Azure Virtual Desktop.
Microsoft Defender pour les points de terminaison
Pour sécuriser les points de terminaison contre les logiciels malveillants et aussi les menaces avancées , il faut mettre en place Microsoft Defender pour les points de terminaison . Il peut être mis en place de plusieurs manières :via une stratégie locale , une stratégie de groupe de domaine et une stratégie à de l ‘aide de groupes de gestion .
Si vous voulez en savoir plus voici un article dessus Microsoft Defender pour les points de terminaison pour Azure Virtual Desktop.
Intégration de Microsoft Endpoint Manager avec Microsoft Intune
On peut implémenter Microsoft Intune pour créer et vérifier la conformité des stratégies. On peut aussi mettre en place des déploiement des applications , des paramètres exécutées sur Azure.
Microsoft Intune est également intégré à Azure AD à des fins d’authentification et d’autorisation ( accès conditionnel , MFA).
Windows Defender Application Control et App Locker
Application Control a été introduit avec Windows 10 et, utilisé conjointement avec Azure Virtual Desktop, il permet de contrôler les pilotes et les applications qui sont autorisés à s’exécuter sur les hôtes Azure Virtual Desktop. Application Control a été conçu comme une fonction de sécurité selon les critères de service définis par le Microsoft Security Response Center (MSRC).
AppLocker permet d’empêcher les utilisateurs d’exécuter des logiciels non approuvés. Les règles de restriction des stratégies de contrôle d’AppLocker sont basées sur des attributs de fichiers, des noms de produits, des noms de fichiers ou des versions de fichiers. Comme AppLocker fonctionne par défaut comme une liste autorisée, si aucune règle n’autorise ou n’interdit explicitement l’exécution d’un fichier, l’action de refus par défaut d’AppLocker bloquera le fichier.
Il est recommandé de mettre en oeuvre le contrôle des applications à partir d’Application Control au lieu d’AppLocker.
FSLogix Application Masking
Le principal cas d’utilisation d’Application Masking vise à réduire considérablement la complexité de la gestion d’un grand nombre d’images. Application Masking peut également être utilisé pour assurer la sécurité des applications. Application Masking gère l’accès aux applications, aux polices et à d’autres éléments en fonction de différents critères. Application Masking est le plus souvent appliqué pour gérer les environnements virtuels non persistants, comme les bureaux virtuels.
Voici un lien pour mettre en place Fslogix Application Masking : https://learn.microsoft.com/fr-fr/fslogix/tutorial-application-rule-sets
Protection contre la capture d’écran
La fonction de protection contre la capture d’écran empêche la capture d’informations sensibles sur les points de terminaison des clients. Cette stratégie est appliquée au niveau de l’hôte en configurant une clé de registre. Pour activer cette stratégie, il faut ouvrir PowerShell et définissez la clé de registre fEnableScreenCaptureProtection.
Cette fonction n’empêche pas les utilisateurs de prendre des photos de leur écran, par exemple en utilisant leur téléphone portable. Cependant, elle offre la possibilité d’ajouter une couche de sécurité supplémentaire.
Pour trouver des instructions plus détaillées sur l’activation de la protection contre les captures d’écran, voici un lien :https://learn.microsoft.com/fr-fr/azure/virtual-desktop/security-guide#session-host-security-best-practices .
Mise à jour des logiciels dans votre environnement
Lorsque on découvre une vulnérabilité dans un environnement, quel qu’il soit, il est impératif de la corriger le plus rapidement possible. Cette règle s’applique pour les environnement Azure Virtual Desktop. Cela englobe les systèmes d’exploitation , les applications qui y sont déployées et les images à partir desquelles vous créez de nouvelles machines. Il est recommandé de corriger vos images de base une fois par mois afin de garantir une sécurisation optimale pour les machines nouvellement déployées.
Stratégies de durée maximale d’inactivité/déconnexion et verrouillage d’écran
En déconnectant les utilisateurs lorsqu’ils sont inactifs, on préserve les ressources et empêchez les utilisateurs non autorisés d’accéder au système.
On peut également empêcher tout accès indésirable au système en configurant Azure Virtual Desktop de manière à verrouiller l’écran d’une machine pendant les périodes d’inactivité et en demandant une authentification pour le déverrouiller.
Configuration de la redirection des appareils
Les utilisateurs peuvent intégrer une grande variété d’appareils (périphériques) différents à leur session Azure Virtual Desktop. On peut contrôler la redirection des périphériques en redirigeant les lecteurs, les imprimantes et les périphériques USB vers le périphérique local d’un utilisateur dans une session de bureau à distance . Il faut bien choisir ce que les utilisateurs sont autorisés à rediriger.
Par exemple , on veut éviter que les utilisateurs copient les données du presse-papiers de leur session Azure Virtual Desktop vers leur client local, et empêcher l’accès aux lecteurs USB dans Azure Virtual Desktop.
Conclusion
Sur cet article , on a vu les différentes options pour sécuriser les sessions hôtes et applications sur Azure Virtual Desktop.
