Рекомендации по защите инфраструктуры виртуальных десктопов VMware View. Часть 5 - взаимодействие физических устройств и виртуальных ПК. Рекомендации по защите инфраструктуры виртуальных десктопов VMware View. Часть 5 - физические устройства. Автор: Максим Федотенко Дата: 18/01/2013 Поддержите VM Guru! USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1 Статья:

В этой части статьи разберем рекомендации по настройке взаимодействия физических клиентских устройств и виртуальных десктопов. С точки зрения информационной безопасности это важные ограничения, т.к. влияет явно на возможную передачу конфиденциальной информации между физическими клиентскими устройствами и виртуальными десктопами.

Глава 1. Режим использования виртуальных десктопов

Глобально пользователи должны использовать виртуальные десктопы в удаленном режиме (Remote Mode, Online). Т.е. физически виртуальные десктопы должны находиться на серверах, а не клиентских устройствах пользователей. Обычно используется именно такое построение инфраструктуры, поэтому в статье такая архитектура указана в виде требования, хотя в некоторых случаях оно может и не выполняться.

Для того чтобы пользователи использовали виртуальные десктопы в удаленном режиме необходимо зайти в View Administrator, там выбрать "Policies –>Global Policies". В панели справа "View Policies" нажать кнопку "Edit Policies…". В появившемся окне "Edit View Policies" установить параметр "Remote Mode" в значение "Allow".[1]

Далее мы будем отталкиваться от того, что пользователям запрещается использование виртуальных десктопов в локальном режиме (Local Mode, Offline). А в случае необходимости возможность использования виртуальных десктопов должна быть разрешена отдельно для пула виртуальных десктопов или отдельных пользователей пула.

Для этого необходимо зайти в View Administrator, там выбрать "Policies –>Global Policies". В панели справа "Local Mode Policies" нажать кнопку "Edit Policies…". В появившемся окне "Edit Local Mode Policies" установить параметр "Local Mode" в значение "Deny".[2]

Глава 2. Защита взаимодействия

При взаимодействии по протоколу PCoIP значения TCP и UDP-портов, по которым происходит взаимодействие VMware View Client и View Agent, возможно, но не рекомендуется, изменять относительно портов по умолчанию.[3]

Соответственно в групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке "PCoIP Session Variables" должны быть установлены следующие параметры:

• Параметр "Configure the TCP port to which the PCoIP host binds and listens" в значение:
• "Not Configured"

или

• "Enabled" и опции
• "TCP port" в значение"4172"
• "Set the size of the retry port range" в значение "1"
• Параметр"Configure the UDP port to which the PCoIP host binds and listens" в значение "Enabled" и опции:
• "UDP port" в значение "4172"

"Set the size of the retry port range" взначение"1"

Соединения View Client с виртуальными десктопами, осуществляемые по RDP, должны находиться в защищенном туннеле.[4]

Для этого в View Administrator необходимо выбрать "View Configuration –> Servers". В панели "View Connection Servers" выбрать сервер и нажать кнопку "Edit…". В появившемся окне "Edit View Connection Server Settings" во вкладке "General" отметить чекбокс "Use Secure Tunnel connection to desktop".

Соединения ViewClientс виртуальнымидесктопами, осуществляемые по PCoIP, должны защищаться при помощи PCoIPSecureGateway.[5]

Для этого в View Administrator необходимо выбрать "View Configuration –> Servers". В панели "View Connection Servers" выбрать сервер и нажать кнопку "Edit…". В появившемся окне "Edit View Connection Server Settings" во вкладке "General" отметить чекбокс "Use PCoIP Secure Gateway for PCoIP  connections to desktop".

СоединенияViewClient с серверами ViewManagerдолжно быть защищенно при помощи SSL.

Дляэтогов View Administrator необходимо выбрать "View Configuration –>Global Settings". В панели "Global Settings" нажать кнопку "Edit…". В появившемся окне "Global Settings" отметить чекбокс "Require SSL for client connections and View Administrator".[6]

Защита соединения ViewClientс виртуальными десктопами по протоколу PCoIP должна осуществляться при помощи алгоритма AES-12-GCM, соответствующего FIPS 140-2.[7]

Виртуальный десктоп

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках пользователя в ветке "PCoIP Session Variables" установить:

• "Enable the FIPS 140-2 approved mode of operation" в значение "Enabled"

или

• "Enable the FIPS 140-2approved mode of operation" в значение"Enabled"
• "Configure PCoIP session encryption algorithm" в значение "Enabled" и вопциях:
• отметить чекбокс "Disable Salsa 20-256-round12 encryption"
• снять отметку с чекбокса "Disable AES-128-GCM encryption"

Клиентское физическое устройство

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках пользователя в ветке "PCoIP Session Variables" установить:

• "Enable the FIPS 140-2approved mode of operation" в значение "Enabled"

или

• "Enable the FIPS 140-2approved mode of operation" в значение"Enabled"
• "Configure PCoIP session encryption algorithm" в значение "Enabled" и вопциях:
• отметить чекбокс "Disable Salsa 20-256-round12 encryption"
• снять отметку с чекбокса "Disable AES-128-GCM encryption"

Защита соединения ViewClient с виртуальными десктопами по протоколу RDP также должна осуществляться при помощи усиленных протоколов шифрования.

Для этого в групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке "Policies –> Administrative Templates –> WindowsComponents –>Remote desktop Services –>Remote desktop session Host –>Security" установить параметры

• "Set client connection encryption level" в значение "Enabled" и опцию "Encryption level" в значение "High Level";
• "Require use of specific security layer for remote (RDP) connections" в значение "Enabled" и опцию "Security Layer" в значение "Negotiate".

Глава 3. Сессия пользователя

Количество виртуальных десктопов, которые может использовать одновременно пользователь пула, должно ограничиваться. Обычно это один десктоп, но в зависимости от его реальной потребности может быть и больше.

Зайтив View Administrator. Выбрать "Inventory –>Pools". В панели "Pools" выбрать пул и нажать кнопку "Edit…". В появившемся окне "Edit <название пула>" выбрать вкладку "Pool Settings". На странице "Pool Settings" в группе "Remote Settings" параметр" Allow multiple sessions per user" установить в значение "No".[8]

При потере соединения с виртуальным десктопом из-за сетевых сбоев необходимо, чтобы пользователь снова аутентифицировался для подсоединения к виртуальному десктопу.

Зайтив View Administrator. Выбрать "View Configuration –>Global Settings". В панели "Global Settings" нажать кнопку "Edit…". В появившемся окне "Global Settings" отметить чекбокс "Reauthenticate secure tunnel connection after network interruption".[9]

Желательно осуществлять автоматическое закрытие пользовательской сессии к виртуальному десктопу после нескольких часов работы. Например, данный параметр можно установить в значение немного большее, чем рабочий день пользователя. Ниже этот параметр установлен в значение 12 часов.

Зайтив View Administrator. Выбрать "View Configuration –>Global Settings". В панели "Global Settings" нажать кнопку "Edit…". В появившемся окне "Global Settings" установить параметр "Session timeout" в значение 720 минут.[10]

Информация:

При использовании протокола RDP данную настройку возможно также осуществить следующим образом:

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке "Policies –>Administrative Templates –>Windows Components –>Remote Desktop Services –>Remote desktop Session host –>Session Time Limit" установить параметр "Set time limit for active Remote Desktop Services sessions" в значение "Enabled" и опцию "Active session limit" в значение 12 hours.

Пользовательская сессия к виртуальному десктопу должна автоматически закрываться после некоторого времени отсутствия активности пользователя, например, через 2 часа.

При использовании протокола RDP:[11]

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке "Policies –>Administrative Templates –>Windows Components –>Remote Desktop Services –>Remote desktop Session host –>Session Time Limit" установить параметр "Set time limit for active but idle Remote Desktop Services sessions" в значение "Enabled" и опцию "Active session limit" в значение 2 hours.

При этом, конечно, пользователя рекомендуется предупреждать о принудительном закрытии соединения с виртуальным десктопом.

Зайтив View Administrator. Выбрать "View Configuration –>Global Settings". В панели "Global Settings" нажать кнопку "Edit…". В появившемся окне "Global Settings" отметить чекбокс "Display warning before forced logoff".[12]

При этом возможно установить параметр, указывающий за какой временной промежуток до закрытия сессии пользователю будет показываться предупреждение о принудительном закрытии сессии. Например, за 5 минут до закрытия сессии.

Зайтив View Administrator. Выбрать "View Configuration –>Global Settings". В панели "Global Settings" нажать кнопку "Edit…". В появившемся окне "Global Settings" установить параметр "After warning, logoff after" в значение 5 минут или более.[13]

В некоторых конфигурациях рекомендуется после закрытия сессии пользователя (disconnect) к виртуальному десктопу одновременно осуществлять автоматический выход пользователя (logoff) из системы.

Зайти в View Administrator. Выбрать "Inventory –>Pools". Впанели "Pools" выбрать пул и нажать кнопку "Edit…". В появившемся окне "Edit <название пула>" выбрать закладку "Pool settings". В блоке"Remote Settings" установить параметр "Automatically logoff after disconnect" в значение "Immediate".

Информация:

При использовании протокола RDP возможно также данную настройку осуществить следующим образом:[14]

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке "Policies –>Administrative Templates –>Windows Components –>Remote Desktop Services –>Remote desktop Session host –>Session Time Limit" установить параметр "Sett ime limit for disconnected sessions" в значение "Enabled" и опцию "End a disconnected session" в значение 1 mitute.

Двухфакторная аутентификация по смарт-картам

В случае использования двухфакторной аутентификации по смарт-картам должны выполняться следующие требования.

При изъятии смарт-карты из считывателя пользовательская сессия к виртуальному десктопу должна прерываться.

Зайтив View Administrator. Выбрать "View Configuration –> Servers". В панели "ViewConnectionServers" выбрать сервер и нажать кнопку "Edit…". В появившемся окне "Edit View Connection Server Settings" выбрать закладку "Authentication". Отметить чекбокс"Disconnect user sessions on smart card removal".[15]

Установление новой пользовательской сессии к виртуальномудесктопу должно требовать аутентификацию пользователя по смарт-карте.

Зайтив View Administrator. Выбрать "View Configuration –> Servers". В панели "View Connection Servers" выбрать сервер и нажать кнопку "Edit…". В появившемся окне "Edit View Connection Server Settings" выбрать закладку "Authentication". Отметить чекбокс "Disconnect user sessions on smart card removal".[16]

Глава 4. Использование буфера обмена

Следует запретить обмен информацией между клиентским устройством и виртуальным десктопом с использованием буфера обмена. VMwareViewпозволяет также запрещать такой обмен в зависимости от направления переноса информации.

Можно запретить перенаправление информации из буфера обмена виртуального десктопа в буфер обмена клиентского физического устройства.

Настройка для PCoIP:[17]

Виртуальный десктоп

В групповой политике организационной единицы, ккоторойпринадлежатвиртуальные десктопы, внастройкахкомпьютеравветке"PCoIPSessionVariables"установитьв "Enabled"и опцию "Configure clipboard redirection" взначение"Disable in both directions" или "Enabled client to server only".

Настройкадля RDP:

Виртуальный десктоп

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке "Policies –>Administrative Templates –>Windows Components –>Remote desktop Services –>Remote desktop Session host –>Device and Resource Redirection"  установить параметр "Do not allow clipboard redirection" в значение "Enabled".[18]

А можно запретить перенаправление информации из буфера обмена клиентского физического устройства в буфер обмена виртуального десктопа.

Настройка для PCoIP:[19]

Виртуальный десктоп

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке "PCoIP Session Variables" установить в "Enabled" и опцию "Configure clipboard redirection" в значение "Disable in both directions".

Настройка для RDP:[20]

Клиентское физическое устройство

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке"VMware View Client Configuration –>RDP Settingsустановить"Redirect clipboard" в значение"Disabled".

Глава 5. Использование периферийных устройств клиентского физического устройства

1. Локальные диски

При помощи средств VMwareView возможно запретить перенаправление локальных дисков клиентского физического устройства на виртуальный десктоп пользователя.

При использовании протокола RDP можно запретить перенаправление на виртуальном десктопе.

Для чего в групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –>Administrative Templates –>Windows Components –>Remote desktop Services –>Remote desktop Session host–>Device and Resource Redirection установить параметр Do not allow drive redirection в значение Enabled.

Или на клиентском физическом устройстве.[21]

Для этого в групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке VMware View Client Configuration –>RDP Settings установить Redirect drives в значение Disabled.

2. USB-порты/устройства

В целом имеет смысл запрещать доступ из виртуальныхдесктопов к USB-портам (USB-устройствам) клиентского физического устройства.

Для этого нужно зайти в View Administrator и выбрать "Policies –>Global Policies". В панели справа "View Policies" нажатькнопку "Edit Policies…". В появившемся окне "Edit View Policies" установить параметр "USB Access" взначение "Deny".[22]

По умолчанию все пулы виртуальных десктопов и собственно сами виртуальные десктопы наследуют параметры глобальной политики.

Для проверки применения политики можно зайти в View Administrator и выбрать "Inventory –>Pools". В панели справа "Pools" выбрать пул виртуальных десктопов и дважды нажать на нем. В появившемся окне <Название пула>выбрать закладку Policies. В ней выбрать "Pool Policies" и в таблице "View Policies" проверить значение "USB Access" в столбце "Applied Policy". Значение должно быть "Deny". Далее выбрать "User Overrides" и проверить, что в появившейся таблице отсутствуют записи по переопределению политики для пользователей. Если такие записи есть, то проверить, что в них отсутствуют строки "USB Access" со значением "Allow".[23]

В случае необходимости использование USB-портов/устройств клиентского физического устройства на виртуальных десктопахможет разрешаться, но ограничиваться.

Ограничение использования USB-портов/устройств клиентского физического устройства на виртуальных десктопах должно осуществляться:

• или при помощи специализированных программных средств контроля использования USB-устройств/портов (DLP);
• или при помощи стандартных средств инфраструктуры виртуализации десктоповVMware View.

Ограничение USB при помощи специализированных программных средств

Вообще говоря, рекомендуется осуществлять ограничение использования USB-устройств/портов на виртуальных десктопах при помощи специализированных программных средств контроля использования USB-устройств/портов(DLP), т.к. они дают возможность привязки правил ограничения использования USB-устройств к пользователю, а не компьютеру в отличие от стандартных средств VMware View.

Однако в данной статье мы не будем касаться наложенных средств, а только внутренних средств VMwareView.

Ограничение USB при помощи стандартных средств VMwareView

Политика использования USB-устройств состоит из следующих частей (см. Рисунок 1):

• Политика разделения составных USB-устройств (применяется во ViewClient);
• Политика перенаправления USB-устройств (применяется в View Agent и View Client);

Политика разрешения/запрещения доступа к USB-устройствам (применяется во View Manager).

Рисунок 1 . Процесс разрешения/запрещения USB устройств[24]

Политики разделения составных USB-устройств и перенаправления USB-устройств устанавливаются при помощи групповой политики, применяемой к View Agent и View Client[25], и находятся в части групповой политики, применяемой к компьютерам, а не пользователям.[26]

Политика разделения составных USB-устройств

Результирующая политика разделения составных USB-устройств определяется политикой ViewAgent и политикой View Client. Методика формирования значений результирующей политики приведена в Таблице 1.

Таблица 1 . Результирующая настройка автоматического разделения составных USB-устройств [27]

В целом рекомендуется на клиентских устройствах выключать разделение составных USB-устройств, вне зависимости от настроек на самом устройстве.

В случае, если необходимо использовать перенаправление USB-устройств для конкретного виртуального десктопа или пула, то для данного виртуального десктопа или пула может быть разрешено разбиение составных устройств USB в соответствии с методикой, приведенной в Таблице 1.

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –>Administrative Templates –>Classic Administrative Templates (ADM) –>VMware View Agent Configuration –>View USB Configuration –>Client Downloadable only Settings установить параметр Allow Auto Device Splitting в значение "Disable – Override Client Settings".[28]

В случае, если необходимо использовать перенаправление USB-устройств для конкретного виртуального десктопа или пула, то для данного виртуального десктопа или пула может быть разрешено или запрещено разбиение составных устройств USB в соответствии с Vid/Pid USB-устройства.[29]

Если разрешено автоматическое разделение составных USB-устройств, то можно при помощи параметра Exclude Vid/Pid Device from Split, расположенного в настройках компьютера в ветке Policies –>Administrative Templates –>Classic Administrative Templates (ADM) –>VMware View Agent Configuration –>View USB Configuration –>Client Downloadable only Settings политики организационной единицы, в которой размещены виртуальные десктопы или физические клиентские устройства, указать Vid/Pid USB-устройства, исключаемого из автоматического разделения составныхUSB-устройств.

Если запрещено автоматическое разделение составных USB-устройств, то можно при помощи параметра SplitVid/Pid Device, расположенного в настройках компьютера в ветке Policies –>Administrative Templates –>Classic Administrative Templates (ADM) –>VMware View Agent Configuration –>View USB Configuration –>Client Downloadable only Settings политики организационной единицы, в которой размещены виртуальные десктопы или физические клиентские устройства, указать Vid/Pid составного USB-устройства, которое должно разделяться.

Политика перенаправления USB-устройств

Политика перенаправления USB-устройств влияет только на тех пользователей, которым разрешен USB-доступ в VMware View Manager. При этом перенаправление USB-устройств по умолчанию разрешено.

В случае, если политика перенаправления USB-устройств, определяющаяся на View Agent, не доведена до View Client, то при запрещении перенаправления устройствView Client не будет сообщать об этом пользователю[30]. Поэтому следует стараться доводить политику перенаправления USB-устройств с View Agent до View Client.

В групповой политике организационной единицы, к которой принадлежат физические клиентские устройства, в настройках компьютера в ветке Policies –>Administrative Templates –>Classic Administrative Templates (ADM) –>VMware View Client Configuration –>View USB Configuration –>Settings not configurable by Agent установить параметр Disable Remote Configuration в значение Disableили Default.[31]

В целях обеспечения безопасности политика перенаправления USB-устройств на ViewAgent должна запрещать перенаправление всех USB-устройств.
В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –>Administrative Templates –>Classic Administrative Templates (ADM) –>VMware View Agent Configuration –>View USB Configuration установить параметр Exclude All Devices в значение "Disabled".[32]

Однако политика перенаправления USB-устройств на View Agent может разрешать перенаправление некоторых классов (device family) или определенных USB-устройств в соответствии с их Vid/Pid.

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –>Administrative Templates –>Classic Administrative Templates (ADM) –>VMware View Agent Configuration –>ViewUSB Configuration установить следующие параметры в соответствующие значения:[33]

• Include Device Family;
• Include Vid/Pid Policy.

Возможные значения классов USB-устройств (device family) приведены в Таблице 2.

Таблица 2 . Классы USB-устройств[34]

Политика перенаправления USB-устройств на View Agent должна разрешать перенаправление некоторых классов или определенных USB-устройств только при помощи параметров, применяемых на ViewAgent. Данное утверждение следует из того, что мы далеко не всегда имеем возможность управления ViewClient.

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –>Administrative Templates –>Classic Administrative Templates (ADM) –>VMware View Agent Configuration –>View USB Configuration параметры:[35]

• Include Device Family;
• Include Vid/Pid Policy

должны быть установлены в значения, соответствующие политике перенаправления USB-устройств для виртуального десктопа или пула.

Следовательно, при разрешении перенаправления некоторых классов или определенных USB-устройств на View Agent разрешения для данных устройств должны доминировать над политикой, установленной на View Client.

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –>Administrative Templates –>Classic Administrative Templates (ADM) –>VMware View Agent Configuration –>View USB Configuration в параметрах Include Device Family и Include Vid/Pid Policy должны быть установлены значения с префиксом "o", например "o:storage".[36]

Далее приведен порядок применения политики фильтрации перенаправления USB-устройств на View Agent:[37]

• Exclude Vid/Pid Device;
• Include Vid/pid Device;
• Exclude Device Family;
• Include Device Family;
• Exclude All Devices.

А также порядок применения политики фильтрации перенаправления USB-устройств на View Client:[38]

• ExcludePath;
• IncludePath;
• ExcludeVid/Pid Device;
• Include Vid/pid Device;
• Exclude Device Family;
• Include Device Family;
• Allow Audio Input Devices, Allow Audio Output Devices, Allow HIDBootable, Allow HID (Non Bootable and Not Mouse Keyboard), Allow Keyboard and Mouse Devices, Allow Smart Cards, Allow VideoDevices;
• Exclude All Devices.

Дополнительные требования

Можно запретить подключение USB-портов клиентского физического устройства к виртуальному десктопу сразу при его создании, и разрешатьтолько когда в них подключаются USB-устройства.[39]
В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, установить в настройках компьютера в ветке VMware View Client Configuration –>Scripting definitions:

• Connect all USB devices to the desktop on launch в значение Disabled;
• Connect all USB devices to the desktop when they are plugged in в значение Enabled.

При этом в настройках пользователя в ветке VMware View Client Configuration –>Scripting definitions значения соответствующих параметров должны либо повторяться, либо не определяться.

3. Другие порты/устройства

Для регулирования использования других портов или устройств VMware предоставляет следующие возможности.

Можно запретить перенаправление последовательных портов клиентского физического устройства на виртуальный десктоп пользователя.

Настройка для RDP:

Виртуальный десктоп:

В групповой политике организационной единицы, ккоторойпринадлежатвиртуальные десктопы, в настройках компьютера в ветке Policies –>Administrative Templates –>Windows Components –>Remote desktop Services –>Remote desktop Session host –>Deviceand Resource Redirection установить параметр Do not allow COM port redirection в значение Enabled.

Клиентское физическое устройство:[40]

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке VMware View Client Configuration –>RDP Settingsустановить Redirect serial ports в значение Disabled.

Также возможно запретить перенаправление параллельных портов клиентского физического устройства на виртуальный десктоп пользователя.

Настройка для RDP:

Виртуальный десктоп:

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –>Administrative Templates –>Windows Components –>Remote desktop Services –>Remote desktop Session host –>Device and Resource Redirection установить параметр Do not allow LPT port redirection в значение Enabled.

И еще можно запретить перенаправление других поддерживаемых plug-and-playустройств клиентского физического устройства на виртуальный десктоп пользователя.

Настройка для RDP:

Виртуальный десктоп:

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –>Administrative Templates –>Windows Components –>Remote desktop Services –>Remote desktop Session host –>Device and Resource Redirection установить параметр Do not allow supported Plug and Play redirection в значение Enabled.

Клиентское физическое устройство:[41]

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке VMware View Client Configuration –>RDP Settingsустановить Redirect supported plug-and-play devices в значение Disabled.

Глава 6. Мультимедиа

VMware View может также запрещать использование перенаправления мультимедиа (Multimedia Redirection, MMR) с виртуального десктопа на клиентское физическое устройство. В случае необходимости такое перенаправление может быть разрешено отдельно для пула виртуальных десктопов или отдельных пользователей пула.

1) Зайтив View Administrator. Выбрать "Policies –>Global Policies". В панели справа "View Policies" нажать кнопку "Edit Policies…". В появившемся окне "Edit View Policies" установить параметр "Multimedia redirection (MMR)" в значение "Deny".[42]

По умолчанию все пулы виртуальных десктопов и собственно сами виртуальные десктопы наследуют параметры глобальной политики.

Проверка:

Зайтив View Administrator. Выбрать "Inventory –>Pools". В панели справа "Pools" выбрать пул виртуальных десктопов и дважды нажать на нем.В появившемся окне <Название пула> выбрать закладку Policies. В ней выбрать "Pool Policies" и в таблице "View Policies" проверить значение "Multimedia redirection (MMR)" в столбце "Applied Policy". Значение должно быть "Deny". Далее выбрать "User Overrides" и проверить, что в появившейся таблице отсутствуют записи по переопределению политики для пользователей. Если такие записи есть, то проверить, что в них отсутствуют строки "Multimedia redirection (MMR)" со значением "Allow".[43]

2) В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке VMware View Client Configuration установить Enable multi-media acceleration в значение Disabled.[44]

Ссылки

1. VMware View Administration. Chapter 8.Configuring Policies. "Configure Global Policy Settings". VMware View Administration. Chapter 8.Configuring Policies. "View Policies"
2. VMware View Administration. Chapter 8.Configuring Policies. "Configure Global Policy Settings". VMware View Administration. Chapter 8.Configuring Policies. "Local Mode Policies"
3. VMware View Administration. Chapter 8.Configuring Policies. "View PCoIP General Session Variables"
4. VMware View Security. VMware View Security Settings."Security-Related Server Settings in View Administrator"
5. VMware View Security. VMware View Security Settings."Security-Related Server Settings in View Administrator"
6.VMware View Administration. Chapter 1.Configuring View Connection server. "Global Settings for Client Sessions and Connections". VMware View Security. VMware View Security Settings."Security-Related Global Settings in View Administrator"
7. VMware View Administration. Chapter 8 Configuring Policies. "View PCoIP Session Variables ADM Template Settings"
8. VMware View Administration. Chapter 5.Creating desktop Pools. "Desktop and Pool Settings"
9. VMware View Administration. Chapter 1.Configuring View Connection server. "Global Settings for Client Sessions and Connections". VMware View Security. VMware View Security Settings."Security-Related Global Settings in View Administrator"
10. VMware View Administration. Chapter 1.Configuring View Connection server. "Global Settings for Client Sessions and Connections". VMware View Security. VMware View Security Settings."Security-Related Global Settings in View Administrator"
11. VMware View Administration. Chapter 8 Configuring Policies. "Terminal Services Group Policy Settings for Sessions"
12. VMware View Administration. Chapter 1.Configuring View Connection server. "Global Settings for Client Sessions and Connections"
13. VMware View Administration. Chapter 1.Configuring View Connection server."Global Settings for Client Sessions and Connections"
14. VMware View Administration. Chapter 8 Configuring Policies. "Terminal Services Group Policy Settings for Sessions"
15. VMware View Administration. Chapter 7.Setting Up User Authentication. "Configure Smart Card Settings in View Administrator"
16. VMware View Administration. Chapter 7.Setting Up User Authentication. "Configure Smart Card Settings in View Administrator"
17. VMware View Administration. Chapter 8 Configuring Policies. "View PCoIP Session Variables ADM Template Settings"
18. При этом запрещается также перенаправление информации из буфера обмена клиентского физического устройства в буфер обмена виртуального десктопа
19. VMware View Administration. Chapter 8 Configuring Policies. "View PCoIP Session Variables ADM Template Settings"
20. VMware View Administration. Chapter 8 Configuring Policies. "View PCoIP Session Variables ADM Template Settings"
21. VMware View Administration. Chapter 8 configuring Policies. . "View Client Configuration ADM Template Settings"
22. VMware View Administration. Chapter 8.Configuring Policies. "Configure Global Policy Settings". VMware View Administration. Chapter 8.Configuring Policies. "View Policies"
23. VMware View Administration. Chapter 8.Configuring Policies. "Configure Policies for Desktop Pools" и"Configure Policies for desktop Users". VMware View Administration. Chapter 8.Configuring Policies."ViewPolicies"
24. Статья "What’s New with USB Redirection in VMware View 5.1?" http://blogs.vmware.com/euc/2012/05/vmware-view-usb-redirection-51.html
25. VMware View Administration. Chapter 8.Configuring Policies."Using the View Group Policy Administrative Template File"
26. VMware View Administration. Chapter 8.Configuring Policies. "USB Settings for the View Agent". Реестр: HKLM\Software\Policies\VMware, Inc.\VMware VDM\Agent\USB
27. VMware View Administration. Chapter 8.Configuring Policies. "Configuring Device Splitting Policy Settings for Composite USB Devices"
28. VMware View Administration. Chapter 8.Configuring Policies. "Configuring Device Splitting Policy Settings for Composite USB Devices"
29. VMware View Administration. Chapter 8.Configuring Policies. "Configuring Device Splitting Policy Settings for Composite USB Devices"
30. VMware View Administration. Chapter 8.Configuring Policy. "Configuring Filter Policy Settings for USB Devices"
31. VMware View Administration. Chapter 8.Configuring Policy. "Configuring Filter Policy Settings for USB Devices"
32. VMware View Administration. Chapter 8.Configuring Policy. "USB Settings for View Agent"
33. VMware View Administration. Chapter 8.Configuring Policy. "USB Settings for View Agent"
34. VMware View Administration. Chapter 8.Configuring Policies. "USB Device Families"
35. VMware View Administration. Chapter 8.Configuring Policy. "USB Settings for View Agent"
36. VMware View Administration. Chapter 8.Configuring Policy. "USB Settings for View Agent"
37. VMware View Administration. Chapter 8.Configuring Policies. "Configuring Filter Policy Settings for USB Devices"
38. VMware View Administration. Chapter 8.Configuring Policies. "Configuring Filter Policy Settings for USB Devices"
39. VMware View Security. VMware View Security Settings."Security-Related Settings in the Scripting Definitions Section of the View Client Configuration Template". VMware View Administration. Chapter 8 Configuring Policies. "View Client Configuration ADM Template Settings"
40. VMware View Administration. Chapter 8 configuring Policies. "View Client Configuration ADM Template Settings"
41. VMware View Administration. Chapter 8 configuring Policies. "View Client Configuration ADM Template Settings"
42. VMware View Administration. Chapter 8.Configuring Policies. "Configure Global Policy Settings". VMware View Administration. Chapter 8.Configuring Policies. "View Policies"
43. VMware View Administration. Chapter 8.Configuring Policies. "Configure Policies for Desktop Pools" и"Configure Policies for desktop Users". VMware View Administration. Chapter 8.Configuring Policies. "View Policies"
44. VMware View Administration. Chapter 8 Configuring Policies. "View Client Configuration ADM Template Settings"