數字鑑識和 Windows 365 企業版 雲端電腦
就像實體裝置一樣,Windows 365 企業版 雲端電腦也可以使用 Microsoft Intune 來部署、保護及管理。 作為計算機擁有權的一部分,系統可能會要求您將雲端計算機提交給內部或第三方,以執行數位鑑識。 數字鑑識是處理數位數據復原和調查的科學,可支援犯罪調查或訴訟。
為了支援這些鑑識,Windows 365 提供檢閱雲端電腦的能力。 此動作會將雲端電腦的快照集安全地儲存至客戶的 Azure 記憶體帳戶。 轉移至該帳戶時,客戶擁有快照集的完整擁有權。 若要使快照集遭到竄改,客戶應該在快照集儲存在 Azure 儲存體帳戶中時,立即建立快照集的檔案哈希。
調查人員可以連結雲端電腦快照集的磁碟復本,並將其傳輸至專用於鑑識分析的安全記憶體帳戶。 此程式不需要重新建立、開啟電源或存取原始來源雲端電腦即可完成。
案例
您可能必須針對下列任何案例,將雲端電腦置於檢閱之下:
- 來自內部資訊安全作業中心 (SOC) 小組的要求。
- 內部或外部第三方稽核員要求的回應。
- 作為暫止或進行中法律調查的回應。
數字鑑識的考慮
為了回應儲存在雲端計算機上之數據的法律要求,系統管理員必須證明他們提供的數位辨識項在整個辨識項擷取、保留和存取程式中示範有效的監管鏈 (CoC) 。 基於這個理由,系統管理員應該確定支援足夠的:
- 存取控制。 如需 Just-In-Time 存取管理的詳細資訊,請參閱 Azure RBAC 的最佳做法和開始使用 Privileged Identity Management。
- 數據保護和完整性。 只有包含快照集之專用訂用帳戶中的虛擬網路可以存取封存辨識項的記憶體帳戶和密鑰保存庫。 如需詳細資訊,請參閱 Microsoft適用於 Windows 365 雲端電腦的 Purview 客戶密鑰
- 監視和警示。 如需詳細資訊,請參閱 特殊許可權 Azure 角色指派的警示
- 記錄和稽核、職責區分。 只有具有記憶體帳戶存取權的小型系統管理員清單,可以將已記錄並核准的存取 (暫時存取權授與) 辨識項。
後續步驟
如需Microsoft支援數字調查的詳細資訊,請參閱 Azure 中的電腦鑑識監管鏈結。