はじめに
Azure Virtual DesktopとWindows 365 向けに「Windows Cloud IO Protection (プレビュー)」が発表されました。この発表内容について記事にしていきたいと思います。
1. 背景
キーロガーやインフォスティーラー、ランサムウェアの標的としてユーザデバイスが狙われており、情報漏洩リスクが高まっているそうです。
例えばBYODがマルウェア感染し、入力データをキャプチャされる恐れがあります。
キーロガー:ユーザーがキーボードで入力した内容を記録
BYOD:Bring Your Own Deviceの略。管理外のデバイスを持ち込んで使うという意味。Azure側で意識していないデバイス(例えばintune登録されていないデバイス等)のこと。
そこで登場したのが今回の機能です。
2. Windows Cloud IO Protection
デバイスの入力データが盗まれないよう保護してくれる機能です。
カーネルレベル暗号化により全てのキーボード入力を暗号化します。
復号はAVD・Windows 365・VM内でのみ実行されます。
3. 前提条件
保護するデバイスは以下の条件を満たす必要があります
- デバイスがWindows11を使用した物理デバイスであること
- ローカル管理権限が使えること
- TPM2.0を使用していること
- Windows Cloud IO Protect MSI がインストールされていること
- Windows Appが最新(2.0.704.0 以降)であること
3-1. TPM2.0が搭載されているか確認
デバイス(クライアント側)での操作です。
- [Windows ロゴ] + R キー
- 「tpm.msc」と入力
- TPM 製造元情報の [仕様バージョン] が 2.0 であることを確認
確認方法はこちらにも記載されています。
3-2. Windows Cloud IO Protect MSI をインストール
デバイス(クライアント側)での操作です。
以下リンクからインストールします。(MSIダウンロードリンクです)
Windows x64
Windows ARM64
手順はこちらに従いますが、流れに沿ってポチポチしていくだけです。
本手順を行っていない場合はエラーメッセージが表示されます。
Windows Cloud IO Protectionの設定
AVD側の設定になります。
設定方法は2つの方法があります。
- グループポリシー
- レジストリ
現時点ではグループポリシーの手順はハイブリッド参加(Hybrid Join)の環境のみ適用可能です。Entra参加(Entra Join)の場合はレジストリを使用する方法を選択します。
ハイブリッド参加について参考になる記事はこちら
Microsoft Entra ハイブリッド参加(旧HAADJ)を構成してみた
グループポリシー(GPO)設定
1. 以下を参考にAVD管理用テンプレートをGPOに追加します
2. グループポリシーエディターを開く(Windowsキー+R⇒gpedit.msc)
3. 該当デバイスに対するGPOのポリシーを編集or作成
4. コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>Azure Virtual Desktop に移動
※表記が多少異なる可能性があります。
5. 「キーボード入力保護を有効にする」をダブルクリック
※表記が多少異なる可能性があります。
6. 有効を選択後、OKを選択
7. 再起動
レジストリ設定
1. レジストリ エディターを開く(Windowsキー+R⇒regedit)
2. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
3. 新規⇒DWORD
4. fWCIOKeyboardInputProtectionの値を1で設定
最後に
Windows Cloud IO Protectionについて整理しました。
物理デバイスの入力情報が盗まれないよう、セキュリティ対策が可能になります。
操作感は変わりませんが、今後のAVD運用における標準装備となりそうです。
※間違えている点などあれば優しく教えていただけますと幸いです。
参考文献