Microsoft Thắt Chặt Bảo Mật Mặc Định cho Windows 365 Cloud PC và Azure Virtual Desktop

20/06/2025
6 mins read

Trong nỗ lực không ngừng nhằm tăng cường bảo mật cho các môi trường điện toán đám mây và ảo hóa, Microsoft đã công bố một loạt các thay đổi quan trọng đối với các thiết lập bảo mật mặc định (security defaults) cho Windows 365 Cloud PCAzure Virtual Desktop. Những cải tiến này dự kiến sẽ có hiệu lực từ nửa cuối năm 2025, áp dụng cho các Cloud PC được cấp phát mới hoặc cấp phát lại, cũng như các host pool mới được tạo trong Azure Virtual Desktop.

Mục tiêu cốt lõi của những điều chỉnh này là giảm thiểu bề mặt tấn công tiềm năng, ngăn chặn các hình thức rò rỉ dữ liệu và tăng cường khả năng chống lại các cuộc tấn công cấp độ hệ điều hành. Các biện pháp được triển khai sẽ giúp các tổ chức củng cố vị thế bảo mật của mình trong việc quản lý và vận hành các môi trường máy tính đám mây.

Nội dung
Cải Thiện Bảo Mật Quan Trọng Thông Qua Thay Đổi Mặc Định
Vô Hiệu Hóa Các Cơ Chế Chuyển Hướng Mặc Định
Kích Hoạt Mặc Định Các Tính Năng Bảo Mật Dựa Trên Ảo Hóa (VBS)
Phạm Vi Áp Dụng
Lưu Ý Kỹ Thuật
Các Sáng Kiến Bảo Mật Liên Quan Từ Microsoft
Tổng Kết Kỹ Thuật Chi Tiết Cho Hoạt Động SOC/TIP/SIEM

Cải Thiện Bảo Mật Quan Trọng Thông Qua Thay Đổi Mặc Định

Các thay đổi bảo mật mặc định được giới thiệu bao gồm hai trụ cột chính: vô hiệu hóa các cơ chế chuyển hướng (redirections) và kích hoạt các tính năng bảo mật dựa trên ảo hóa (Virtualization-Based Security – VBS).

Vô Hiệu Hóa Các Cơ Chế Chuyển Hướng Mặc Định

Việc vô hiệu hóa các cơ chế chuyển hướng là một bước đi chiến lược nhằm đóng lại các kênh tiềm năng mà qua đó dữ liệu nhạy cảm có thể bị đánh cắp hoặc phần mềm độc hại có thể lây lan. Các loại chuyển hướng bị vô hiệu hóa mặc định bao gồm:

  • Clipboard redirection (chuyển hướng bảng nhớ tạm): Cho phép sao chép/dán nội dung giữa Cloud PC và thiết bị cục bộ. Việc vô hiệu hóa giúp ngăn chặn việc dữ liệu nhạy cảm bị rò rỉ thông qua hành động sao chép/dán hoặc ngăn chặn việc đưa các lệnh độc hại vào môi trường Cloud PC.
  • Drive redirection (chuyển hướng ổ đĩa): Cho phép truy cập các ổ đĩa cục bộ của người dùng từ Cloud PC. Kênh này có thể bị lạm dụng để lấy cắp dữ liệu từ Cloud PC ra thiết bị cục bộ hoặc ngược lại, đưa phần mềm độc hại từ thiết bị cục bộ vào môi trường đám mây.
  • USB redirection (chuyển hướng USB): Cần lưu ý rằng việc vô hiệu hóa chuyển hướng USB này chỉ nhắm vào quyền truy cập thiết bị cấp thấp (low-level device access). Các thiết bị USB cấp cao như chuột, bàn phím và webcam vẫn sẽ hoạt động bình thường thông qua các cơ chế chuyển hướng cấp cao hơn. Mục đích chính là ngăn chặn việc gắn các thiết bị lưu trữ USB hoặc các thiết bị ngoại vi khác có thể tiềm ẩn rủi ro bảo mật (ví dụ: chứa mã độc, hoặc dùng để sao chép dữ liệu trái phép).
  • Printer redirection (chuyển hướng máy in): Cho phép in tài liệu từ Cloud PC ra máy in cục bộ của người dùng. Việc vô hiệu hóa giúp ngăn chặn các kịch bản rò rỉ dữ liệu hoặc lạm dụng máy in trong các tình huống nhạy cảm.

Bằng cách vô hiệu hóa các tùy chọn chuyển hướng này, Microsoft đang thiết lập một rào cản vững chắc hơn giữa môi trường Cloud PC được quản lý và thiết bị đầu cuối của người dùng. Điều này giảm đáng kể nguy cơ mất dữ liệu qua các kênh thông thường và hạn chế khả năng các mối đe dọa bên ngoài xâm nhập vào môi trường Cloud PC.

Kích Hoạt Mặc Định Các Tính Năng Bảo Mật Dựa Trên Ảo Hóa (VBS)

Một trong những nâng cấp đáng kể nhất là việc kích hoạt mặc định các tính năng bảo mật dựa trên ảo hóa trên các Windows 365 Cloud PC chạy ảnh hệ điều hành Windows 11 gallery images. Các tính năng này được thiết kế để tạo ra các vùng bộ nhớ an toàn (secure memory enclaves) và ngăn chặn việc thực thi mã độc ở cấp độ nhân hệ điều hành (kernel level), củng cố mạnh mẽ khả năng phòng thủ của hệ thống.

  • Virtualization-Based Security (VBS): Đây là nền tảng cốt lõi, sử dụng các khả năng ảo hóa phần cứng để tạo ra một vùng bộ nhớ được bảo vệ và tách biệt khỏi hệ điều hành thông thường. Vùng bộ nhớ này được gọi là virtual secure mode (VSM), nơi các chức năng bảo mật quan trọng có thể chạy một cách an toàn, ngay cả khi phần còn lại của hệ thống bị xâm phạm.
  • Credential Guard: Là một tính năng bảo mật tận dụng VBS để bảo vệ các thông tin xác thực quan trọng của hệ thống (chẳng hạn như NTLM hashesKerberos ticket-granting tickets) khỏi bị đánh cắp bởi các cuộc tấn công đọc bộ nhớ. Credential Guard cô lập tiến trình Local Security Authority (LSA) trong vùng bảo vệ VSM, khiến kẻ tấn công rất khó trích xuất thông tin xác thực, ngay cả khi chúng có quyền truy cập quản trị viên vào hệ thống.
  • Hypervisor-Protected Code Integrity (HVCI) (còn được gọi là Memory Integrity): Cũng là một thành phần của VBS, HVCI đảm bảo rằng chỉ mã được ký và tin cậy mới có thể chạy trong nhân hệ điều hành. Nó kiểm tra tính toàn vẹn của tất cả các trình điều khiển (drivers) và mã nhị phân khác cố gắng chạy trong nhân trước khi chúng được tải. Điều này giúp bảo vệ chống lại các hình thức tấn công rootkit và phần mềm độc hại hoạt động ở cấp độ nhân, bằng cách ngăn chặn chúng tiêm mã độc hoặc chỉnh sửa các cấu trúc dữ liệu của nhân.

Việc kích hoạt đồng bộ các tính năng VBS, Credential Guard, và HVCI theo mặc định thể hiện cam kết của Microsoft trong việc cung cấp một môi trường điện toán đám mây với mức độ bảo mật cao nhất có thể. Chúng tạo thành một lớp phòng thủ mạnh mẽ chống lại các cuộc tấn công tinh vi, đặc biệt là những cuộc tấn công nhắm vào việc leo thang đặc quyền hoặc duy trì sự hiện diện ở cấp độ nhân.

Phạm Vi Áp Dụng

Những thay đổi về bảo mật mặc định này sẽ áp dụng cho:

  • Tất cả các Windows 365 Cloud PC được cấp phát mới (newly provisioned) hoặc cấp phát lại (reprovisioned) bắt đầu từ nửa cuối năm 2025.
  • Tất cả các host pool mới được tạo trong Azure Virtual Desktop kể từ cùng khung thời gian.

Điều này có nghĩa là các môi trường hiện có sẽ không tự động bị ảnh hưởng bởi những thay đổi mặc định này trừ khi chúng được cấp phát lại hoặc các host pool mới được tạo. Các tổ chức nên xem xét kế hoạch triển khai của mình và chuẩn bị cho những thay đổi này để đảm bảo tuân thủ các tiêu chuẩn bảo mật mới.

Lưu Ý Kỹ Thuật

Một điểm kỹ thuật quan trọng cần làm rõ là việc vô hiệu hóa chuyển hướng USB chỉ tác động đến quyền truy cập thiết bị cấp thấp. Điều này đảm bảo rằng các thiết bị USB thông dụng và cần thiết cho trải nghiệm người dùng như chuột, bàn phím và webcam vẫn sẽ hoạt động mà không bị ảnh hưởng. Chúng sử dụng các cơ chế chuyển hướng cấp cao hơn, được thiết kế để cân bằng giữa tính năng và bảo mật.

Các Sáng Kiến Bảo Mật Liên Quan Từ Microsoft

Mặc dù không phải là một phần trực tiếp của thông báo này, nhưng có một sáng kiến bảo mật liên quan khác từ Microsoft đáng được đề cập, cho thấy xu hướng chung trong việc củng cố bảo mật trên toàn bộ hệ sinh thái của họ. Cụ thể, Microsoft cũng sẽ bắt đầu chặn quyền truy cập tệp thông qua các giao thức xác thực kế thừa (legacy authentication protocols) như RPS (Relying Party Suite)FPRPC (FrontPage Remote Procedure Call) trên các dịch vụ Microsoft 365, bao gồm SharePoint OnlineOneDrive. Sự thay đổi này dự kiến sẽ diễn ra từ giữa tháng 7 đến tháng 8 năm 2025. Điều này củng cố thông điệp rằng Microsoft đang dần loại bỏ các phương pháp cũ có thể bị lạm dụng, thay thế bằng các phương thức bảo mật hiện đại và mạnh mẽ hơn.

Tổng Kết Kỹ Thuật Chi Tiết Cho Hoạt Động SOC/TIP/SIEM

Thông báo này không đề cập đến bất kỳ lỗ hổng cụ thể nào được xác định bằng số CVE, cũng như không tham chiếu đến bất kỳ kỹ thuật nào trong khuôn khổ MITRE ATT&CK. Không có thông tin nào về các họ mã độc (malware families), nhóm APT/criminal groups, chiến thuật đầu độc SEO, ví dụ dòng lệnh (command-line examples), hoặc chi tiết hạ tầng ngoài phạm vi nền tảng được mô tả ở trên. Tương tự, không có IOCs (Indicators of Compromise) nào được báo cáo trong thông báo này. Điều này cho thấy đây là một bản cập nhật tính năng bảo mật chủ động, không phải là phản ứng trước một sự cố bảo mật cụ thể.

Dưới đây là bản tóm tắt kỹ thuật chi tiết phù hợp để tích hợp vào các hệ thống SOC (Security Operations Center), TIP (Threat Intelligence Platform) hoặc SIEM (Security Information and Event Management):

Product: Windows 365 Cloud PC / Azure Virtual Desktop Host Pools
Date Effective: Second half of 2025 rollout begins
Security Defaults:
 - Clipboard Redirection: Disabled by default on new/reprovisioned Cloud PCs.
 - Drive Redirection: Disabled by default on new/reprovisioned Cloud PCs.
 - USB Redirection: Disabled at low-level device access; high-level devices unaffected.
 - Printer Redirection: Disabled by default on new/reprovisioned Cloud PCs.
 - VBS (Virtualization-Based Security): Enabled by default on Windows 11 gallery image-based Cloud PCs.
 - Credential Guard: Enabled by default alongside VBS/HVCI.
 - HVCI (Hypervisor-Protected Code Integrity): Enabled with VBS/Credential Guard.

Purpose:
 - Mitigate data exfiltration risks via redirected clipboard/drive/printer/USB channels.
 - Prevent kernel-mode malicious code execution through virtualization-based protections.

Scope:
 - Applies to all newly provisioned or reprovisioned Windows 365 Cloud PCs starting H2 CY2025.
 - Applies also to newly created Azure Virtual Desktop host pools from same timeframe.

Notes:
 - High level USB peripherals remain functional despite low level USB redirect disablement.

No CVEs / MITRE ATT&CK IDs / Malware Families / IOCs reported in this announcement.

Related Info:
Microsoft will also block legacy auth protocols impacting SharePoint/OneDrive file accesses mid-July-August CY2025.