Microsoft erhöht Sicherheitsniveau für Windows 365 Cloud-PCs

Microsoft hat eine umfassende Stärkung der Sicherheitsstandards für seine Windows 365 Cloud-PCs angekündigt. Ab der zweiten Jahreshälfte 2025 sollen neue Schutzmaßnahmen standardmäßig aktiviert werden, um virtuelle Desktop-Umgebungen besser gegen aktuelle Cyberbedrohungen abzusichern.

Die Neuerungen sind Teil der „Secure Future Initiative“ (SFI), mit der Microsoft auf die wachsenden Sicherheitsanforderungen in einer zunehmend hybriden Arbeitswelt reagiert.

Konkret betreffen die Änderungen zwei neue Sicherheitsfunktionen, die automatisch für neu bereitgestellte Windows 365 Cloud-PCs gelten werden:

• Eingeschränkte Umleitungen: Die Umleitung von Zwischenablage, Laufwerken, USB-Geräten und Druckern wird standardmäßig deaktiviert – eine Maßnahme, die potenzielle Angriffsvektoren reduziert.

• Erweiterte Systemsicherheit: Auf Geräten mit einem Windows 11-Galerie-Image werden Virtualisierungsbasierte Sicherheit (VBS), Credential Guard sowie Hypervisor-geschützte Codeintegrität (HVCI) standardmäßig aktiviert.

Mit diesen Schritten unterstreicht Microsoft seinen Anspruch, Sicherheit zum integralen Bestandteil der Cloud-Erfahrung zu machen. Das Unternehmen betont, dass Schutzmaßnahmen nicht optional sein sollten – sondern ein fester Bestandteil moderner IT-Infrastrukturen.

Umleitungen für neu bereitgestellte und neu bereitgestellte Cloud-PCs deaktivieren

Windows 365 verbessert die Sicherheit von Cloud-PCs, indem die Umleitung von Zwischenablage, Laufwerken, USB-Geräten und Druckern für alle neu bereitgestellten und neu bereitgestellten Cloud-PCs standardmäßig deaktiviert ist. Diese Änderung minimiert das Risiko von Datenexfiltration und Malware-Injektionen, was eine sicherere Erfahrung bietet und im Einklang mit dem Grundsatz der Microsoft Secure Future Initiative (SFI) steht, Sicherheitsmaßnahmen standardmäßig zu aktivieren und durchzusetzen.

Hinweis: Diese Umleitungsstandards gelten auch für neu erstellte Hostpools für Azure Virtual Desktop.

Die Änderungen der Standardeinstellungen werden in Kürze eingeführt

Diese Änderung wird ab der zweiten Hälfte des Jahres 2025 schrittweise eingeführt. Um IT-Administratoren bei der Vorbereitung zu unterstützen, wird im Microsoft Intune Admin Center auf den Seiten für Bereitstellungsrichtlinien, einzelne Geräteaktionen und Massenaktionen ein Banner (siehe Abbildung unten) angezeigt. Dieses Banner informiert Sie über die neuen Standardeinstellungen für neu bereitgestellte oder neu bereitgestellte Cloud-PCs und enthält einen Link zur Dokumentation, in der beschrieben wird, wie Sie diese durch Erstellen von Intune-Gerätekonfigurationsrichtlinien oder Gruppenrichtlinienobjekten (GPOs) überschreiben können.

Bei neu bereitgestellten oder neu bereitgestellten Windows 365 Cloud-PCs sind die Umleitungen für Zwischenablage, Laufwerke, USB-Geräte und Drucker standardmäßig deaktiviert. Beispielsweise kann ein Benutzer, der auf Dateien auf einem neu bereitgestellten Cloud-PC zugreift, die Zwischenablage nicht verwenden, um Dateien vom Cloud-PC auf sein physisches Gerät zu kopieren und umgekehrt.

Hinweis: USB-Umleitungen sind standardmäßig deaktiviert, aber USB-Mäuse, Tastaturen und Webcams sind davon nicht betroffen. Diese Geräte werden über eine Umleitung auf hoher Ebene verwaltet, die auf bestimmte Funktionen und nicht auf das gesamte Gerät abzielt. Die deaktivierte USB-Umleitung zielt speziell auf undurchsichtige Umleitungen auf niedriger Ebene für Nischengeräte ab, die nicht durch Umleitungen auf hoher Ebene unterstützt werden.

USB-Umleitungen für Geräte, die Umleitungen auf hoher Ebene unterstützen, funktionieren weiterhin. Weitere Informationen zu unterstützten Ressourcen oder Peripheriegeräten und der empfohlenen Umleitungsmethode für jedes Gerät finden Sie in dieser Dokumentation.

Reprovisionierungsablauf für Windows 365 Frontline Cloud-PCs im gemeinsam genutzten Modus

Wenn vorhandene Windows 365 Frontline Cloud-PCs im gemeinsam genutzten Modus direkt über die Geräteübersichtsseite wie unten gezeigt neu bereitgestellt werden, werden die neuen Umleitungsstandards nicht angewendet, da die vorhandene Bereitstellungsrichtlinie, in der diese vier Umleitungen standardmäßig aktiviert sind, weiterhin gültig ist.

Wenn der IT-Administrator möchte, dass vorhandene Windows 365 Frontline Cloud-PCs im freigegebenen Modus diese neuen Umleitungsstandards erhalten, müssen sie über die Seite mit den Bereitstellungsrichtlinien neu bereitgestellt werden, indem Sie die Schaltfläche „Neu bereitstellen” wie unten gezeigt auswählen. Bitte beachten Sie, dass Sie, wenn Sie „Neu bereitstellung planen” auswählen, die Neubereitstellung so planen müssen, dass sie nach der Aktivierung der neuen Standards erfolgt.

Aktivieren Sie Umleitungen für neue Cloud-PCs bei Bedarf manuell

Wenn IT-Administratoren nach Beginn der Bereitstellung möchten, dass Benutzer eine oder mehrere der vier Umleitungen aktiviert haben, müssen sie die Umleitungseinstellungen manuell zurücksetzen.

Hinweis: Wenn neue Cloud-PCs bereitgestellt werden, werden die neuen Standardeinstellungen zum Deaktivieren von Umleitungen angewendet. Anschließend synchronisiert Intune die gewünschten Einstellungen des IT-Administrators aus den vorhandenen Richtlinien und überschreibt die Standardkonfigurationen. Bei diesem Vorgang wird davon ausgegangen, dass der neue Cloud-PC zu einer vorhandenen Gruppe hinzugefügt wird, der die entsprechende Richtlinie zugewiesen wurde.

IT-Administratoren können die Einstellungen auf zwei Arten verwalten:

• Im Intune-Einstellungskatalog
• In der GPO

Wenn Sie die Umleitungseinstellungen zurücksetzen müssen, können Sie Ihre festgelegten Verwaltungssteuerelemente verwenden. Alternativ können Sie die in Intune integrierten Gerätegruppen und Filter nutzen. Dies ist die schnellste Möglichkeit, die Umleitungseinstellungen zurückzusetzen und für die Cloud-PCs Ihrer Organisation zu aktivieren. Ausführliche Anweisungen finden Sie im Abschnitt „Verwenden der Gruppe „Alle Geräte” und der Gerätefilter” unter Anwendungsbereitstellung in Windows 365: empfohlene Vorgehensweisen.

Diese Änderung, durch die die Umleitung der Zwischenablage, von Laufwerken, USB-Geräten und Druckern standardmäßig deaktiviert ist, kann sich auf die Arbeitsabläufe der Benutzer auswirken. Wir empfehlen daher, Ihre Teams und Windows 365-Benutzer über diese Aktualisierung zu informieren. Darüber hinaus empfehlen wir Ihnen, Anweisungen zum Anfordern der Aktivierung der Umleitung bereitzustellen.

Weitere Informationen zum Prozess nach der Bereitstellung finden Sie in der Dokumentation zur Konfiguration nach der Bereitstellung von Windows 365.

VBS, Credential Guard und HVCI sind standardmäßig für neue Cloud-PCs mit einem Windows 11-Galerieimage aktiviert

Seit Mai 2025 sind VBS, Credential Guard und HVCI standardmäßig auf allen neu bereitgestellten und neu bereitgestellten Windows 365 Cloud-PCs mit einem Windows 11-Galerieimage aktiviert.

• VBS nutzt Hardwarevirtualisierung, um einen sicheren Speicherbereich zu erstellen, der wichtige Systemprozesse vor komplexen Bedrohungen und böswilligen Angriffen schützt. Weitere Informationen finden Sie in unserer VBS-Dokumentation.
• Credential Guard nutzt VBS, um Authentifizierungsdaten zu schützen und so das Risiko von Diebstahl und lateralen Angriffen zu minimieren. Weitere Informationen finden Sie in unserer Credential Guard-Dokumentation.
• HVCI/Speicherintegrität lässt nur verifizierten Code auf Kernel-Ebene ausführen und verhindert so böswillige Exploits. Weitere Informationen finden Sie in unserer HVCI/Speicherintegrität-Dokumentation.

Diese Änderungen stärken den Schutz vor Datendiebstahl und Exploits auf Kernel-Ebene und verbessern so die Sicherheit von Cloud-PCs, ohne dass eine manuelle Konfiguration erforderlich ist.

Weitere Informationen zur Sicherheit von Windows 365

Eine Übersicht über die Sicherheitskontrollen und -konzepte in Windows 365 finden Sie in unserer Dokumentation.

Quelle: Windows IT Pro Blog

 

---