由于大量的劳动力现在处于偏远地区，IT管理员和安全专业人员面临着越来越大的压力，要求他们在应对不断变化的威胁的同时保持每个人的生产力和联系。Windows虚拟桌面是一个在Azure中运行的综合桌面和应用程序虚拟化服务，为虚拟桌面基础结构（VDI）提供简化的管理。虽然企业正在经历这一转变，使其员工保持生产效率，但IT和安全专业人员需要确保Windows虚拟桌面的部署符合安全最佳实践，因此不会给业务增加不必要的风险。在本博客中，我们将探讨Azure安全中心如何帮助维护您的Windows虚拟桌面环境配置卫生和合规性，并保护它免受威胁。Windows虚拟桌面主机池体系结构概述设置Windows虚拟桌面环境时，首先需要创建一个主机池，它是一个或多个相同虚拟机（VM）的集合。为了支持远程劳动力用例，这些vm通常运行windows10多会话操作系统。以下是架构概述： 通过检查主机池详细信息并单击资源组名称，可以找到主机池中运行的虚拟机： 这将显示资源组的详细信息。按虚拟机筛选将显示虚拟机列表：使用Azure安全中心保护Windows虚拟桌面部署考虑到共享责任模型，以下是客户在Windows虚拟桌面部署中应负责的安全需求：网络。部署配置。会话主机操作系统。应用程序安全。身份。这些需求应在安全态势和威胁保护的背景下加以审查。下面是一个例子：错误配置VMs网络层可能会增加攻击面并导致端点受损。我们需要确保的一件事是，Windows虚拟机虚拟机上的所有管理端口都应关闭。一旦用户连接到他们的Windows虚拟桌面会话，他们可能会被操纵浏览到恶意站点或连接到恶意计算机。如果机器上有恶意软件，也可能发生这种情况。另一个保护层是通过分析网络流量来检测您的计算机是否与命令和控制中心进行了通信。Azure安全中心针对Windows虚拟机虚拟机提供以下安全态势管理和威胁保护功能：安全配置评估和安全评分。经过行业测试的脆弱性评估。主机级检测。无代理云网络微观分割与检测。文件完整性监视。即时虚拟机访问。自适应应用程序控制。以下是一个映射Azure安全中心保护功能Windows虚拟桌面安全需要的表：您可以在以下Azure安全中心参考指南中找到建议和警报的完整列表：安全建议。警报列表。切换到Azure安全中心门户，我们可以在Compute&apps下看到Windows虚拟桌面主机池VM，然后是VMs和Servers选项卡，以及它们各自的安全分数和状态： 深入到特定VM将显示完整的建议列表以及严重级别： 这些虚拟机还将被评估是否符合不同的法规要求（内置或自定义要求），任何合规性问题都将在法规遵从性仪表板下标记出来。此外，安全警报将在威胁保护下显示，然后是安全警报：安全警报和建议都可以从安全中心门户使用和管理，也可以导出到其他工具以进行进一步分析和修正。一个很好的例子是将azuresecuritycenter与azuresentinel集成起来，作为监视Windows虚拟桌面环境的一部分。正在为Windows虚拟桌面环境启用Azure安全中心Azure安全中心免费层为Windows虚拟桌面部署提供安全建议和安全分数。要启用所有保护功能，应遵循以下两个步骤：确保你有Azure安全中心标准层（如下所示）。为虚拟机启用威胁保护。最后一个提示。如果您将Azure Devops CI/CD管道与Windows 10 Azure VM映像一起用作Windows虚拟桌面解决方案的连续构建和部署的解决方案，则最有可能使用Azure密钥保险库进行机密管理。如果尚未启用，则为Azure密钥保管库设置威胁保护应该是您的下一站。如何保护您的Windows虚拟桌面环境？我们确信有更多的想法在那里，我们希望看到社区提交给我们的GitHub回购。