Максим Федотенко

gallery/1435337774_facebook
gallery/1435337799_twitter
gallery/logo
gallery/view.avatar

2013 год

Часть 4. Виртуальные десктопы

В данной части рассмотрим рекомендации к настройке виртуальных десктопов, как собственно виртуальных машин и их параметров, так и их гостевой операционной системы.

Раздел 1. Параметры виртуальных десктопов

Виртуальное оборудование

Рекомендуется виртуальному десктопу назначать только одну сетевую карту (сетевой адаптер). Во-первых в большинстве случаев пользователю просто не нужно две сетевые карты, а во-вторых сетевые карты естественно будут подключены к разным сетям и могут “шунтировать” межсетевой экран и маршрутизировать пакеты между этими сетями бесконтрольно.

Для проверки необходимо в vSphere Client выбрать виртуальную машину (основной образ пула или шаблон) из контекстного меню выбрать “Edit Settings…”. В появившемся окне “<имя ВМ> Virtual Machine Properties” выбрать закладку “Hardware” и проверить, что сетевой адаптер единственный.

Также сетевая карта (сетевой адаптер) виртуального десктопа должен принадлежать группе портов, находящейся в Модуле Virtual User LAN (см. Часть 1).

Для проверки необходимо в vSphere Client выбрать виртуальную машину (основной образ пула или шаблон) из контекстного меню выбрать “Edit Settings…”. В появившемся окне “<имя ВМ> Virtual Machine Properties” выбрать закладку “Hardware” и в ней сетевой адаптер. В правой части окна в разделе “Network Connection” должна быть определена метка сети (Network Label) соответствующая сети Модуля Виртуальной ЛВС.

CD/DVD Drive и Floppy Drive не должны инициализироваться, т.к. используются в vSphere Client при взаимодействии с консолью виртуальной машины, а данное взаимодействие пользователю не разрешается. Использовать локальные CD/DVD и Floppy Drives пользователи могут прокидывая их в виртуальную машину средствами VMware View.

Для проверки необходимо в vSphere Client выбрать виртуальную машину (основной образ пула или шаблон) из контекстного меню выбрать “Edit Settings…”. В появившемся окне “<имя ВМ> Virtual Machine Properties” выбрать закладку “Hardware” и в ней диск CD/DVD (диск Floppy). В правой части окна в разделе “Device Type” должен быть выбран параметр “Client Device”, а в разделе “Device Status” не отмечено ни одного пункта.

Также в общем случае виртуальная машина не должна иметь последовательный порт (Serial Port) и параллельный порт (Parallel Port).

Для проверки необходимо в vSphere Client выбрать виртуальную машину (основной образ пула или шаблон) из контекстного меню выбрать “Edit Settings…”. В появившемся окне “<имя ВМ> Virtual Machine Properties” выбрать закладку “Hardware” и проверить, что в ней отсутствует последовательный (параллельный) порт.

В общем случае виртуальная машина не должна иметь USB-устройств (USB Devices).

Для проверки необходимо в vSphere Client выбрать виртуальную машину (основной образ пула или шаблон) из контекстного меню выбрать “Edit Settings…”. В появившемся окне “<имя ВМ> Virtual Machine Properties” выбрать закладку “Hardware” и проверить, что в ней отсутствуют USB-устройства.

Также виртуальная машина не должна иметь PCI-устройств (PCI Devices).

В vSphere Client выбрать виртуальную машину (основной образ пула или шаблон) из контекстного меню выбрать “Edit Settings…”. В появившемся окне “<имя ВМ> Virtual Machine Properties” выбрать закладку “Hardware” и проверить, что в ней отсутствует PCI-устройства.

Настройки операционной системы

В статье будем рассматривать только виртуальные десктопы, использующие операционную систему Microsoft Windows 7. Гостевая операционная система должна удовлетворять требованиям безопасности, предъявляемым к Microsoft Windows 7, установленной на физических десктопах. Также гостевой операционной системе следует удовлетворять требованиям, специфичным для виртуальной среды и приведенным ниже.

Безопасность

В случае использования связанного клонирования рекомендуется запретить на основном образе пула шифрование дисков виртуальных десктопов:

Служба BitLocker Drive Encryption Service.[1]

Список литературы

[1] VMware View Optimization Guide for Windows 7. Раздел Windows 7 Operating System Customizations. “Windows 7 Services Parameters Table”

[2] VMware View Optimization Guide for Windows 7. Раздел Windows 7 Operating System Customizations. “Windows 7 Customizations Available Using Group Policy”

[3] VMware View Administration. Chapter 4. Creating and Preparing Virtual Machines. “Disable Windows Defender on Windows 7 Virtual Machines”

[4] VMware View Optimization Guide for Windows 7. Раздел Windows 7 Operating System Customizations. “Windows 7 Customizations Available Using the Registry”

[5] VMware View Administration. Chapter 4. Creating and Preparing Virtual Machines. “Disable Windows Update Service on Windows 7 Virtual Machines”

[6] VMware View Optimization Guide for Windows 7. Раздел Windows 7 Operating System Customizations. “Creating and Modifying the Default User Profile”

[7] Соответствует VMware View Optimization Guide for Windows 7. Раздел Windows 7 Operating System Customizations. “Windows 7 Customizations Available Using Group Policy”, но не соответствует VMware View Optimization Guide for Windows 7. Раздел Windows 7 Operating System Customizations. “Windows 7 Customizations Available Using the Registry”

[8] По мотивам VMware View Optimization Guide for Windows 7. Раздел Windows 7 Operating System Customizations. “Windows 7 Customizations Available Using the Registry”

[9] VMware View Administration. Chapter 4. Creating and Preparing Virtual Machines. “Disable Scheduled Disk Defragmentation on Windows 7 Virtual Machines”

[10] VMware View Optimization Guide for Windows 7. Раздел Windows 7 Operating System Customizations. “Windows 7 Customizations Available Using Group Policy”

[11] VMware View Optimization Guide for Windows 7. Раздел Windows 7 Operating System Customizations. “Windows 7 Customizations Available Using the Registry”

[12] VMware View Administration. Chapter 4. Creating and Preparing Virtual Machines. “Disable the Prefetch and Superfetch on Windows 7 Virtual Machines”

[13] VMware View Administration. Chapter 4. Creating and Preparing Virtual Machines. “Disable Windows Hibernation in the Parent Virtual Machine”

[14] VMware View Administration. Chapter 4. Creating and Preparing Virtual Machines. “Prepare a Guest Operating System for View Desktop Deployment”

[15] VMware View Administration. Chapter 4. Creating and Preparing Virtual Machines. “Disable the System Restore on Windows 7 Virtual Machines”

[16] VMware View Administration. Chapter 4. Creating and Preparing Virtual Machines. “Disable Windows Registry Backup on Windows 7 Virtual Machines”

[17] VMware View Optimization Guide for Windows 7. Appendix A (Customizations Reference)

[18] VMware View Administration. Chapter 8. Configuring Policies. “General Terminal Services Group Policy Settings”

[19] VMware View Optimization Guide for Windows 7. Раздел Windows 7 Operating System Customizations. “Creating and Modifying the Default User Profile”

[20] VMware View Administration. Chapter 4. Creating and Preparing Virtual Machines. “Disable Microsoft Feeds Synchronization on Windows 7 Virtual Machines”

[21] VMware View Administration. Chapter 4. Creating and Preparing Virtual Machines. “Disable Diagnostic Policy Service on Windows 7 Virtual Machines”

[22] VMware View Installation. Chapter 3. Preparing Active Directory. “Configuring Domains and Trust Relationships”

[23] VMware View Installation. Chapter 3. Preparing Active Directory. “Creating an OU for View Desktops”

[24] VMware View Administration. Chapter 11. Managing Desktops and Desktop Pools. “Add Desktops to an Automated Pool Provisioned by a List of Names”

[25] VMWare View Security. VMware View Security Settings. “Security-Related Settings in the View Agent Configuration Template”

[26] VMware View Administration. Chapter 8. Configuring Policies. “View Agent Configuration ADM Template Settings”

[27] VMware View Security. VMware View Security Reference. “VMware View Log Files”

[28] VMware View Administration. Chapter 1. Configuring View Connection Server. “Set a Single Sign-on Timeout Limit for View Users”

[29] VMware View Administration. Chapter 4. Creating and Prepatring Virtual Machines. “View Agent Custom Setup Options”

[30] VMware View Administration. Chapter 9. Configuring User Profiles with View Persona Management. “Configure a User Profile Repository”

[31] Microsoft TechNet. Windows Server 2003. “Security Recommendations for Roaming User Profiles Shared Folders”. http://technet.microsoft.com/en-us/library/cc757013(WS.10).aspx

[32] VMware View Administration. Chapter 9. Configuring User Profiles with View Persona Management. “Overview of Setting Up a View Persona Management Deployment”

[33] VMware View Administration. Chapter 9. Configuring User Profiles with View Persona Management. “Add the Persona Management ADM Template to Active Directory”

[34] VMware View Administration. Chapter 9. Configuring User Profiles with View Persona Management. “Add the Persona Management ADM Template to a Single System”

[35] VMware View Administration. Chapter 9. Configuring User Profiles with View Persona Management. “Configure View Persona Management Policies”

[36] VMware View Administration. Chapter 9. Configuring User Profiles with View Persona Management. “Determining Whether to Remove Local User Profiles at Logoff”

[37] VMware View Administration. Chapter 9. Configuring User Profiles with View Persona Management. “Roaming and Synchronization Group Policy Settings”

[38] VMware View Administration. Chapter 9. Configuring User Profiles with View Persona Management. “Desktop UI Group Policy Settings”

[39] VMware View Administration. Chapter 8 Сonfiguring Policies. “Location-Based Printing Group Policy Setting Syntax”

Связано это, прежде всего, с неэффективностью использования View Composer в таком случае.

Для запрещения шифрования диска следует выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить Services. Дважды нажать на “BitLocker Drive Encryption Service”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

В общем случае, т.к. пользователям не нужно использовать VPN, рекомендуется запретить использование функциональности VPN:

Secure Socket Tunneling Protocol Service.[1]

 

Для запрещения функциональности VPN необходимо выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Secure Socket Tunneling Protocol Service”. В появившемся окне нажать “Stop”и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Т.к. функции защиты в инфраструктуре должны осуществляться централизовано, то следует отключить использование функционала мониторинга конфигурации служб, связанных с обеспечением безопасности:

Служба Security Center.[1]

Для отключения Security Center следует выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Security Center”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Также следует отключить использование встроенных в операционную систему средства защиты Anti Spyware/Malware в случае установки общекорпоративных антивирусных средств:

  • Служба Windows Defender;[1]
  • Задача Windows Defender.

Служба Windows Defender:

Необходимо выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Windows Defender”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Задача Windows Defender:

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “Computer Configuration –> Administrative Templates –> Windows Components –> Windows Defender” параметр “Turn off Windows Defender” в значение “Enabled”.[2]

       или

В операционной системе Windows 7 нажать “Start” и в строке “Search programs and files” ввести “Windows Defender”. Нажать “Tools –> Options –> Administrator”. Убрать галку с чекбокса “Use this program” и нажать “Save”.[3]

В случае использования общекорпоративного средства сетевого экранирования, например, на базе VMware vShield EndPoint не следует использовать функционал встроенного в операционную систему локального сетевого экрана:

Windows Firewall.

Для этого необходимо выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Windows Firewall”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.[1]

или

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “Computer Configuration –> Windows Settings –> Security Settings –> Windows Firewall with Advanced Security –> Windows Firewall Properties” параметр “Firewall State” в значение “Off”.[2]

Если же мы все-таки используем локальный сетевой экран, встроенный в операционную систему, то в его политике необходимо прописать разрешение соединений по протоколу RDP.[4]

Для этого на основном образе пула виртуальных десктопов в реестре произвести следующие изменения:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

“fDenyTSConnections”=dword:00000000

В случае использования связанного клонирования должно быть запрещено использование функционала обновления виртуального десктопа изнутри виртуальной машины:

  • Служба Windows Update;[1]
  • Задача Windows Update.

Очевидно, что это связанные десктопы не должны обновляться сами, а все обновления должны протекать через изменение основного образа пула и использование процесса реконструкции (recompose) View Composer.

Служба Windows Update:

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Windows Update”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Задача Windows Update:

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “Computer Configuration –> Administrative Templates –> System –> Internet Communication Management –> Internet Communication Settings” установить:

  • параметр “Turn off Access to All Windows Update Features” в значение “Enabled”;
  • параметр “Turn off Windows Update Device driver Searching” в значение “Enabled”;[2]

                или

Выбрать “Start –> Control Panel –> System and Security –> Turn automatic updating on or off”. В меню “Important updates” выбрать “Never check for updates”. Снять галку с чекбокса “Give me recommended updates the same way I receive important updates”, снять галку с чекбокса “Allow all users to install updates on this computer”. Нажать “OK”.[5]

               или

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[4]

               [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

               "NoAutoUpdate”=dword:00000001

На виртуальном десктопе следует включать хранитель экрана (Screen Saver) при простаивании длительного промежутка времени.

Для этого в групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе User Configuration –> Administrative Templates –> Control Panel –> Personalization параметр Screen saver timeout в соответствующее значение.[2]

               или

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[2]

         [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop]

        "ScreenSaveTimeOut”=”значение”

Хранитель экрана следует защищать паролем.

Для этого в групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “User Configuration –> Administrative Templates –> Control Panel –> Personalization” параметр “Password protect the screen saver” в значение “Enabled”.[2]

              или

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[3]

        [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop]

       "ScreenSaverIsSecure”=”1"

Рекомендуется контроль доступа пользователей (User Access Control, UAC) не отключать полностью, а только частично.[7] Частичное отключение связано с тем, что некоторые настройки не совместимы с использованием виртуальных десктопов в среде VMware View.

Для того, чтобы определить не отключен ли контроль доступа пользователей на виртуальных десктопах пула в реестре необходимо проверить следующие параметры:[8]

            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

            “EnableLUA”=dword:00000001

Следующие требования вызваны возможностью обрыва сессии пользователя в случае срабатывания запросов на подтверждение действия на безопасном рабочем столе.

При осуществлении контроля доступа пользователя (User Access Control, UAC) должны разрешаться без подтверждения (окна запроса) действия от пользователя с привилегиями администратора.[2]

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options” параметр “User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode” в значение “Elevate without prompting”.

При контроле доступа пользователя (User Access Control, UAC) должна разрешаться без подтверждения (окна запроса) установка приложений.[2]

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options” параметр “User Account Control: Detect application installations and prompt for elevation” в значение “Disabled”.

При контроле доступа пользователя (User Access Control, UAC) должна быть разрешено выполнение приложений с уровнем целостности UIAccess из любого местоположения в файловой системе.[2]

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options” параметр “User Account Control: Only elevate UIAccess applications that are installed in secure locations” в значение “Disabled”.

При контроле доступа пользователя (User Access Control, UAC) должен разрешаться запуск сессий администраторов без подтверждения (окна запроса).[2]

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options” параметр “User Account Control: Run all administrators in Admin Approval Mode” в значение “Disabled”.

С точки зрения криптографии, возможно, будет интересно использование виртуальным десктопом усиленных алгоритмов шифрования, обмена ключевой информацией, аутентификации и хеширования.

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “Policies –> Windows Settings –> Security Settings Local Policies –> Security Options” установить параметр “System cryptography: Use FIPS compliant algorithms for encryptions, hashings and signings” в значение “Enabled”.

Сеть

При использовании в организации на виртуальном десктопе следует отключить функционал домашних сетей:[1]

  • Служба Home Group Listener
  • Служба Home Group Provider

Служба Home Group Listener:

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Home Group Listener”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Служба Home Group Provider:

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Home Group Provider”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

В случае неиспользования в сети протокола IPv6 рекомендуется отказаться от функционала протокола IPv6.[1]

Служба IP Helper:

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “IP Helper”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

В виртуальных десктопах следует отключить функционал конфигурирования беспроводной сети.

Служба WLAN AutoConfig:[1]

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “WLAN AutoConfig”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Также следует отключить функционал конфигурирования мобильных широкополосных устройств.

Служба WWAN AutoConfig:[1]

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “WWAN AutoConfig”. В появившемся окне нажать “Stop” и в меню “Startup” type выбрать “Disabled”. Нажать “OK”.

И стоит отключить диалог выбора пользователем сетевого размещения.

На основном образе виртуальных десктопов пула в реестре создать следующий ключ:[8]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\NewNetworkWindowOff]

Дисковая подсистема

Очевидно, что для пулов связанного клонирования обязательно должен быть отключен функционал дефрагментации дисков виртуального десктопа:

  • Служба Disk Defragmenter[1]
  • Задача Windows Scheduled Disk Defragmentation[9]

Служба Disk Defragmentator:

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Disk Defragmentator”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Задача Windows Scheduled Disk Defragmentation:

В операционной системе Windows 7 нажать “Start” и в строке “Search programs and files” ввести “defrag”. В панели “Programs” запустить “Disk Defragmenter”. В диалоговом окне программы выбрать “Defragment disk”. Дефрагментатор диска объединяет дефрагментированные файлы на диске виртуальной машины. Далее выбрать “Configure schedule”. В появившемся окне убрать галку “Run on a schedule (recommended)” и нажать “OK”.

Также следует запретить функционал использования iSCSI:

Служба Microsoft iSCSI Initiator Service[1]

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Microsoft iSCSI Initiator Service”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

VMware рекомендует увеличить значение времени ожидания (time-out value) ответа от диска до значения 200.

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk]

“TimeOutValue”=dword:000000c8

Файловая подсистема

Для виртуальных десктопов связанного клонирования следует запретить использование кэширования автономных файлов:

Служба Offline Files:[1]

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Offline Files”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Для виртуальных десктопов связанного клонирования стоит запретить перемещение удаленных файлов в корзину (Recycle Bin).

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “User Configuration –> Administrative Templates –> Windows Components –> Windows Explorer” параметр “Do not move deleted files to the recycle bin” в значение “Enabled”.[10]

           или

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[11]

       [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

       “NoRecycleFiles”=dword:00000001

Память

В случае если задача минимизации используемой памяти виртуальными десктопами более приоритетна нежели задача удобства (скорости) работы пользователей, то рекомендуется запретить использование функционала загрузки приложений в память для более быстрого перезапуска:

  • Служба Superfetch[1]
  • Задача Prefetch and Superfetch[12]

Служба Superfetch:

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Superfetch”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

         или

На основном образе виртуальных рабочих станций пула в реестре произвести следующие изменения:[4]

                  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]

                 "EnableSuperfetch”=dword:00000000

Задача Prefetch and Superfetch:

Запустить Windows Registry Editor. Найти ключ реестра “PrefetchParameters”.

Размещение: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters.

Установить “EnablePrefetcher” и “EnableSuperfetch” в значение “0”.

Электропитание

Т.к. в виртуальной среде теряется смысл спящего режима для виртуальных десктопов необходимо запретить его использование:

Задача Windows Hibernation[13]

В операционной системе Windows 7 нажать “Start” и ввести “cmd” в строку “Search programs and files”. Нажать правой кнопкой мыши на “Command Prompt” и выбрать “Run as Administrator”. В “User Account Control” выбрать “Continue”. В командной строке ввести “powercfg.exe /hibernate off” и нажать “Enter”. Ввести команду “exit” и нажать “Enter”.

А при использовании протокола PCoIP доступа к виртуальному десктопу необходимо обязательно исключить отключение экрана виртуального десктопа.[14]

Настройка питания “Отключение дисплея” (“Turn off the display”) должна быть установлена в “Никогда” (“Never”)

Резервное копирование и восстановление

Резервное копирование данных виртуальных десктопов должно осуществляться внешними средствами. Поэтому на виртуальных десктопах должен быть отключен функционал резервного копирования гостевой операционной системы:

  • Служба Windows Backup[1]
  • Служба Microsoft Software Shadow Copy Provider[1]
  • Служба Block Level Backup Engine Service[1]

Служба Windows Backup:

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Windows Backup”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Служба Microsoft Software Shadow Copy Provider:

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Microsoft Software Shadow Copy Provider”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Служба Block Level Backup Engine Service:

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Block Level Backup Engine Service”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Также в связи с рассуждениями выше должен быть отключен функционал восстановления из резервных копий виртуальных десктопов:

  • Служба System Restore[1]
  • Задача System Restore
  • Служба Volume Shadow Copy Service[1]

Вместо него можно использовать операцию обновления View Composer для возврата дисков в их исходное состояние.

Служба System Restore:

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “Computer Configuration –> Administrative Templates –> System –> System Restore” параметр “Turn off System Restore” в значение “Enabled”.

Задача System Restore:

На основном образе виртуальных десктопов пула выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Task Scheduler”. В левой панели раскрыть “Task Scheduler Library –> Microsoft –> Windows”. Дважды нажать “System Restore” и выбрать “SR”. В панели Actions нажать “Disable”.[15]

        bли

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[11]

         [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]

        "DisableSR”=dword:00000001

Служба Volume Shadow Copy Service:

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Volume Shadow Copy Service”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Также должен быть отключен функционал резервного копирования и восстановления реестра:

Windows Registry Backup (RegIdleBackup)[1]

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Task Scheduler”. В левой панели раскрыть “Task Scheduler Library –> Microsoft –> Windows”. Дважды нажать “Registry” и выбрать “RegIdleBackup”. В панели “Actions” нажать “Disable”.

Интерфейс

В целях ускорения загрузки операционный системы виртуального десктопа она должна происходить без использования графического интерфейса.[17]

На основном образе виртуальных десктопов пула необходимо запустить программу msconfig.exe. В окне “Конфигурация системы” в закладке “Загрузка” отметь чекбокс “Без GUI”.

Следующие рекомендации дают возможность оптимизировать работу виртуальных десктопов с точки зрения скорости работы и ресурсов ESXi.

Рекомендуется, чтобы фон рабочего стола не содержал картинки.

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение “Administrative Templates –> Windows Components –> Remote desktop services –> Remote Desktop Session Host –> Remote session Environment –> Enforce Removal of Remote Desktop Wallpaper” в значение “Enabled”.[18]

            или

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[19]

              [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

              “Wallpaper”=””

Следует отключить функционал улучшенных визуальных эффектов.

Aero (служба Desktop Window Manager Session Manager):[1]

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Desktop Window Manager Session Manager”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Следует отключить “классический” интерфейс Windows.

Служба Themes:[1]

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Themes”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

На виртуальных десктопах следует использовать в качестве хранителя экрана “черный экран”.

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “User Configuration –> Administrative Templates –> Control Panel –> Personalization” параметр “Force specific screen saver” в значение “%windir%\system32\scrnsave.scr”.[2]

           или

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[19]

       [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop]

      "SCRNSAVE”=”%windir%\\system32\\scrnsave.scr”

Рекомендуется отключить функцию Sideshow.

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “Computer Configuration –> Administrative Templates –> Windows Components –> Windows Sideshow” параметр “Turn off Windows Sideshow” в значение “Enabled”.[2]

               или

На основном образе виртуальных десктопах пула в реестре произвести следующие изменения:[2]

          [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Sideshow]

         "Disabled”=dword:00000001

Интернет

В целях оптимизации работы для виртуальных десктопов связанного клонирования имеет смысл отключение функционала обновления новостных лент (RSS feeds):

Microsoft Feeds Synchronization task (msfeedssync.exe)

Выбрать “Start –> Control Panel –> Network and Internet –> Internet Options”. Выбрать закладку “Content”. В панели “Feeds and Web Slices” нажать кнопку “Settings”. В появившемся окне убрать галку с чекбокса “Automatically check feeds and Web Slices for updates” и нажать “OK”.[20]

           или

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “User Configuration –> Administrative Templates –> Windows Components –> RSS Feeds” параметр “Turn off background sync for feeds and Web Slices” в значение “Enabled”.[2]

           или

На основном образе виртуальных десктопах пула в реестре произвести следующие изменения:[19]

         [HKEY_CURRENT_USER\Software\Microsoft\Feeds]

         “SyncStatus”=dword:00000000

Для виртуальных десктопов связанного клонирования при закрытии браузера Internet Explorer виртуального десктопа необходимо производить очистку кэша.[2]

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “User Configuration –> Administrative Templates –> Windows Components –> Internet Explorer –> Internet Control Panel –> Advanced Page” параметр “Empty Temporary Internet Files folder when browser is closed” в значение “Enabled”.[2]

           или

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[19]

       [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]

       “Persistent”=dword:00000000

Также следует отключить мастер настройки при первом запуске браузера Internet Explorer виртуального десктопа.[2]

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “User Configuration –> Administrative Templates –> Wndows Components –> Internet Explorer” параметр “Prevent performance of First Run Customize settings” в значение “Enabled”.[2]

          или

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[4]

     [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main]

    "DisableFirstRunCustomize”=dword:00000001

Поиск и устранение неисправностей

Для виртуальных десктопов связанного клонирования стоит отключить функционал поиска и устранения неисправностей:

Служба Diagnostic Policy Service.[21,1]

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Diagnostic Policy Service”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Для виртуальных десктопов связанного клонирования рекомендуется отключить функционал отчетности об ошибках Windows:

Windows Error Reporting Service.[1]

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Windows Error Reporting Service”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Должно быть, отключено отображение иконки Центра поддержки (Action Center).

В групповой политике организационной единицы виртуальных десктопов пула установить значение в разделе “User Configuration –> Administrative Templates –> Start Menu and Taskbar” параметр “Remove the Action Center icon” в значение “Enabled”.[2]

        или

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[19]

       [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

      "HideSCHealth”=dword:00000001

Должно быть запрещено выполнение аварийного дампа памяти.

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[4]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]

“CrashDumpEnabled”=dword:00000000

Другие настройки

Для виртуальных десктопов связанного клонирования рекомендуется запретить использование функционала поиска в виртуальной машине.

Служба Windows Search.[1]

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Windows Search”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK.

Функционал пальцеориентированного интерфейса (Tablet PC) в виртуальном десктопе не имеет смысла, поэтому его стоит запретить:

Служба Tablet PC Input Service:[1]

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Services”. Дважды нажать на “Tablet PC Services”. В появившемся окне нажать “Stop” и в меню “Startup type” выбрать “Disabled”. Нажать “OK”.

Также рекомендуется отключить измерение быстродействия и возможностей системы.

Задача Windows System Assessment Tool:[17]

Выбрать “Start –> Control Panel –> System and Security –> Administrative Tools”. Запустить “Task Scheduler”. В левой панели раскрыть “Task Scheduler Library –> Microsoft –> Windows”. Нажать “Maintenance” и отключить задачу.

Учетные записи виртуальных десктопов в каталоге

Для удобного и быстрого управления политиками безопасности на виртуальных десктопах рекомендуется вводить их в домен AD.[14] При этом домен AD, в котором находятся виртуальные десктопы, и домен AD, в котором находятся сервера Connection Server, должны иметь двусторонние доверительные отношения (two-way trust relationship), либо это должен быть один домен AD.[22]

В каталоге Active Directory следует создать одну или несколько отдельных организационных единиц OU для размещения учетных записей виртуальных десктопов.[3] При этом учетные записи виртуальных десктопов разных пулов рекомендуется размещать в различных организационных единицах OU каталога Active Directory.

Учетные записи виртуальных десктопов рекомендуется не размещать в контейнере по умолчанию домена каталога Active Directory. Обычно контейнер по умолчанию CN=Computers,DC=<имя домена>,DC=…

Имеет смысл виртуальные десктопы именовать единообразно. В названии виртуального десктопа во View Manager и имени DNS станции можно использовать:

  • префикс или постфикс, обозначающий, что данный десктоп является виртуальным. Например, VM-3-IVANOVFN или IVANOVFN-3-VM;
  • имя или номер пула виртуальных десктопов.

Рекомендуется, чтобы в сетевых названиях виртуальных десктопов присутствовали имена их пользователей.

При создании пула виртуальных десктопов связанного клонирования следует ввести соответствие имен виртуальных десктопов и имен пользователей (При этом отсутствует возможность создания виртуальных десктопов по запросу, все виртуальные десктопы будут созданы и привязаны к пользователям сразу.)

В View Administrator при создании пула виртуальных десктопов связанного клонирования в окне “Add Pool” на странице “Provisioning Settings” в разделе “Virtual Machine Naming” выбрать пункт “Specify names manually” и нажать на кнопку “Enter Names…”. В окне “Enter Desktop Names” ввести строки, содержащие названия виртуальных десктопов и через запятую имена пользователей.[2]

Проверка:

Зайти в View Administrator. Выбрать “Inventory –> Desktops”. В панели “Desktops” в столбцах “Desktop и DNS Name” должны присутствовать только правильные имена виртуальных десктопов.

Параметры безопасности

Для установки политик безопасности в виртуальных десктопах может применяться групповая политика для OU, в которых размещены соответствующие виртуальные десктопы.[23]

Удаленный рабочий стол

На виртуальном десктопе должна быть запущена служба Remote Desktop Services.[14]

К виртуальным десктопам должен быть запрещен прямой доступ по протоколу RDP с клиентов, не принадлежащих системе VMware View. Т.е. обращаться к виртуальному десктопу пользователи должны только централизованно с использованием серверов VMware View, а не напрямую, даже, если этот доступ разрешен политиками межсетевого экранирования.

Для этого параметр “AllowDirectRDP” в ADM-шаблоне конфигурации View Agent (“vdm_agent.adm”) должен быть установлен в значение “Disabled”.[25,26]

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение “VMware View Agent Configuration –> Agent Configuration –> AllowdirectRDP” в значение “Disabled”.

Замечание: Также параметр “Allow users to connect remotely using Terminal Services” в настройках терминальной службы (Remote Desktop Services) политики безопасности может быть установлен в значение “Disabled”.[18,10]

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение “Administrative Templates –> Windows Components –> Remote desktop services –> Remote Desktop Session Host –> Connections –> Allow users to connect remotely using Remote Desktop Services” в значение “Disabled”.

Для разграничения доступа к службе удаленного десктопа следует включить пользовательскую аутентификацию на сетевом уровне.[10]

В групповой политике организационной единицы виртуальных десктопов пула установить в ветке “Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services –> Remote Desktop Session Host –> Security” параметр “Require user authentication for remote connections by using Network Level Authentication” в значение “Enabled”.

         или

На основном образе виртуальных десктопов пула в реестре произвести следующие изменения:[11]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

“UserAuthentication”=dword:00000001

На виртуальном десктопе должен быть запрещен пункт меню “сменить пользователя” (log off).[18] Хотя вне зависимости от данной настройки сочетание клавиш Ctrl-Alt-End будет приводить к появлению окна “Windows Security” и возможности осуществления смены пользователя.

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение “Administrative Templates –> Windows Components –> Remote desktop services –> Remote Desktop Session Host –> Remote session Environment –> Remove Windows Security item from Start menu” в значение “Enabled”.

View Agent

На виртуальном десктопе не следует разрешать запускать при помощи View Agent какие-либо команды или скрипты при первом подсоединении пользователя к ней.[25,26]

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение “VMware View Agent Configuration –> Agent Configuration –> CommandsToRunOnConnect” в значение “Disabled” или “Not Configured”.

Также на виртуальном десктопе не следует разрешать запускать при помощи View Agent какие-либо команды или скрипты при каждом переподсоединении пользователя к нему.[25,26]

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение “VMware View Agent Configuration –> Agent Configuration –> CommandsToRunOnReconnect” в значение “Disabled” или “Not Configured”.

Сетевое экранирование

Как мы уже писали в предыдущих частях сетевое экранирование следует осуществлять при помощи средств сетевого экранирования, внешних по отношению к гостевой операционной ОС виртуального десктопа. Один из вариантов – это использование функционала VMware VMsafe API.

Этими средствами сетевого экранирования, внешними по отношению к гостевой ОС виртуального десктопа, рекомендуется полностью запретить трафик между виртуальными десктопами. Все взаимодействие (обмен информацией) между виртуальными десктопами должен осуществляться только через централизованные ресурсы, расположенные в серверных сетевых модулях.

Журналирование

Журналы служб View Agent находятся в гостевой операционной системе:[27]

  • Windows System Event Logs
  • В файлах в каталоге <Drive Letter>:\ProgramData\VMware\VDM\logs (журнальные файлы для протокола PCoIP называются pcoip_agent*.log).

В случае использования пула виртуальных десктопов связанного клонирования журнал работы View Composer на виртуальном десктопе находится в папке %system_drive%\Windows\Temp\vmware-viewcomposer-ga-new.log. Файл содержит информацию о выполнении скриптов QuickPrep или SysPrep. Записи в журнале содержат время начала и окончания выполнения скрипта, вывод скрипта и сообщения об ошибках.[27]

Дополнительные параметры

Обратим внимание на параметры времени виртуальных десктопов. Очевидно, что пользователи и сами виртуальные десктопы могут размещаться в различных временных поясах. Поэтому могут быть различные стратегии синхронизации времени.

Для того, чтобы виртуальные десктопы получали время того пояса, где расположен ЦОД, им следует синхронизировать свое время с ESX(i) или с используемыми в организации серверами времени.[14]

В то же время, чтобы виртуальные десктопы получали местное поясное время пользователя, который с ними работает, следует разрешить виртуальным десктопам синхронизировать свое время с физическими клиентами.

1) В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значения:[26]

  • “Computer Configuration –> Policies –> Administrative Templates –> Classic Administrative Templates –> VMware View Agent Configuration –> Agent Configuration –> Disable Time Zone Synchronization”  в значение ”Enabled”;
  • “User Configuration –> Policies –> Administrative Templates –> Classic Administrative Templates –> VMware View Agent Configuration –> Agent Configuration –> Disable Time Zone Synchronization”  в значение “Enabled”.

2) В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках компьютера в ветке “VMware View Client Configuration” установить “Disable time zone forwarding” в значение “Enabled”.[26]

Раздел 2. Пользователи виртуальных десктопов

Идентификация и аутентификация пользователей в виртуальном десктопе

Рекомендуется учетную запись локального администратора (например, “Administrator” или “Администратор”) на виртуальном десктопе или отключать или переименовывать и присваивать ей случайный пароль различный для каждой виртуального десктопа. Переименовывать учетную запись можно при помощи групповой политики или основного образа пула, а для изменения пароля использовать утилиты третьих фирм.

Механизм единого входа (Single Sign-on)

VMware View предоставляет возможность подключения пользователей к виртуальным десктопам с использованием механизма единого входа (Single sign-on).[25,26] Для удобства пользователей его стоит использовать.

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение “VMware View Agent Configuration –> Agent Configuration –> AllowSingleSignon” в значение “Enabled” или “Not Configured”.

Однако билет, предназначенный для аутентификации соединения (Connection Ticket) и применяемый при использовании механизма единого входа (Single sign-on), рекомендуется хранить недолго, например, не более, минуты.[25,26]

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение “VMware View Agent Configuration –> Agent Configuration –> ConnectionTicketTimeout” в значение “Enabled” и опцию “ConnectionTicketTimeout” установить в значение “60” (Значение устанавливается в секундах).[25,26]

На сервере View Connection Server запустить ADSI Edit. В диалоговом окне Connection Settings ввести Connection Point=“DC=vdi,DC=vmware,DC=int”, Computer=”localhost” и подсоединиться. Далее выбрать объект CN=Common, OU=Global, OU=Properties и открыть диалоговое окно свойств объекта. В окне параметру pae-SSOCredentialCacheTimeout присвоить значение 1 (Значение устанавливается в секундах).[28]

Двухфакторная аутентификация с использованием сертификатов

В случае если при аутентификации на виртуальных десктопах решено использовать второй фактор в виде сертификатов, должны выполняться следующие требования.

Для аутентификации пользователей по смарт-картам на основные образы виртуальных десктопов пулов должен быть установлен View Agent с опцией “PCoIP SmartCard”. Данная опция задается при установке агента.[1]

В случае, если не предоставлена возможность подключения пользователей к виртуальным десктопам с использованием механизма единого входа (Single Sign-On), для использования возможности аутентификации при помощи смарт-карт в инфраструктуре виртуальных десктопов необходимо разрешить перенаправление смарт-карт, используемых на локальном физическом устройстве, в инфраструктуру виртуальных десктопов.

Для PCoIP и RDP:

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке “VMware View Client Configuration –> RDP Settings” установить “Redirect smart cards” в значение “Enabled”.

Для RDP:

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “Policies –> Administrative Templates –> Windows Components –> Remote desktop Services –> Remote desktop Session host –> Device and Resource Redirection”  установить параметр “Do not allow smart card device redirection” в значение “Disabled” или “Not Configured”.

Права пользователя в виртуальном десктопе

Рекомендуется, чтобы пользователи виртуальных десктопов не имели административные права на виртуальном десктопе.

Также пользователю виртуального десктопа следует запретить возможность установки программного обеспечения, которое не может быть доставлено на виртуальный десктоп средствами VMware ThinApp или подобной технологии. Установка данного программного обеспечения рекомендуется осуществлять посредством изменения основного образа пула виртуальных десктопов или работниками подразделения, отвечающего за администрирование десктопов.

В случае использования для доступа к виртуальным десктопам протокола PCoIP в локальную группу Remote Desktop Users виртуального десктопа не должны входить какие-либо пользователи или группы пользователей. Делается это для того, чтобы пользователи напрямую не могли подсоединиться к десктопу по протоколу RDP.

Для проверки следует в виртуальном десктопе в меню “Пуск” в контекстном меню “Компьютер” выбрать “Управление”. В появившемся окне в левой части “Управление компьютером” выбрать “Служебные программы –> Локальные пользователи и группы –> Группы”, после этого в правой части выбрать группу “Remote Desktop Users” (“Пользователи удаленного рабочего стола”) и проверить наличие в данной группе пользователей или групп.

В случае использования для доступа к виртуальным десктопам протокола RDP в локальную группу Remote Desktop Users виртуального десктопа должны входить только пользователи виртуальных десктопов.[14]

Создать в AD группу пользователей пула виртуальных десктопов. Изменить групповую политику, применяемую к компьютерам данного пула (связанную с организационной единицей данного пула) следующим образом. В разделе “Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment” прописать в политике “Allow log on through Remote Desktop Services” группу пользователей данного пула виртуальных десктопов.

Раздел 3. Пользовательские профили

Размещение пользовательских профилей

Желательно, чтобы пользовательские профили размещались на отдельных сетевых ресурсах, предназначенных только для хранения пользовательских профилей. Далее перечислены необходимые права пользователей на их профили.[30,31]

Права на уровне NTFS на родительские каталоги каталогов перемещаемых профилей пользователей виртуальных десктопов следует установить в соответствии с Таблица 1.

Таблица 1. Права на уровне NTFS к родительскому каталогу перемещаемых профилей

gallery/view.tab.4.01

Права на уровне совместно используемых ресурсов (Share level, SMB) к совместно используемому ресурсу перемещаемых профилей пользователей виртуальных десктопов следует установить в соответствии с Таблица 2.

Таблица 2. Права на уровне совместно используемых ресурсов (Share level, SMB) к совместно используемому ресурсу перемещаемых профилей

gallery/view.tab.4.02

Права на уровне NTFS к каждому каталогу пользовательского перемещаемого профиля следует установить в соответствии с Таблица 3.

Таблица 3. Права на уровне NTFS к каждому каталогу пользовательского перемещаемого профиля

gallery/view.tab.4.03

Технологии доступа к профилям

Для доступа пользователей к профилям может использоваться стандартный механизм перемещаемых профилей (Roaming Profiles) Microsoft Windows или собственный механизм VMware View Persona Management. Ниже рассмотрим рекомендации по использованию View Persona Management.

Для использования View Persona Management в пуле виртуальных десктопов View Agent должен быть установлен на виртуальные десктопы пула с опцией View Persona Management:

  • в автоматизированном пуле – на основной образ виртуального десктопа пула;
  • в ручном пуле – на каждый виртуальный десктоп.

Для проверки на виртуальном десктопе следует посмотреть запущена ли служба VMware View Persona Management.

Также в локальную политику безопасности каждого виртуального десктопа пула должен быть добавлен ADM шаблон “VMware View Persona Management Configuration” (файл ViewPM.adm) с соответствующими значениями (значения определяются ниже).[32] Для добавления в локальную политику безопасности значений шаблона “VMware View Persona Management Configuration” может использоваться один из следующих методов:[32]

  • Групповая политика, применяемая к компьютерам организационной единицы AD, в которой расположены виртуальные десктопы данного пула.[33]

Для этого необходимо запустить Group Policy Management. Создать или привязать к организационной единице AD пула групповую политику. В контекстном меню данной групповой политики выбрать пункт “Edit…”. В появившемся окне “Group Policy Management Editor” в контекстном меню пункта “Computer Configuration –> Policies –> Administrative Templates” выбрать пункт “Add/Remove Templates…”. В появившемся окне “Add/Remove Templates” нажать на кнопку “Add..” и выбрать файл с ADM-шаблоном “ViewPM.adm”. Закрыть окно “Group Policy Management Editor”.

В окне “Group Policy Management” выбрать данную групповую политику и в закладке “Scope” добавить в поле “Security Filtering” группы “Domain Computers” и “Authenticated Users”.

  • Локальная политика безопасности основного образа виртуальных десктопов пула.[34]

Запустить оснастку Microsoft Management Console gpedit.msc. В появившемся окне в пункте “Computer Configuration –> Policies –> Administrative Templates” выбрать пункт “Add/Remove Templates…”. В появившемся окне “Add/Remove Templates” нажать на кнопку “Add..” и выбрать файл с ADM-шаблоном “ViewPM.adm” в каталоге install_directory\VMware\VMware View\Agent\bin.

И в локальной политике безопасности каждого виртуального десктопа должно быть определено использование метода View Persona Management пользователями профилей.[35]

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить значение “VMware View Agent Configuration –> Persona Management –> Manage user persona” в значение “Enabled”.

Теперь посмотрим какие параметры View Persona Management имеет смысл настроить.

Можно настроить частоту загрузки измененных данных профиля пользователя в сеть. Например, установить данное значение в 10 минут.

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить опцию Profile Upload Interval (in minutes) в параметре “VMware View Agent Configuration –> Persona Management –> Manage user persona” в значение “10”.

У каждого пользователя, использующего виртуальные десктопы, должен быть определен корректный путь к его перемещаемому профилю:

  • или в профиле учетной записи в Active Directory;
  • или в групповой политике, применяемой к данному пользователю.

Запустить “Active Directory Users and Computers”. Выбрать учетную запись пользователя. Открыть окно свойств учетной записи пользователя и в закладке “Profile” указать значение параметра “Profile path”.

         или

В групповой политике, применяемой к пользователю, установить в ветке “Computer Configuration –> Administrative Templates –> System –> User Profiles”:

  • “Set roaming profile path for all users logging onto this computer” в значение “Enabled”;
  • в опции “Users logging onto this computer should use this roaming profile path” в “Set roaming profile path for all users logging onto this computer” указать путь до общего хранилища профилей с указанием переменной %USERNAME%.

Во View Persona Management пула виртуальных десктопов должен быть определен корректный путь до общего хранилища профилей пользователей только для случая, если в свойствах учетной записи пользователя не определен путь до перемещаемого профиля.

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Roaming & Synchronization”:

  • “Persona repository location” в значение “Enabled”
  • в опции “Share Path” в “Persona repository location” прописать путь до общего хранилища профилей с указанием переменной %USERNAME%
  • опцию “Override Active Directory user profile path if it is configured” не отмечать (в случае использования перемещаемых профилей (Roaming Profiles) в других системах профиль пользователя в VMware View при выходе пользователя из виртуального десктопа будет перезаписывать перемещаемый профиль)

В случае использования пула виртуальных десктопов без привязки к пользователям локальные профили пользователей при выходе пользователя из виртуального десктопа следует удалять.[36]

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Roaming & Synchronization”:

  • “Remove local persona at log off”  в значение “Enabled”.
  • опцию “Delete ‘Local Settings’ or ‘AppData\Local’ when persona is removed” отметить

В случае использования пула виртуальных десктопов с привязкой к пользователям локальные профили пользователей при выходе пользователя из виртуального десктопа могут сохраняться.[36] Зависит от той политики, которая применяется к таким виртуальным десктопам.

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Roaming & Synchronization”:

  • “Remove local persona at log off”  в значение “Disabled”.

При управлении перемещаемыми профилями пользователей при помощи View Persona Management должны отсутствовать элементы профиля управляемые при помощи технологии Windows roaming profiles.[37]

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Roaming & Synchronization”:

  • “Windows roaming profile synchronizations” в значение “Disabled”.

Желательно, чтобы иконка автономных файлов была скрыта от пользователя виртуального десктопа.[38]

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Desktop UI”:

  • “Hide local offline file icon” в значение “Enabled”.

Возможно, имеет смысл не показывать пользователям виртуальных десктопов критические ошибки, возникающие при репликации или сетевых соединениях.

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Desktop UI”:

  • “Show critical errors to users via tray icon alerts” в значение “Disabled”.

События View Persona Management на виртуальном десктопе следует журналировать.

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Logging”:

  • “Logging destination” в значение “Enabled”;
  • опцию “Send log messages to the log file” отметить.

События View Persona Management должны сохраняться в журнале событий, расположенном на виртуальном десктопе пользователя. На сетевой ресурс сохранять данные события не получается. Поэтому в случае необходимости хранения данных журналов длительнее времени жизни виртуального десктопа имеет смысл переносить их на отдельное хранилище, например, средствами системы мониторинга и корреляции событий информационной безопасности (SIEM).

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Logging”:

  • “Logging filename” в значение “Not configured” или “Enabled”.

Также имеет смысл журналировать сообщения об ошибках и информационные сообщения.

В зависимости от выбранного метода добавления в локальную политику значений шаблона необходимо либо в групповой политике организационной единицы, либо в локальной политике основного образа виртуальных десктопов пула установить в ветке “VMware View Agent Configuration –> Persona Management –> Logging”:

  • “Logging flags” в значение “Enabled”;
  • отметить опции:
  • “Log error messages”
  • “Log information messages”

Раздел 4. Периферийные устройства. Печать

В данном разделе мы поговорим только о принтерах, как об одной из групп периферийных устройств виртуальных десктопов. Такие устройства как, например, сканеры в рамках данной статьи рассматриваться не будут.

Логически по способу подключения к виртуальным десктопам принтеры делятся на 2 группы:

  • Принтеры, подключаемые к локальному физическому устройству (Virtual Printing);
  • Локально размещенные сетевые принтеры (Location-Based Printing).

Рассматривать принтеры, размещенные в центре обработки данных, там где расположены виртуальные десктопы, не имеет смысла.

Принтеры, подключенные к локальному физическому устройству (Virtual Printing)

При такой архитектуре печать осуществляется с использованием канала, созданного между физическим устройством и виртуальным десктопом. Также при этом используются драйвера печати уже установленные на физическое устройство (см. Рисунок 1).

gallery/view.4.01.virtual printing

Рисунок 1. Принтеры, подключенные к локальному физическому устройству (Virtual Printing)

Вообще такой вид печати с точки зрения информационной безопасности использовать не рекомендуется. Можно запретить такое перенаправление локальных принтеров клиентского физического устройства на виртуальный десктоп пользователя.

Например, для протокола RDP такая настройка выглядит следующим образом:[26] (Замечание: Параметры групповой политики “Policies –> Administrative Templates –> Windows Components –> Remote desktop Services –> Remote desktop Session host –> Printer redirection” не оказывают влияние на перенаправление принтеров в VMware View)

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке “VMware View Client Configuration –> RDP Settings” установить “Redirect printers” в значение “Disabled”.

Однако для постоянно перемещаемых пользователей это может быть единственным выходом для осуществления печати. Он может печатать, например, на подключенное к его компьютеру устройство и т.п.

Поэтому, в случае использования из виртуального десктопа принтеров, подключенных к локальному физическому устройству, печать на них должна контролироваться. Обычно эта задача выполняется при помощи специальных средств обнаружения/предотвращения утечек информации (DLP).

Локально размещенные сетевые принтеры (Location-Based Printing)

По сути это технология стандартной сетевой печати (Рисунок 2). При такой технологии печать осуществляется на сетевой принтер, физически расположенный недалеко от пользователя.

gallery/view.4.02.location-based printing

Рисунок 2. Локально размещенные сетевые принтеры (Location-based Printing)

С точки зрения информационной безопасности локально размещенные сетевые принтеры должны использоваться только, если они размещены в контролируемой зоне (на территории) организации, к которой принадлежит пользователь виртуального десктопа.

Печать из виртуального десктопа на локально размещенные сетевые принтеры следует защищать от изменения и подмены при прохождении неконтролируемой территории при помощи шифрования трафика.

Использование из виртуального десктопа локально размещенных сетевых принтеров может быть ограниченно по диапазону IP-адресов для каждого клиента (организации). Т.е. к каждому локальному принтеру, принадлежащему конкретному клиенту (организации), доступ должны иметь только виртуальные десктопы из подсети данного клиента (организации).[39]

Для проверки данного требования в групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “Policies –> Software Settings –> AutoConnect Map Additional Printers for VMware View” проверить параметр “Configure AutoConnect Map Additional Printers”. В случае, если он установлен в значение “Enabled”, в таблице “AutoConnect Map Additional Printers for VMware View” для каждого принтера должен быть прописан диапазон IP-адресов виртуальных десктопов, с которых разрешена печать на принтер. Данный диапазон IP-адресов не должен быть более, чем сеть организации.

Использование из виртуального десктопа локально размещенных сетевых принтеров следует также ограничить группами доступа. Т.е. печать на локальный принтер может осуществлять только пользователь, принадлежащий группе доступа к данному принтеру.[39]

Для проверки данного требования в групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “Policies –> Software Settings –> AutoConnect Map Additional Printers for VMware View” проверить параметр “Configure AutoConnect Map Additional Printers”. В случае, если он установлен в значение “Enabled”, в таблице “AutoConnect Map Additional Printers for VMware View” для каждого принтера должна быть прописана группа доступа, пользователям которой разрешена печать на принтер.

Также как и для принтеров, подключаемых к локальному физическому устройству, использование локально размещенных сетевых принтеров рекомендуется контролировать при помощи специальных средств обнаружения/предотвращения утечек информации (DLP).