В четвертой статье речь пойдет непосредственно о защите виртуальных десктопов.
В данной части рассмотрим рекомендации к настройке виртуальных десктопов, как собственно виртуальных машин и их параметров, так и их гостевой операционной системы.
Раздел 1. Параметры виртуальных десктопов
Виртуальное оборудование
Рекомендуется виртуальному десктопу назначать только одну сетевую карту (сетевой адаптер). Во-первых, в большинстве случаев пользователю просто не нужно две сетевые карты, а, во-вторых, сетевые карты естественно будут подключены к разным сетям и могут "шунтировать" межсетевой экран и маршрутизировать пакеты между этими сетями бесконтрольно.
Для проверки необходимо в vSphereClient выбрать виртуальную машину (основной образ пула или шаблон) из контекстного меню выбрать "Edit Settings…". В появившемся окне "<имя ВМ>VirtualMachineProperties" выбрать закладку "Hardware" и проверить, что сетевой адаптер единственный.
Также сетевая карта (сетевой адаптер) виртуального десктопа должен принадлежать группе портов, находящейся в Модуле VirtualUserLAN (см. Часть 1).
Для проверки необходимо в vSphereClient выбрать виртуальную машину (основной образ пула или шаблон) из контекстного меню выбрать "Edit Settings…". В появившемся окне "<имя ВМ> Virtual Machine Properties" выбрать закладку "Hardware" и в ней сетевой адаптер. В правой части окна в разделе "Network Connection" должна быть определена метка сети (Network Label), соответствующая сети Модуля Виртуальной ЛВС.
CD/DVD Drive и Floppy Drive не должны инициализироваться, т.к. используются в vSphere Client при взаимодействии с консолью виртуальной машины, а данное взаимодействие пользователю не разрешается. Использовать локальные CD/DVD и Floppy Drives пользователи могут прокидывая их в виртуальную машину средствами VMwareView.
Для проверки необходимо в vSphere Client выбрать виртуальную машину (основной образ пула или шаблон) из контекстного меню выбрать "Edit Settings…". В появившемся окне "<имя ВМ Virtual Machine Properties" выбрать закладку "Hardware" и в ней диск CD/DVD (диск Floppy). В правой части окна в разделе "Device Type" должен быть выбран параметр "Client Device", а в разделе "Device Status" не отмечено ни одного пункта.
Также в общем случае виртуальная машина не должна иметь последовательный порт (Serial Port) и параллельный порт (Parallel Port).
Для проверки необходимо в vSphereClient выбрать виртуальную машину (основной образ пула или шаблон) из контекстного меню выбрать "Edit Settings…". В появившемся окне "<имя ВМ Virtual Machine Properties" выбрать закладку "Hardware" и проверить, что в ней отсутствует последовательный (параллельный) порт.
В общем случае виртуальная машина не должна иметь USB-устройств (USB Devices).
Для проверки необходимо в vSphere Client выбрать виртуальную машину (основной образ пула или шаблон) из контекстного меню выбрать "Edit Settings…". В появившемся окне "<имя ВМ Virtual Machine Properties" выбрать закладку "Hardware" и проверить, что в ней отсутствуют USB-устройства.
Также виртуальная машина не должна иметь PCI-устройств (PCI Devices).
В vSphereClient выбрать виртуальную машину (основной образ пула или шаблон) из контекстного меню выбрать "Edit Settings…". В появившемся окне "<имя ВМ> Virtual Machine Properties" выбрать закладку "Hardware" и проверить, что в ней отсутствует PCI-устройства.
Настройки операционной системы
В статье будем рассматривать только виртуальные десктопы, использующие операционную систему Microsoft Windows 7. Гостевая операционная система должна удовлетворять требованиям безопасности, предъявляемым к Microsoft Windows 7, установленной на физических десктопах. Также гостевой операционной системе следует удовлетворять требованиям, специфичным для виртуальной среды и приведенным ниже.
Безопасность
В случае использования связанного клонирования рекомендуется запретитьна основном образе пула шифрование дисков виртуальных десктопов:
Связано это, прежде всего, с неэффективностью использования ViewComposerв таком случае.
Для запрещения шифрования диска следует выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить Services. Дважды нажать на "Bit Locker Drive Encryption Service". В появившемся окне нажать "Stop" и в меню"Startup type" выбрать "Disabled". Нажать "OK".
В общем случае, т.к. пользователям не нужно использовать VPN, рекомендуется запретить использование функциональности VPN:
Служба Secure Socket Tunneling Protocol Service[2].
Для запрещения функциональности VPN необходимо выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Services". Дважды нажать на"Secure Socket Tunneling Protocol Service". В появившемся окне нажать"Stop"и в меню"Startup type" выбрать "Disabled". Нажать "OK".
Т.к. функции защиты в инфраструктуре должны осуществляться централизовано, то следует отключить использование функционала мониторинга конфигурации служб, связанных с обеспечением безопасности:
Для отключения Security Center следует выбрать "Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Services". Дважды нажать на "Security Center". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать "OK".
Также следует отключить использование встроенных в операционную систему средства защиты AntiSpyware/Malware в случае установки общекорпоративных антивирусных средств:
Необходимовыбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Services". Дважды нажать на "WindowsDefender". В появившемся окне нажать "Stop" и в меню "Startuptype"выбрать"Disabled". Нажать"OK".
Задача Windows Defender:
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "Computer Configuration –>Administrative Templates –>Windows Components –>Windows Defender" параметр "Turn off Windows Defender" в значение "Enabled"[5].
или
В операционной системе Windows 7 нажать"Start" и в строке "Search programs and files" ввести "Windows Defender". Нажать"Tools –> Options –> Administrator". Убрать галку с чекбокса "Use this program" и нажать "Save"[6].
В случае использования общекорпоративного средства сетевого экранирования, например, на базе VMware vShield EndPoint не следует использовать функционал встроенного в операционную систему локального сетевого экрана:
Служба Windows Firewall.
Для этого необходимо выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Services". Дважды нажать на "Windows Firewall". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать"OK"[7].
или
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "Computer Configuration –>Windows Settings –>Security Settings –>Windows Firewall with Advanced Security –>Windows Firewall Properties" параметр "Firewall State" в значение "Off"[8].
Если же мы все-таки используем локальный сетевой экран, встроенный в операционную систему,то в его политике необходимо прописать разрешение соединений по протоколу RDP[9].
Для этого на основном образепула виртуальныхдесктопов в реестре произвести следующие изменения: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] "fDenyTSConnections"=dword:00000000
В случае использования связанного клонирования должно быть запрещено использование функционала обновления виртуальногодесктопа изнутри виртуальной машины:
Очевидно, что это связанные десктопы не должны обновляться сами, а все обновления должны протекать через изменение основного образа пула и использование процесса реконструкции (recompose) View Composer.
Служба Windows Update:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Services". Дважды нажать на "Windows Update". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать"OK".
Задача Windows Update:
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "Computer Configuration –>Administrative Templates –>System –>Internet Communication Management –>Internet Communication Settings" установить:
параметр"Turn off Access to All Windows Update Features" в значение "Enabled";
параметр"Turn off Windows Update Device driver Searching" в значение "Enabled"[11];
или
Выбрать"Start –> Control Panel –> System and Security –> Turn automatic updating on or off". В меню"Important updates"выбрать"Never check for updates". Снять галку с чекбокса"Give me recommended updates the same way I receive important updates", снять галку с чекбокса "Allow all users to install updates on this computer". Нажать"OK"[12].
или
На основном образе виртуальных десктопов пула в реестре произвести следующие изменения[13]: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] "NoAutoUpdate"=dword:00000001
На виртуальном десктопе следует включать хранитель экрана (ScreenSaver) при простаивании длительного промежутка времени.
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "Computer Configuration –>Administrative Templates –>Control Panel –>Personalization параметр Screen saver timeout в соответствующее значение[14].
или
На основном образе виртуальных десктопов пула в реестре произвести следующие изменения[15]: [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop] "ScreenSaveTimeOut"="значение"
Хранитель экрана следует защищать паролем.
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "Computer Configuration –>Administrative Templates –>Control Panel –>Personalization"параметр"Password protect the screen saver"в значение "Enabled"[16].
или
На основном образе виртуальных десктопов пула в реестре произвести следующие изменения[17]: [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop]
"ScreenSaverIsSecure"="1"
Рекомендуется контроль доступа пользователей (User Access Control, UAC) не отключать полностью, а только частично[18]. Частичное отключение связано с тем, что некоторые настройки не совместимы с использованием виртуальных десктопов в среде VMware View.
Для того, чтобы определить, не отключен ли контроль доступа пользователей на виртуальных десктопах пула в реестре необходимо проверить следующие параметры[19]: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=dword:00000001
Следующие требования вызваны возможностью обрыва сессии пользователя в случае срабатывания запросов на подтверждение действия на безопасном рабочем столе.
Приосуществлении контроля доступа пользователя (User Access Control, UAC) должны разрешаться без подтверждения (окна запроса) действия от пользователя с привилегиями администратора[20].
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "Computer Configuration –>Windows Settings –>Security Settings –>Local Policies –>Security Options "параметр "User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode" в значение "Elevate without prompting".
При контроле доступа пользователя (User Access Control, UAC) должна разрешаться без подтверждения (окна запроса) установка приложений[21].
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "Computer Configuration –>Windows Settings –>Security Settings –>Local Policies –>Security Options "параметр "User Account Control: Detect application installations and prompt for elevation" в значение "Disabled".
При контроле доступа пользователя (User Access Control, UAC) должна быть разрешено выполнение приложений с уровнем целостности UI Access из любого местоположения в файловой системе[22].
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "Computer Configuration –>Windows Settings –>Security Settings –>Local Policies –>Security Options" параметр "User Account Control: Only elevate UI Access applications that are installed in secure locations" в значение "Disabled".
При контроле доступа пользователя (User Access Control, UAC) должен разрешаться запуск сессий администраторов без подтверждения (окна запроса)[23].
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "Computer Configuration –>Windows Settings –>Security Settings –>Local Policies –>Security Options" параметр "User Account Control: Run all administrators in Admin Approval Mode" в значение "Disabled".
С точки зрения криптографии, возможно, будет интересно использование виртуальным десктопом усиленных алгоритмов шифрования, обмена ключевой информацией, аутентификации и хеширования.
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "Computer Configuration –>Windows Settings –>Security Settings Local Policies –>Security Options " установить параметр "System cryptography: Use FIPS compliant algorithms for encryptions, hashings and signings" в значение "Enabled".
Сеть
При использовании в организации на виртуальном десктопе следует отключить функционал домашних сетей[24]:
Служба Home Group Listener
Служба Home Group Provider
Служба HomeGroupListener:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Services". Дважды нажать на "Home Group Listener". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать"OK".
Служба Home Group Provider:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Services". Дважды нажать на "Home Group Provider". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать"OK".
В случае неиспользования в сети протокола IPv6 рекомендуется отказаться от функционала протокола IPv6[25].
Служба IP Helper:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Services". Дважды нажать на"IP Helper". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать "OK".
В виртуальных десктопах следует отключить функционал конфигурирования беспроводной сети.
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Services". Дважды нажать на"WLAN Auto Config". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать "OK".
Также следует отключить функционал конфигурирования мобильных широкополосных устройств.
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Services". Дважды нажать на "WWAN Auto Config". В появившемся окне нажать "Stop" и в меню "Startuptype" выбрать "Disabled". Нажать "OK".
И стоит отключить диалог выбора пользователем сетевого размещения.
На основном образе виртуальных десктопов пула в реестре создать следующий ключ[28]:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Services". Дважды нажать на "Disk Defragmentator". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать"OK".
Задача Windows Scheduled Disk Defragmentation:
В операционной системе Windows 7 нажать"Start" и в строке "Search programs and files" ввести "defrag". В панели "Programs" запустить "Disk Defragmenter". В диалоговом окне программы выбрать"Defragment disk". Дефрагментатор диска объединяет дефрагментированные файлы на диске виртуальной машины. Далеевыбрать "Configureschedule". В появившемся окне убрать галку "Run on a schedule (recommended)" и нажать"OK".
Также следует запретить функционал использования iSCSI:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Services". Дважды нажать на "Microsoft iSCSI Initiator Service". В появившемся окне нажать "Stop" ивменю"Startup type"выбрать"Disabled". Нажать"OK".
VMware рекомендует увеличить значение времени ожидания (time-outvalue) ответа от дискадо значения 200.
На основном образе виртуальных десктопов пула в реестре произвести следующие изменения[32]: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk] "TimeOutValue"=dword:000000c8
Файловая подсистема
Для виртуальных десктопов связанного клонирования следует запретить использование кэширования автономных файлов:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Services". Дваждынажать на "Offline Files". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать"OK".
Для виртуальных десктопов связанного клонирования стоит запретить перемещение удаленных файлов в корзину (Recycle Bin).
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "User Configuration –>Administrative Templates –>Windows Components –>Windows Explorer "параметр" Do not move deleted files to the recycle bin" в значение "Enabled"[34].
или
На основном образе виртуальных десктопов пула в реестре произвести следующие изменения[35]: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecycleFiles"=dword:00000001
Память
В случае если задача минимизации используемой памяти виртуальными десктопами более приоритетна нежели задача удобства (скорости) работы пользователей, то рекомендуется запретить использование функционала загрузки приложений в память для более быстрого перезапуска:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Services". Дважды нажать на "Superfetch". В появившемся окне нажать "Stop" и в меню "Startuptype"выбрать"Disabled". Нажать"OK".
или
На основном образе виртуальных рабочих станций пула в реестре произвести следующие изменения[38]: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters] "EnableSuperfetch"=dword:00000000
Задача Prefetch and Superfetch:
Запустить Windows Registry Editor. Найти ключ реестра "Prefetch Parameters". Размещение: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters. Установить"Enable Prefetcher"и"Enable Superfetch" в значение "0".
Электропитание
Т.к. в виртуальной среде теряется смысл спящего режима для виртуальных десктопов необходимо запретить его использование:
В операционной системе Windows 7 нажать "Start" и ввести "cmd" в строку "Search programs and files". Нажать правой кнопкой мыши на "Command Prompt" и выбрать "Run as Administrator". В "User Account Control" выбрать "Continue". В командной строке ввести "powercfg.exe /hibernate off" и нажать"Enter". Ввести команду "exit" и нажать "Enter".
А при использовании протокола PCoIPдоступа к виртуальному десктопу необходимо обязательно исключить отключение экрана виртуального десктопа[40].
Настройка питания "Отключение дисплея" ("Turn off the display") должна быть установлена в "Никогда" ("Never")
Резервное копирование и восстановление
Резервное копирование данных виртуальных десктопов должно осуществляться внешними средствами. Поэтому на виртуальных десктопах должен быть отключен функционал резервного копирования гостевой операционной системы:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Services". Дважды нажать на "Windows Backup". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать"OK".
Служба Microsoft Software Shadow Copy Provider:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Services". Дважды нажать на "Microsoft Software Shadow Copy Provider". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать"OK".
Служба Block Level Backup Engine Service:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Services". Дважды нажать на "Block Level Backup Engine Service". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать"OK".
Также в связи с рассуждениями выше должен быть отключен функционал восстановления из резервных копий виртуальных десктопов:
Вместо него можно использовать операцию обновления View Composer для возврата дисков в их исходное состояние.
Служба System Restore:
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "Computer Configuration –>Administrative Templates –>System –>System Restore "параметр" Turno ff System Restore" в значение "Enabled".
Задача System Restore:
На основном образе виртуальных десктопов пула выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Task Scheduler".
В левойпанели раскрыть "Task Scheduler Library –> Microsoft –> Windows". Дважды нажать "System Restore" и выбрать "SR". В панели Actions нажать"Disable"[46].
или
На основном образе виртуальных десктопов пула в реестре произвести следующие изменения[47]: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"=dword:00000001
Служба Volume Shadow Copy Service:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Services". Дважды нажать на "Volume Shadow Copy Service". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать "OK".
Также должен быть отключен функционал резервного копирования и восстановления реестра:
Задача Windows Registry Backup (Reg Idle Backup)[48]:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Task Scheduler". В левой панели раскрыть "Task Scheduler Library –> Microsoft –> Windows". Дважды нажать "Registry" и выбрать"Reg Idle Backup". В панели "Actions" нажать "Disable".
Интерфейс
В целях ускорения загрузки операционный системы виртуального десктопа она должна происходить без использования графического интерфейса[49].
На основном образе виртуальных десктопов пула необходимо запустить программу msconfig.exe. В окне "Конфигурация системы" в закладке "Загрузка" отметь чекбокс"Без GUI".
Следующие рекомендации дают возможность оптимизировать работу виртуальных десктопов с точки зрения скорости работы и ресурсов ESXi.
Рекомендуется, чтобы фон рабочего стола не содержал картинки.
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политикео рганизационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение "Administrative Templates –>Windows Components –>Remote desktop services –>Remote Desktop Session Host –>Remote session Environment –>Enforce Removal of Remote Desktop Wallpaper" в значение "Enabled"[50].
или
На основном образе виртуальных десктопов пула в реестре произвести следующие изменения[51]: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "Wallpaper"=""
Следует отключить функционал улучшенных визуальных эффектов.
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Services". Дваждынажатьна"Desktop Window Manager Session Manager". В появившемся окне нажать "Stop" и в меню "Startuptype" выбрать "Disabled". Нажать "OK".
Следует отключить "классический" интерфейс Windows.
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Services". Дважды нажать на "Themes". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать "OK".
На виртуальных десктопах следует использовать в качестве хранителя экрана "черный экран".
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "User Configuration –>Administrative Templates –>Control Panel –>Personalization " параметр "Force specific screen saver" в значение "%windir%\system32\scrnsave.scr"[54].
или
На основном образе виртуальных десктопов пула в реестре произвести следующие изменения[55]: [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop] "SCRNSAVE"="%windir%\\system32\\scrnsave.scr"
РекомендуетсяотключитьфункциюSideshow.
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "User Configuration –>Administrative Templates –>Windows Components –>Windows Sideshow"параметр"Turn off Windows Sideshow" в значение"Enabled"[56].
Или
На основном образевиртуальныхдесктопах пула в реестре произвести следующие изменения[57]: [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Sideshow] "Disabled"=dword:00000001
Интернет
В целях оптимизации работы для виртуальных десктопов связанного клонирования имеет смысл отключение функционала обновления новостных лент (RSS feeds):
Microsoft Feeds Synchronization task (msfeedssync.exe)
Выбрать"Start –> Control Panel –> Network and Internet –> Internet Options". Выбрать закладку"Content". В панели "Feeds and Web Slices" нажать кнопку "Settings".В появившемся окне убрать галку с чекбокса "Automatically check feeds and Web Slices for updates" и нажать"OK"[58].
или
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "User Configuration –>Administrative Templates –>Windows Components –>RSS Feeds"параметр "Turn off background sync for feeds and Web Slices" в значение "Enabled"[59].
или
На основном образе виртуальных десктопах пула в реестре произвести следующие изменения[60]: [HKEY_CURRENT_USER\Software\Microsoft\Feeds] "SyncStatus"=dword:00000000
Для виртуальных десктопов связанного клонирования при закрытии браузера Internet Explorer виртуального десктопа необходимо производить очистку кэша[61].
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "User Configuration –>Administrative Templates –>Windows Components –>InternetExplorer –>InternetControlPanel –>AdvancedPage"параметр"EmptyTemporaryInternetFilesfolderwhenbrowserisclosed"взначение"Enabled"[62].
или
На основном образе виртуальных десктопов пула в реестре произвести следующие изменения[63]: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache] "Persistent"=dword:00000000
Также следует отключить мастер настройки при первом запуске браузера Internet Explorer виртуального десктопа[64].
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "User Configuration –>Administrative Templates –>Windows Components –>Internet Explorer" параметр"Prevent performance of First Run Customize settings" в значение"Enabled"[65].
или
На основном образевиртуальных десктопов пула в реестре произвести следующие изменения[66]: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main] "DisableFirstRunCustomize"=dword:00000001
Поиск и устранение неисправностей
Для виртуальных десктопов связанного клонирования стоит отключить функционал поиска и устранения неисправностей:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Services". Дважды нажать на "Diagnostic Policy Service". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать "OK".
Для виртуальных десктопов связанного клонирования рекомендуется отключить функционал отчетности об ошибках Windows:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Services". Дважды нажать на "Windows Error Reporting Service". В появившемся окне нажать "Stop" ивменю"Startup type" выбрать "Disabled". Нажать "OK".
Должно быть, отключено отображение иконки Центра поддержки (Action Center).
В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе "User Configuration –>Administrative Templates –>Start Menu and Taskbar" параметр "Remove the Action Center icon" в значение "Enabled"[69].
или
На основном образе виртуальных десктопов пула в реестре произвести следующие изменения[70]: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "HideSCHealth"=dword:00000001
Должно быть запрещено выполнение аварийного дампа памяти.
На основном образе виртуальных десктопов пула в реестре произвести следующие изменения[71]: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl] "CrashDumpEnabled"=dword:00000000
Другие настройки
Для виртуальных десктопов связанного клонирования рекомендуется запретить использование функционала поиска в виртуальной машине.
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить"Services". Дважды нажать на "Windows Search". В появившемся окне нажать "Stop" и в меню "Startup type" выбрать "Disabled". Нажать "OK.
Функционал пальцеориентированного интерфейса (Tablet PC) в виртуальном десктопе не имеет смысла, поэтому его стоит запретить:
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Services". Дважды нажать на "Tablet PCServices". В появившемся окне нажать "Stop" и в меню "Startuptype" выбрать "Disabled". Нажать "OK".
Также рекомендуется отключить измерение быстродействия и возможностей системы.
Выбрать"Start –> Control Panel –> System and Security –> Administrative Tools". Запустить "Task Scheduler". В левойпанели раскрыть "Task Scheduler Library –> Microsoft –> Windows". Нажать "Maintenance" и отключить задачу.
Учетные записи виртуальныхдесктопов в каталоге
Для удобного и быстрого управления политиками безопасности на виртуальных десктопах рекомендуется вводить их в домен AD[75]. При этом домен AD, в котором находятся виртуальные десктопы, и домен AD, в котором находятся сервера Connection Server, должны иметь двусторонние доверительные отношения (two-waytrustrelationship), либо это должен быть один домен AD.[76]
В каталоге Active Directory следует создать одну или несколько отдельных организационных единиц OU для размещения учетных записей виртуальных десктопов[77]. При этом учетные записи виртуальных десктопов разных пулов рекомендуется размещать в различных организационных единицах OU каталога Active Directory.
Учетные записи виртуальных десктопов рекомендуется не размещать в контейнере по умолчанию домена каталога Active Directory. Обычно контейнер по умолчанию CN=Computers,DC=<имя домена>,DC=…
Имеет смысл виртуальные десктопы именовать единообразно. В названии виртуального десктопа во View Manager и имени DNS станции можно использовать:
префикс или постфикс, обозначающий, что данный десктоп является виртуальным. Например, VM-3-IVANOVFN или IVANOVFN-3-VM;
имя или номер пула виртуальных десктопов.
Рекомендуется, чтобы в сетевых названиях виртуальных десктопов присутствовали имена их пользователей.
При создании пула виртуальных десктопов связанного клонирования следует ввести соответствие имен виртуальных десктопов и имен пользователей[78].
В View Administrator при создании пула виртуальных десктопов связанного клонирования в окне "Add Pool" на странице "Provisioning Settings" в разделе "Virtual Machine Naming" выбрать пункт "Specify names manually" и нажать на кнопку "Enter Names…". В окне "Enter Desktop Names" ввести строки, содержащие названия виртуальных десктопов и через запятую имена пользователей.[79]
Проверка:
Зайти в View Administrator. Выбрать "Inventory –>Desktops". В панели "Desktops" в столбцах "Desktop и DNS Name" должны присутствовать только правильные имена виртуальных десктопов.
Параметры безопасности
Для установки политик безопасности в виртуальных десктопах может применяться групповая политика для OU, в которых размещены соответствующие виртуальные десктопы[80].
Удаленный рабочий стол
На виртуальном десктопе должна быть запущена служба Remote Desktop Services[81]. К виртуальным десктопам должен быть запрещен прямой доступ по протоколу RDP с клиентов, не принадлежащих системе VMware View. Т.е. обращаться к виртуальному десктопу пользователи должны только централизованно с использованием серверов VMware View, а не напрямую, даже, если этот доступ разрешен политиками межсетевого экранирования.
Для этого параметр "Allow Direct RDP" в ADM-шаблоне конфигурации View Agent ("vdm_agent.adm") должен быть установлен в значение "Disabled"[82].
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение "VMware View AgentConfiguration –> Agent Configuration –> Allowdirect RDP" в значение "Disabled".
Замечание: Также параметр "Allow users to connect remotely using Terminal Services" в настройках терминальной службы (Remote Desktop Services) политики безопасности может быть установлен в значение "Disabled". [83]
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение "Administrative Templates –> Windows Components –> Remote desktop services –> Remote Desktop Session Host –> Connections –> Allow users to connect remotely using Remote Desktop Services" в значение "Disabled".
Для разграничения доступа к службе удаленного десктопа следует включить пользовательскую аутентификацию на сетевом уровне[84].
В групповой политике организационной единицы виртуальных десктопов пула установить в ветке "Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services –> Remote Desktop Session Host –> Security" параметр "Require user authentication for remote connections by using Network Level Authentication" взначение"Enabled".
или
На основном образе виртуальных десктопов пула в реестре произвести следующие изменения[85]: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "UserAuthentication"=dword:00000001
На виртуальном десктопе должен быть запрещен пункт меню "сменить пользователя" (log off).[86] Хотя вне зависимости от данной настройки сочетание клавиш Ctrl-Alt-End будет приводить к появлению окна "Windows Security" и возможности осуществления смены пользователя.
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение "AdministrativeTemplates –> Windows Components –> Remote desktop services –> Remote Desktop Session Host –> Remote session Environment –> Remove WindowsSecurity item from Start menu" в значение "Enabled".
View Agent
На виртуальном десктопе не следует разрешать запускать при помощи View Agent какие-либо команды или скрипты при первом подсоединении пользователя к ней.[87]
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение "VMware View AgentConfiguration –> Agent Configuration –> Commands To Run On Connect" в значение "Disabled" или "Not Configured".
Также на виртуальном десктопе не следует разрешать запускать при помощи View Agent какие-либо команды или скрипты при каждом переподсоединении пользователя к нему. [88]
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение "VMware View AgentConfiguration –> Agent Configuration –> Commands To Run On Reconnect" в значение "Disabled" или "Not Configured".
Сетевое экранирование
Как мы уже писали в предыдущих частях сетевое экранирование следует осуществлять при помощи средств сетевого экранирования, внешних по отношению к гостевой операционной ОС виртуального десктопа. Один из вариантов – это использование функционала VMware VMsafe API.
Этими средствами сетевого экранирования, внешними по отношению к гостевой ОС виртуального десктопа, рекомендуется полностью запретить трафик между виртуальными десктопами. Все взаимодействие (обмен информацией) между виртуальными десктопами должен осуществляться только через централизованные ресурсы, расположенные в серверных сетевых модулях.
Журналирование
Журналы служб View Agent находятся в гостевой операционной системе[89]:
Windows System Event Logs
В файлах в каталоге <Drive Letter>:\ProgramData\VMware\VDM\logs.[90]
В случае использования пула виртуальных десктопов связанного клонирования журнал работы View Composer на виртуальном десктопе находится в папке %system_drive%\Windows\Temp\vmware-viewcomposer-ga-new.log. Файл содержит информацию о выполнении скриптов QuickPrep или SysPrep. Записи в журнале содержат время начала и окончания выполнения скрипта, вывод скрипта и сообщения об ошибках.[91]
Дополнительные параметры
Обратим внимание на параметры времени виртуальных десктопов. Очевидно, что пользователи и сами виртуальные десктопы могут размещаться в различных временных поясах. Поэтому могут быть различные стратегии синхронизации времени.
Для того, чтобы виртуальные десктопы получали время того пояса, где расположен ЦОД, им следует синхронизировать свое время с ESX(i) или с используемыми в организации серверами времени.[92]
В то же время, чтобы виртуальные десктопы получали местное поясное время пользователя, который с ними работает, следует разрешить виртуальным десктопам синхронизировать свое время с физическими клиентами.
1) В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значения:[93]
2) В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках компьютера в ветке “VMwareViewClientConfiguration” установить “Disabletimezoneforwarding” в значение “Enabled”.[94]
RSS
