Компания Microsoft исправила ошибку, связанную с обновлением безопасности виртуальных рабочих столов Azure

Разработчики из Microsoft на этой неделе исправили ошибку, блокирующую некоторые устройства Azure Virtual Desktop (AVD) от загрузки и установки регулярного обновления безопасности операционной системы через Службу обновления Windows Server (WSUS).

Что же это за ошибка, почему было так много претензий со стороны пользователей, и что дает нам это обновление – обо всем об этом мы расскажем в этой статье.

В чем суть вопроса?

Напомним, что указанная проблема, выявленная еще в начале июля, актуальна только для виртуальных машин AVD, управляемых с помощью SCCM (Configuration Manager) и Службы обновления Windows Server (WSUS). Проблема с исправлением затрагивает только многосеансную Windows 10 Корпоративная версии 1909.

Если Вы используете службу виртуальных рабочих столов Azure через Intune или Центр обновления Windows для бизнеса (WUfB), эта проблема не влияет на хосты сеансов AVD.

Проблема с AVD наблюдается в приложении «Настройки» в разделе «Центр обновления Windows», в котором будет отображаться сообщение «Установлена последняя версия», даже если не было установлено никаких обновлений позднее мая 2021 года.

Что сделали Microsoft?

Представитель компании заявляет, что они решили проблему, связанную с обновлениями виртуального рабочего стола Azure с помощью накопительного обновления KB5005565. Пакет обновления под данным id-номером был выпущен в середине сентября для устройств под управлением Windows 10 версии 2004 и более поздних версий.

В рекомендации от Microsoft описаны два пути для устранения проблемы и открытия пользователям возможности развертывать ежемесячные обновления безопасности в системах виртуальных рабочих столов Azure, если они по какой-либо причине не смогли установить обновление KB5005565:

• В первом случае пользователям предлагается развернуть последние образы из Azure Marketplace, которые будут установлены со всеми актуальными обновлениями безопасности. Microsoft рекомендует своим клиентам развернуть последний образ на всех существующих устройствах, работающих под управлением Windows 10 Enterprise Multi-Session, версии 1909.
• Второй вариант решения проблемы, при котором повторное развертывание образа из Azure Marketplace не является подходящим для некоторых решением, требует, чтобы пользователи вручную загружали и устанавливали отсутствующие компоненты обновления безопасности из каталога «Центра обновления Майкрософт».

Напоминаем, что Microsoft выпускает ежемесячные обновления безопасности во второй вторник каждого месяца. Вы можете загрузить необходимые для правильной работы Azure Virtual Desktop (AVD) обновления из каталога «Центра обновления Майкрософт» в виде файлов «Центра обновления Майкрософт» (.msu) и развернуть их с помощью оснастки управления обновлениями.

После загрузки этих файлов организации могут добавить их на свои рабочие станции с конечными точками и развернуть на устройствах под управлением Windows 10 Enterprise или Education версии 1909.

Какой вывод может сделать из данной ситуации? Очевидно, что даже такие крупные технологические гиганты ошибаются, в результате чего страдает конфиденциальность и безопасность обычных пользователей. Для того, чтобы перестраховаться и избавить себя от последствий общипок, аналогичных рассмотренной в статье ошибке, следует при работе с удаленными рабочими столами Azure придерживаться нескольких простых рекомендаций:

Дополнительная защита процесса аутентификации.

Вы можете защитить ID своих пользователей и контролировать устройства, которые они могут использовать для доступа к виртуальным рабочим столам, двумя способами: включив многофакторную аутентификацию (MFA) для пользователей в Azure AD, а затем используя условный доступ для применения MFA для Azure WVD, защитить и саму клиентскую программу. Это снижает риск и значительно повышает общую безопасность AVD.

Тонкая настройка групповой политики.

На этот пункт стоит обратить тем, кто предпочитает повышать безопасность устройств с помощью VPN для Windows. Настройки для различных пользователей и компьютеров в доменных службах Active Directory (AD DS) управляются с помощью объектов групповой политики (GPO).

Если Вы используете контроллер домена (будь то виртуальная машина Azure или локальная машина, доступ к которой осуществляется через VPN типа «сеть-сеть») для присоединения домена к узлам сеанса AVD, то Вы можете управлять ими с помощью групповой политики на контроллер домена.

Если же Вы используете Azure AD DS, то имеете возможность управлять групповой политикой, установив инструменты управления групповой политикой на сервере Windows, присоединенном к домену. Данные параметры будут синхронизироваться со службой Azure AD DS, чтобы Вы могли выключить виртуальную машину до тех пор, пока Вам не потребуется вносить какие-либо изменения.

Ниже приведены лишь некоторые из политик, которые Вы можете использовать для повышения уровня безопасности и конфиденциальности при работе со службой удаленных рабочих столов Azure:

• Запрет доступа пользователей к командной строке и панели управления.
• Запрет для пользователей на установку дополнительного программного обеспечения.
• Ограничение доступа пользователей к дискам хоста сеанса, чтобы избежать случайного удаления или повреждения критически важных ресурсов.
• Применение настройки порога блокировки экрана и сеанса ожидания.
• Принудительная блокировка захвата экрана.

Защита от уязвимостей операционной системы и приложений.

Включение безопасности конечных точек для виртуальных машин хоста сеанса (ВМ) способно защитить Вашу службу AVD от воздействия вредоносного программного обеспечения и уязвимостей операционной системы и установленных приложений.

Такие инструменты, как Защитник Windows и ATP (Advanced Threat Protection), эффективно и в режиме реального времени устраняют уязвимости на уровне ОС и приложений, выявляя проблемные места с помощью оценок уязвимостей для серверных операционных систем.