微软分解了如何保护 Windows 365 云 PC

无论 PC 是在云端还是在您的办公桌上，确保其安全都非常重要。

• Microsoft 的一篇新文章可帮助组织保护运行 Windows 365 的云 PC。

• Windows 365 商业版和 Windows 365 企业版在标准用户的管理员权限方面有所不同。

• Microsoft 正在努力将可信启动引入 Windows 365。

软在技术社区帖子中详细介绍了其新的云 PC 服务Windows 365 的安全功能。该公司概述了 Windows 365 商业版和 Windows 365 企业版的指南，这些指南在用户的默认权限级别方面差异很大。与物理设备一样，攻击者会尝试利用云 PC 中的安全漏洞。本月早些时候，我们报道了Windows 365 中的一个安全漏洞。

Windows 365 商业版面向小型企业。因此，它授予最终用户对云 PC 的本地管理员权限。这类似于在这些类型的组织中使用物理 PC 所看到的情况。但是，与缺乏管理员权限的标准用户相比，它确实提出了一组不同的安全挑战。

如果组织想要使用 Microsoft Endpoint Manager，Microsoft 建议执行以下步骤：

• 将设备配置为使用自动注册注册到 Microsoft Endpoint Manager。

• 管理本地管理员组。有关如何使用 Azure Active Directory 执行此操作的更多详细信息(Azure AD，请参阅如何管理 Azure AD 加入设备上的本地管理员组。有关如何使用 Microsoft Endpoint Manager 执行此操作的示例，请参阅 Microsoft MVP Peter 的这篇博文范德沃德。

• 考虑启用 Microsoft Defender 攻击面减少 (ASR) 规则。ASR 规则是针对特定安全问题的深度防御缓解措施，例如阻止从 Windows 本地安全授权子系统窃取凭据。有关如何启用 ASR 规则的详细信息，请参阅启用减少攻击面规则。

• 查看 Microsoft 365 商业高级版组织安全指南，包括启用 MFA 以访问 Windows 365。

与 Windows 365 商业版相比，Windows 365 企业版是为拥有 IT 团队的组织而构建的。Windows 365 Enterprise 使用 Microsoft Endpoint Manager 开箱即用。默认情况下，它还使人们成为标准用户，而不是授予管理员权限。

Microsoft 建议 Windows 365 Enterprise 客户执行以下操作：

• 遵循标准的 Windows 10 安全实践，包括限制可以使用本地管理员权限登录其云 PC 的人员。

• 从 Microsoft Endpoint Manager 将 Windows 365 安全基线部署到其云 PC，并利用 Microsoft Defender 为其端点(包括所有云 PC)提供深入防御。Windows 365 安全基线启用上述 ASR 规则。

• 部署 Azure AD 条件访问以对其云 PC 进行安全身份验证，包括多重身份验证 (MFA) 和用户/登录风险缓解。

微软指出，目前，Windows 365 不支持可信启动。该公司正在努力将可信发布引入 Windows 365，同时将Windows 11引入云 PC 服务。