Идентификация и аутентификация пользователей в виртуальном десктопе
Рекомендуется учетную запись локального администратора (например, “Administrator” или “Администратор”) на виртуальном десктопе или отключать или переименовывать и присваивать ей случайный пароль различный для каждой виртуального десктопа. Переименовывать учетную запись можно при помощи групповой политики или основного образа пула, а для изменения пароля использовать утилиты третьих фирм.
Механизм единого входа (Single Sign-on)
VMware View предоставляет возможность подключения пользователей к виртуальным десктопам с использованием механизма единого входа (Single sign-on)[95]. Для удобства пользователей его стоит использовать.
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение “VMware View AgentConfiguration –> Agent Configuration –> Allow Single Signon” в значение “Enabled” или “Not Configured”.
Однако билет, предназначенный для аутентификации соединения (Connection Ticket) и применяемый при использовании механизма единого входа (Single sign-on), рекомендуется хранить недолго, например, не более, минуты.[96]
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политикеосновного образа виртуальных десктопов пула установить значение “VMware View AgentConfiguration –> Agent Configuration –> Connection Ticket Timeout” в значение “Enabled” и опцию “Connection Ticket Timeout” установить в значение “60”.[97]
На сервере View Connection Server запустить ADSI Edit. В диалоговом окне Connection Settings ввести Connection Point=“DC=vdi,DC=vmware,DC=int”, Computer=”localhost” и подсоединиться. Далее выбрать объект CN=Common, OU=Global, OU=Properties и открыть диалоговое окно свойств объекта. В окне параметру pae-SSO Credential Cache Timeout присвоить значение 1.[98]
Двухфакторная аутентификация с использованием сертификатов
В случае если при аутентификации на виртуальных десктопах решено использовать второй фактор в виде сертификатов, должны выполняться следующие требования.
Для аутентификации пользователей по смарт-картам на основные образы виртуальных десктопов пулов должен быть установлен View Agent с опцией “PCoIP SmartCard”. Данная опция задается при установке агента.[99]
В случае, если не предоставлена возможность подключения пользователей к виртуальным десктопам с использованием механизма единого входа (Single Sign-On), для использования возможности аутентификации при помощи смарт-карт в инфраструктуре виртуальных десктопов необходимо разрешить перенаправление смарт-карт, используемых на локальном физическом устройстве, в инфраструктуру виртуальных десктопов.
Для PCoIP и RDP:
В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке “VMwareViewClientConfiguration –> RDPSettings” установить “Redirectsmartcards” в значение “Enabled”.
Для RDP:
В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “Policies –> AdministrativeTemplates –> WindowsComponents –> RemotedesktopServices –> RemotedesktopSessionhost –> DeviceandResourceRedirection” установить параметр “Donotallowsmartcarddeviceredirection” в значение “Disabled” или “NotConfigured”.
Права пользователя в виртуальном десктопе
Рекомендуется, чтобы пользователи виртуальных десктопов не имели административные права на виртуальном десктопе.
Также пользователю виртуального десктопа следует запретить возможность установки программного обеспечения, которое не может быть доставлено на виртуальный десктоп средствами VMware ThinApp или подобной технологии. Установка данного программного обеспечения рекомендуется осуществлять посредством изменения основного образа пула виртуальных десктопов или работниками подразделения, отвечающего за администрирование десктопов.
В случае использования для доступа к виртуальным десктопам протокола PCoIP в локальную группу Remote Desktop Users виртуального десктопа не должны входить какие-либо пользователи или группы пользователей. Делается это для того, чтобы пользователи напрямую не могли подсоединиться к десктопу по протоколу RDP.
Для проверки следует в виртуальном десктопе в меню “Пуск” в контекстном меню “Компьютер” выбрать “Управление”. В появившемся окне в левой части “Управление компьютером” выбрать “Служебные программы –> Локальные пользователи и группы –>Группы”, после этого в правой части выбрать группу “RemoteDesktopUsers” (“Пользователи удаленного рабочего стола”) и проверить наличие в данной группе пользователей или групп.
В случае использования для доступа к виртуальным десктопам протокола RDP в локальную группу Remote Desktop Users виртуального десктопа должны входить только пользователи виртуальных десктопов.[100]
Создать в AD группу пользователей пула виртуальных десктопов. Изменить групповую политику, применяемую к компьютерам данного пула (связанную с организационной единицей данного пула) следующим образом. В разделе “Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment” прописать в политике “Allow log on through Remote Desktop Services” группупользователей данного пула виртуальных десктопов.
Раздел 3. Пользовательские профили
Размещение пользовательских профилей
Желательно, чтобы пользовательские профили размещались на отдельных сетевых ресурсах, предназначенных только для хранения пользовательских профилей. Далее перечислены необходимые права пользователей на их профили.[101]
Права на уровне NTFS на родительские каталоги каталогов перемещаемых профилей пользователей виртуальных десктопов следует установить в соответствии с Таблицей 1.
Таблица 1 . Права на уровне NTFS к родительскому каталогу перемещаемых профилей.
Учетная запись
Необходимые права
Creator Owner (Владелец)
Full Control, Subfolders and Files Only
Administrator
None
Security group of users needing to put data on share (группа пользователей, перемещаемые профили которых находятся в данном родительском каталоге)
List Folder/Read Data, Create Folders/Append Data - This Folder Only
Everyone
No permissions
Local System
Full Control, This Folder, Subfolders and Files
Права на уровне совместно используемых ресурсов (Share level, SMB) к совместно используемому ресурсу перемещаемых профилей пользователей виртуальных десктопов следует установить в соответствии с Таблицей 2.
Таблица 2 . Права на уровне совместно используемых ресурсов (Share level, SMB) к совместно используемому ресурсу перемещаемых профилей.
Для доступа пользователей к профилям может использоваться стандартный механизм перемещаемых профилей (Roaming Profiles) Microsoft Windows или собственный механизм VMware View Persona Management. Ниже рассмотрим рекомендации по использованию View Persona Management.
Для использования View Persona Management в пуле виртуальных десктопов View Agent должен быть установлен на виртуальные десктопы пула с опцией View Persona Management:
в автоматизированном пуле – на основной образ виртуального десктопа пула;
в ручном пуле – на каждый виртуальный десктоп.
Для проверки на виртуальном десктопе следует посмотреть запущена ли служба VMwareViewPersonaManagement.
Также в локальную политику безопасности каждого виртуального десктопа пула должен быть добавлен ADM шаблон “VMware View Persona Management Configuration” (файл ViewPM.adm) с соответствующими значениями (значения определяются ниже).[104] Для добавления в локальную политику безопасности значений шаблона “VMware View Persona Management Configuration” может использоваться один из следующих методов:[105]
Групповая политика, применяемая к компьютерам организационной единицы AD, в которой расположены виртуальные десктопы данного пула.[106]
Для этого необходимо запустить Group Policy Management. Создать или привязать к организационной единице AD пула групповую политику. В контекстном меню данной групповой политики выбрать пункт “Edit…”. В появившемся окне “Group Policy Management Editor” в контекстном меню пункта “Computer Configuration –> Policies –> Administrative Templates” выбрать пункт “Add/Remove Templates…”. В появившемся окне “Add/Remove Templates” нажать на кнопку “Add..” и выбрать файл с ADM-шаблоном “ViewPM.adm”. Закрыть окно “Group Policy Management Editor”.В окне “GroupPolicyManagement” выбрать данную групповую политику и в закладке “Scope” добавить в поле “Security Filtering” группы “Domain Computers” и “Authenticated Users”.
Локальная политика безопасности основного образа виртуальных десктопов пула.[107]
Запустить оснастку Microsoft Management Console gpedit.msc. В появившемся окне в пункте “Computer Configuration –> Policies –> Administrative Templates” выбрать пункт “Add/Remove Templates…”. В появившемся окне “Add/RemoveTemplates” нажать на кнопку “Add..” и выбрать файл с ADM-шаблоном “ViewPM.adm” в каталоге install_directory\VMware\VMwareView\Agent\bin.
И в локальной политике безопасности каждого виртуального десктопа должно быть определено использование метода View Persona Management пользователями профилей.[108]
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение “VMware View AgentConfiguration –> Persona Management –> Manage user persona” в значение “Enabled”.
Теперь посмотрим какие параметры View Persona Management имеет смысл настроить.
Можно настроить частоту загрузки измененных данных профиля пользователя в сеть. Например, установить данное значение в 10 минут.
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить опцию Profile Upload Interval (in minutes) впараметре“VMware View Agent Configuration –> Persona Management –> Manage user persona” в значение“10”.
У каждого пользователя, использующего виртуальные десктопы, должен быть определен корректный путь к его перемещаемому профилю:
или в профиле учетной записи в Active Directory;
или в групповой политике, применяемой к данному пользователю.
Запустить“Active Directory Users and Computers”. Выбрать учетную запись пользователя. Открыть окно свойств учетной записи пользователя и в закладке “Profile” указать значение параметра “Profilepath”.
или
В групповой политике, применяемой к пользователю, установить в ветке “ComputerConfiguration –> AdministrativeTemplates –> System –> UserProfiles”:
“Set roaming profile path for all users logging onto this computer” взначение“Enabled”;
вопции“Users logging onto this computer should use this roaming profile path” в“Set roaming profile path for all users logging onto this computer” указать путь до общего хранилища профилей с указанием переменной %USERNAME%.
Во View Persona Management пула виртуальных десктопов должен быть определен корректный путь до общего хранилища профилей пользователей только для случая, если в свойствах учетной записи пользователя не определен путь до перемещаемого профиля.
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Roaming & Synchronization”:
“Persona repository location” взначение“Enabled”
в опции “Share Path” в “Persona repository location” прописать путь до общего хранилища профилей с указанием переменной %USERNAME%
опцию“Override Active Directory user profile path if it is configured” не отмечать[109]
В случае использования пула виртуальных десктопов без привязки к пользователям локальные профили пользователей при выходе пользователя из виртуального десктопа следует удалять.[110]
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View AgentConfiguration –> Persona Management –> Roaming & Synchronization”:
“Remove local persona at log off” взначение“Enabled”.
опцию“Delete ‘Local Settings’ or ‘AppData\Local’ when persona is removed” отметить
В случае использования пула виртуальных десктопов с привязкой к пользователям локальные профили пользователей при выходе пользователя из виртуального десктопа могут сохраняться.[111] Зависит от той политики, которая применяется к таким виртуальным десктопам.
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View AgentConfiguration –> Persona Management –> Roaming & Synchronization”:
“Remove local persona at log off” взначение“Disabled”.
При управлении перемещаемыми профилями пользователей при помощи View Persona Management должны отсутствовать элементы профиля управляемые при помощи технологии Windows roaming profiles.[112]
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View AgentConfiguration –> Persona Management –> Roaming & Synchronization”:
“Windows roaming profile synchronizations” в значение“Disabled”.
Желательно, чтобы иконка автономных файлов была скрыта от пользователя виртуального десктопа.[113]
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Desktop UI”:
“Hide local offline file icon” в значение “Enabled”.
Возможно, имеет смысл не показывать пользователям виртуальных десктопов критические ошибки, возникающие при репликации или сетевых соединениях.
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Desktop UI”:
“Show critical errors to users via tray icon alerts” взначение“Disabled”.
События View Persona Management на виртуальном десктопе следует журналировать.
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Logging”:
“Logging destination” взначение“Enabled”;
опцию“Send log messages to the log file” отметить.
События View Persona Management должны сохраняться в журнале событий, расположенном на виртуальном десктопе пользователя. На сетевой ресурс сохранять данные события не получается. Поэтому в случае необходимости хранения данных журналов длительнее времени жизни виртуального десктопа имеет смысл переносить их на отдельное хранилище, например, средствами системы мониторинга и корреляции событий информационной безопасности (SIEM).
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Logging”:
Также имеет смысл журналировать сообщения об ошибках и информационные сообщения.
В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMwareViewAgentConfiguration –> PersonaManagement –> Logging”:
“Logging flags” в значение “Enabled”;
отметить опции:
“Log error messages”
“Log information messages”
Раздел 4. Периферийные устройства. Печать
В данном разделе мы поговорим только о принтерах, как об одной из групп периферийных устройств виртуальных десктопов. Такие устройства как, например, сканеры в рамках данной статьи рассматриваться не будут.
Логически по способу подключения к виртуальным десктопам принтеры делятся на 2 группы:
Принтеры, подключаемые к локальному физическому устройству (Virtual Printing);
Рассматривать принтеры, размещенные в центре обработки данных, там где расположены виртуальные десктопы, не имеет смысла. Принтеры, подключенные к локальному физическому устройству (Virtual Printing)
При такой архитектуре печать осуществляется с использованием канала, созданного между физическим устройством и виртуальным десктопом. Также при этом используются драйвера печати уже установленные на физическое устройство (см. Рисунок 1).
Вообще такой вид печати с точки зрения информационной безопасности использовать не рекомендуется. Можно запретить такое перенаправление локальных принтеров клиентского физического устройства на виртуальный десктоп пользователя.
Например, для протокола RDP такая настройка выглядит следующим образом:[114]
В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке “VMwareViewClientConfiguration –> RDPSettings” установить “Redirectprinters” в значение “Disabled”.
Однако для постоянно перемещаемых пользователей это может быть единственным выходом для осуществления печати. Он может печатать, например, на подключенное к его компьютеру устройство и т.п.
Поэтому, в случае использования из виртуального десктопа принтеров, подключенных к локальному физическому устройству, печать на них должна контролироваться. Обычно эта задача выполняется при помощи специальных средств обнаружения/предотвращения утечек информации (DLP).
По сути это технология стандартной сетевой печати (Рисунок 2). При такой технологии печать осуществляется на сетевой принтер, физически расположенный недалеко от пользователя.
С точки зрения информационной безопасности локально размещенные сетевые принтеры должны использоваться только, если они размещены в контролируемой зоне (на территории) организации, к которой принадлежит пользователь виртуального десктопа.
Печать из виртуального десктопа на локально размещенные сетевые принтеры следует защищать от изменения и подмены при прохождении неконтролируемой территории при помощи шифрования трафика.
Использование из виртуального десктопа локально размещенных сетевых принтеров может быть ограниченно по диапазону IP-адресов для каждого клиента (организации). Т.е. к каждому локальному принтеру, принадлежащему конкретному клиенту (организации), доступ должны иметь только виртуальные десктопы из подсети данного клиента (организации).[116]
Для проверки данного требования в групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “Policies –> Software Settings –> Auto Connect Map Additional Printers for VMware View” проверить параметр “Configure Auto Connect Map Additional Printers”. В случае, если он установлен в значение “Enabled”, в таблице “Auto Connect Map Additional Printers for VMware View” для каждого принтера должен быть прописан диапазон IP-адресов виртуальных десктопов, с которых разрешена печать на принтер. Данный диапазон IP-адресов не должен быть более, чем сеть организации.
Использование из виртуального десктопа локально размещенных сетевых принтеров следует также ограничить группами доступа. Т.е. печать на локальный принтер может осуществлять только пользователь, принадлежащий группе доступа к данному принтеру.[117]
Для проверки данного требования в групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “Policies –> SoftwareSettings –> Auto Connect Map Additional Printers for VMware View” проверить параметр “ConfigureAutoConnectMapAdditionalPrinters”. В случае, если он установлен в значение “Enabled”, в таблице “Auto Connect Map Additional Printers for VMware View” для каждого принтера должна быть прописана группа доступа, пользователям которой разрешена печать на принтер.
Также как и для принтеров, подключаемых к локальному физическому устройству, использование локально размещенных сетевых принтеров рекомендуется контролировать при помощи специальных средств обнаружения/предотвращения утечек информации (DLP).
RSS
