Максим Федотенко

gallery/1435337774_facebook
gallery/1435337799_twitter
gallery/logo
gallery/view.avatar

2013 год

Часть 5. Взаимодействие физических устройств и виртуальных десктопов

В этой части статьи разберем рекомендации по настройке взаимодействия физических клиентских устройств и виртуальных десктопов. С точки зрения информационной безопасности это важные ограничения, т.к. влияет явно на возможную передачу конфиденциальной информации между физическими клиентскими устройствами и виртуальными десктопами.

Глава 1. Режим использования виртуальных десктопов

Глобально пользователи должны использовать виртуальные десктопы в удаленном режиме (Remote Mode, Online). Т.е. физически виртуальные десктопы должны находиться на серверах, а не клиентских устройствах пользователей. Обычно используется именно такое построение инфраструктуры, поэтому в статье такая архитектура указана в виде требования, хотя в некоторых случаях оно может и не выполняться.

Для того чтобы пользователи использовали виртуальные десктопы в удаленном режиме необходимо зайти в View Administrator, там выбрать “Policies –> Global Policies”. В панели справа “View Policies” нажать кнопку “Edit Policies…”. В появившемся окне “Edit View Policies” установить параметр “Remote Mode” в значение “Allow”.[1,2]

Список литературы

[1] VMware View Administration. Chapter 8. Configuring Policies. “Configure Global Policy Settings”

[2] VMware View Administration. Chapter 8. Configuring Policies. “View Policies”

[3] VMware View Administration. Chapter 8. Configuring Policies. “Local Mode Policies”

[4] VMware View Administration. Chapter 8. Configuring Policies. “View PCoIP General Session Variables”

[5] VMware View Security. VMware View Security Settings. “Security-Related Server Settings in View Administrator”

[6] VMware View Administration. Chapter 1. Configuring View Connection server. “Global Settings for Client Sessions and Connections”

[7] VMware View Administration. Chapter 8 Configuring Policies. “View PCoIP Session Variables ADM Template Settings”

[8] VMware View Administration. Chapter 5. Creating desktop Pools. “Desktop and Pool Settings”

[9] VMware View Administration. Chapter 8 Configuring Policies. “Terminal Services Group Policy Settings for Sessions”

[10] VMware View Administration. Chapter 7. Setting Up User Authentication. “Configure Smart Card Settings in View Administrator”

[11] VMware View Administration. Chapter 8. Configuring Policies. “Configure Policies for Desktop Pools”

[12] VMware View Administration. Chapter 8. Configuring Policies. “Configure Policies for Desktop Users”

[13] Статья “What’s New with USB Redirection in VMware View 5.1?” http://blogs.vmware.com/euc/2012/05/vmware-view-usb-redirection-51.html

[14] VMware View Administration. Chapter 8. Configuring Policies. “Using the View Group Policy Administrative Template File”

[15] VMware View Administration. Chapter 8. Configuring Policies. “USB Settings for the View Agent”

[16] VMware View Administration. Chapter 8. Configuring Policies. “Configuring Device Splitting Policy Settings for Composite USB Devices”

[17] VMware View Administration. Chapter 8. Configuring Policy. “Configuring Filter Policy Settings for USB Devices”

[18] VMware View Administration. Chapter 8. Configuring Policies. “USB Device Families”

[19] VMware View Security. VMware View Security Settings. “Security-Related Settings in the Scripting Definitions Section of the View Client Configuration Template”

[20] VMware View Administration. Chapter 8 Configuring Policies. “View Client Configuration ADM Template Settings”

Далее мы будем отталкиваться от того, что пользователям запрещается использование виртуальных десктопов в локальном режиме (Local Mode, Offline). А в случае необходимости возможность использования виртуальных десктопов должна быть разрешена отдельно для пула виртуальных десктопов или отдельных пользователей пула.

Для этого необходимо зайти в View Administrator, там выбрать “Policies –> Global Policies”. В панели справа “Local Mode Policies” нажать кнопку “Edit Policies…”. В появившемся окне “Edit Local Mode Policies” установить параметр “Local Mode” в значение “Deny”.[1,3]

Глава 2. Защита взаимодействия

При взаимодействии по протоколу PCoIP значения TCP и UDP-портов, по которым происходит взаимодействие VMware View Client и View Agent, возможно, но не рекомендуется, изменять относительно портов по умолчанию.[4]

Соответственно в групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “PCoIP Session Variables” должны быть установлены следующие параметры:

  • Параметр “Configure the TCP port to which the PCoIP host binds and listens” в значение:
  • “Not Configured”

или

  • “Enabled” и опции
  • “TCP port” в значение “4172”
  • “Set the size of the retry port range” в значение “1”
  • Параметр “Configure the UDP port to which the PCoIP host binds and listens” в значение “Enabled” и опции:
  • “UDP port” в значение “4172”
  • “Set the size of the retry port range” в значение “1”

Соединения View Client с виртуальными десктопами, осуществляемые по RDP, должны находиться в защищенном туннеле.[5]

Для этого в View Administrator необходимо выбрать “View Configuration –> Servers”. В панели “View Connection Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” во вкладке “General” отметить чекбокс “Use Secure Tunnel connection to desktop”.

Соединения View Client с виртуальными десктопами, осуществляемые по PCoIP, должны защищаться при помощи PCoIP Secure Gateway.[5]

Для этого в View Administrator необходимо выбрать “View Configuration –> Servers”. В панели “View Connection Servers”   выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” во вкладке “General” отметить чекбокс “Use PCoIP Secure Gateway for PCoIP  connections to desktop”.

Соединения View Client с серверами View Manager должно быть защищенно при помощи SSL.

Для этого в View Administrator необходимо выбрать “View Configuration –> Global Settings”. В панели “Global Settings” нажать кнопку “Edit…”. В появившемся окне “Global Settings” отметить чекбокс “Require SSL for client connections and View Administrator”.[5,6]

Защита соединения View Client с виртуальными десктопами по протоколу PCoIP должна осуществляться при помощи алгоритма AES-12-GCM, соответствующего FIPS 140-2.[7]

Виртуальный десктоп

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках пользователя в ветке “PCoIP Session Variables” установить:

  • “Enable the FIPS 140-2 approved mode of operation” в значение “Enabled”

       или

  • “Enable the FIPS 140-2 approved mode of operation” в значение “Enabled”
  • “Configure PCoIP session encryption algorithm” в значение “Enabled” и в опциях:
  • отметить чекбокс “Disable Salsa20-256-round12 encryption”
  • снять отметку с чекбокса “Disable AES-128-GCM encryption”.

Клиентское физическое устройство

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке “PCoIP Session Variables” установить:

  • “Enable the FIPS 140-2 approved mode of operation” в значение “Enabled”

           или

  • “Enable the FIPS 140-2 approved mode of operation” в значение “Enabled”
  • “Configure PCoIP session encryption algorithm” в значение “Enabled” и в опциях:
  • отметить чекбокс “Disable Salsa20-256-round12 encryption”
  • снять отметку с чекбокса “Disable AES-128-GCM encryption” .

Защита соединения View Client с виртуальными десктопами по протоколу RDP также должна осуществляться при помощи усиленных протоколов шифрования.

Для этого в групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “Policies –> Administrative Templates –> Windows Components –> Remote desktop Services –> Remote desktop session Host –> Security” установить параметры

  •  “Set client connection encryption level” в значение “Enabled” и опцию “Encryption level” в значение “High Level”;
  • “Require use of specific security layer for remote (RDP) connections” в значение “Enabled” и опцию “Security Layer” в значение “Negotiate”.

Глава 3. Сессия пользователя

Количество виртуальных десктопов, которые может использовать одновременно пользователь пула, должно ограничиваться. Обычно это один десктоп, но в зависимости от его реальной потребности может быть и больше.

 Зайти в View Administrator. Выбрать “Inventory –> Pools”. В панели “Pools” выбрать пул и нажать кнопку “Edit…”. В появившемся окне “Edit <название пула>” выбрать вкладку “Pool Settings”. На странице “Pool Settings” в группе “Remote Settings” параметр “Allow multiple sessions per user” установить в значение “No”.[8]

При потере соединения с виртуальным десктопом из-за сетевых сбоев необходимо, чтобы пользователь снова аутентифицировался для подсоединения к виртуальному десктопу.

Зайти в View Administrator. Выбрать “View Configuration –> Global Settings”. В панели “Global Settings” нажать кнопку “Edit…”. В появившемся окне “Global Settings” отметить чекбокс “Reauthenticate secure tunnel connection after network interruption”.[5,6]

Желательно осуществлять автоматическое закрытие пользовательской сессии к виртуальному десктопу после нескольких часов работы. Например, данный параметр можно установить в значение немного большее, чем рабочий день пользователя. Ниже этот параметр установлен в значение 12 часов.

Зайти в View Administrator. Выбрать “View Configuration –> Global Settings”. В панели “Global Settings” нажать кнопку “Edit…”. В появившемся окне “Global Settings” установить параметр “Session timeout” в значение 720 минут.[5,6]

Информация:

При использовании протокола RDP данную настройку возможно также осуществить следующим образом:

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “Policies –> Administrative Templates –> Windows Components –> Remote Desktop Services –> Remote desktop Session host –> Session Time Limit” установить параметр “Set time limit for active Remote Desktop Services sessions” в значение “Enabled” и опцию “Active session limit” в значение 12 hours.

Пользовательская сессия к виртуальному десктопу должна автоматически закрываться после некоторого времени отсутствия активности пользователя, например, через 2 часа.

При использовании протокола RDP:[9]

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “Policies –> Administrative Templates –> Windows Components –> Remote Desktop Services –> Remote desktop Session host –> Session Time Limit” установить параметр “Set time limit for active but idle Remote Desktop Services sessions” в значение “Enabled” и опцию “Active session limit” в значение 2 hours.

При этом, конечно, пользователя рекомендуется предупреждать о принудительном закрытии соединения с виртуальным десктопом.

Зайти в View Administrator. Выбрать “View Configuration –> Global Settings”. В панели “Global Settings” нажать кнопку “Edit…”. В появившемся окне “Global Settings” отметить чекбокс “Display warning before forced logoff”.[6]

При этом возможно установить параметр, указывающий за какой временной промежуток до закрытия сессии пользователю будет показываться предупреждение о принудительном закрытии сессии. Например, за 5 минут до закрытия сессии.

Зайти в View Administrator. Выбрать “View Configuration –> Global Settings”. В панели “Global Settings” нажать кнопку “Edit…”. В появившемся окне “Global Settings” установить параметр “After warning, log off after” в значение 5 минут или более.[6]

В некоторых конфигурациях рекомендуется после закрытия сессии пользователя (disconnect) к виртуальному десктопу одновременно осуществлять автоматический выход пользователя (logoff) из системы.

Зайти в View Administrator. Выбрать “Inventory –> Pools”. В панели “Pools” выбрать пул и нажать кнопку “Edit…”. В появившемся окне “Edit <название пула>” выбрать закладку “Pool settings”. В блоке “Remote Settings” установить параметр “Automatically logoff after disconnect” в значение ”Immediate”.

Информация:

При использовании протокола RDP возможно также данную настройку осуществить следующим образом:[9]

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “Policies –> Administrative Templates –> Windows Components –> Remote Desktop Services –> Remote desktop Session host –> Session Time Limit” установить параметр “Set time limit for disconnected sessions” в значение “Enabled” и опцию “End a disconnected session” в значение 1 mitute.

Двухфакторная аутентификация по смарт-картам

В случае использования двухфакторной аутентификации по смарт-картам должны выполняться следующие требования.

При изъятии смарт-карты из считывателя пользовательская сессия к виртуальному десктопу должна прерываться.

Зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели “View Connection Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” выбрать закладку “Authentication”. Отметить чекбокс “Disconnect user sessions on smart card removal”.[10]

Установление новой пользовательской сессии к виртуальному десктопу должно требовать аутентификацию пользователя по смарт-карте.

Зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели “View Connection Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” выбрать закладку “Authentication”. Отметить чекбокс “Disconnect user sessions on smart card removal”.[10]

Глава 4. Использование буфера обмена

Следует запретить обмен информацией между клиентским устройством и виртуальным десктопом с использованием буфера обмена. VMware View позволяет также запрещать такой обмен в зависимости от направления переноса информации.

Можно запретить перенаправление информации из буфера обмена виртуального десктопа в буфер обмена клиентского физического устройства.

Настройка для PCoIP:[7]

Виртуальный десктоп

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “PCoIP Session Variables” установить в “Enabled” и опцию “Configure clipboard redirection” в значение “Disable in both directions” или “Enabled client to server only”.

Настройка для RDP:

Виртуальный десктоп

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “Policies –> Administrative Templates –> Windows Components –> Remote desktop Services –> Remote desktop Session host –> Device and Resource Redirection”  установить параметр “Do not allow clipboard redirection” в значение “Enabled” (при этом запрещается также перенаправление информации из буфера обмена клиентского физического устройства в буфер обмена виртуального десктопа)

А можно запретить перенаправление информации из буфера обмена клиентского физического устройства в буфер обмена виртуального десктопа.

Настройка для PCoIP:[7]

Виртуальный десктоп

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке “PCoIP Session Variables” установить в “Enabled” и опцию “Configure clipboard redirection” в значение “Disable in both directions”.

Настройка для RDP:[7]

Клиентское физическое устройство

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке “VMware View Client Configuration –> RDP Settings” установить “Redirect clipboard” значение “Disabled”.

Глава 5. Использование периферийных устройств клиентского физического устройства

1. Локальные диски

При помощи средств VMware View возможно запретить перенаправление локальных дисков клиентского физического устройства на виртуальный десктоп пользователя.

При использовании протокола RDP можно запретить перенаправление на виртуальном десктопе.

Для чего в групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –> Administrative Templates –> Windows Components –> Remote desktop Services –> Remote desktop Session host –> Device and Resource Redirection  установить параметр Do not allow drive redirection в значение Enabled.

Или на клиентском физическом устройстве.[7]

Для этого в групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке VMware View Client Configuration –> RDP Settings установить Redirect drives в значение Disabled.

2. USB-порты/устройства

В целом имеет смысл запрещать доступ из виртуальных десктопов к USB-портам (USB устройствам) клиентского физического устройства.

Для этого нужно зайти в View Administrator и выбрать “Policies –> Global Policies”. В панели справа “View Policies” нажать кнопку “Edit Policies…”. В появившемся окне “Edit View Policies” установить параметр “USB Access” в значение “Deny”.[1,2]

По умолчанию все пулы виртуальных десктопов и собственно сами виртуальные десктопы наследуют параметры глобальной политики.

Для проверки применения политики можно зайти в View Administrator и выбрать “Inventory –> Pools”. В панели справа “Pools” выбрать пул виртуальных десктопов и дважды нажать на нем. В появившемся окне <Название пула> выбрать закладку Policies. В ней выбрать “Pool Policies” и в таблице “View Policies” проверить значение “USB Access” в столбце “Applied Policy”. Значение должно быть “Deny”. Далее выбрать “User Overrides” и проверить, что в появившейся таблице отсутствуют записи по переопределению политики для пользователей. Если такие записи есть, то проверить, что в них отсутствуют строки “USB Access” со значением “Allow”.[2,11,12]

В случае необходимости использование USB-портов/устройств клиентского физического устройства на виртуальных десктопах может разрешаться, но ограничиваться.

Ограничение использования USB-портов/устройств клиентского физического устройства на виртуальных десктопах должно осуществляться:

  • или при помощи специализированных программных средств контроля использования USB-устройств/портов (DLP);
  • или при помощи стандартных средств инфраструктуры виртуализации десктопов VMware View.

Ограничение USB при помощи специализированных программных средств

Вообще говоря, рекомендуется осуществлять ограничение использования USB-устройств/портов на виртуальных десктопах при помощи специализированных программных средств контроля использования USB-устройств/портов (DLP), т.к. они дают возможность привязки правил ограничения использования USB-устройств к пользователю, а не компьютеру в отличие от стандартных средств VMware View.

Однако в данной статье мы не будем касаться наложенных средств, а только внутренних средств VMware View.

Ограничение USB при помощи стандартных средств VMware View

Политика использования USB-устройств состоит из следующих частей (см. Рисунок 1):

  • Политика разделения составных USB-устройств (применяется во View Client);
  • Политика перенаправления USB-устройств (применяется в View Agent и View Client);
  • Политика разрешения/запрещения доступа к USB-устройствам (применяется во View Manager).
gallery/view.5.01.процесс разрешения или запрещения usb устройств

Рисунок 1. Процесс разрешения/запрещения USB устройств[13]

Политики разделения составных USB-устройств и перенаправления USB-устройств устанавливаются при помощи групповой политики, применяемой к View Agent и View Client,[14] и находятся в части групповой политики, применяемой к компьютерам, а не пользователям.[15] (Реестр: HKLM\Software\Policies\VMware, Inc.\VMware VDM\Agent\USB)

Политика разделения составных USB-устройств

Результирующая политика разделения составных USB-устройств определяется политикой View Agent и политикой View Client. Методика формирования значений результирующей политики приведена в Таблица 1.

Таблица 1. Результирующая настройка автоматического разделения составных USB-устройств[16]

gallery/view.tab.5.01

В целом рекомендуется на клиентских устройствах выключать разделение составных USB-устройств вне зависимости от настроек на самом устройстве.

В случае, если необходимо использовать перенаправление USB-устройств для конкретного виртуального десктопа или пула, то для данного виртуального десктопа или пула может быть разрешено разбиение составных устройств USB в соответствии с методикой, приведенной в Таблица 1.

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –> Administrative Templates –> Classic Administrative Templates (ADM) –> VMware View Agent Configuration –> View USB Configuration –> Client Downloadable only Settings установить параметр Allow Auto Device Splitting в значение “Disable – Override Client Settings”.[16]

В случае, если необходимо использовать перенаправление USB-устройств для конкретного виртуального десктопа или пула, то для данного виртуального десктопа или пула может быть разрешено или запрещено разбиение составных устройств USB в соответствии с Vid/Pid USB-устройства.[16]

Если разрешено автоматическое разделение составных USB-устройств, то можно при помощи параметра Exclude Vid/Pid Device from Split, расположенного в настройках компьютера в ветке Policies –> Administrative Templates –> Classic Administrative Templates (ADM) –> VMware View Agent Configuration –> View USB Configuration –> Client Downloadable only Settings политики организационной единицы, в которой размещены виртуальные десктопы или физические клиентские устройства, указать Vid/Pid USB-устройства, исключаемого из автоматического разделения составных USB-устройств.

Если запрещено автоматическое разделение составных USB-устройств, то можно при помощи параметра Split Vid/Pid Device, расположенного в настройках компьютера в ветке Policies –> Administrative Templates –> Classic Administrative Templates (ADM) –> VMware View Agent Configuration –> View USB Configuration –> Client Downloadable only Settings политики организационной единицы, в которой размещены виртуальные десктопы или физические клиентские устройства, указать Vid/Pid составного USB-устройства, которое должно разделяться.

Политика перенаправления USB-устройств

Политика перенаправления USB-устройств влияет только на тех пользователей, которым разрешен USB доступ в VMware View Manager. При этом перенаправление USB-устройств по умолчанию разрешено.

В случае, если политика перенаправления USB-устройств, определяющаяся на View Agent, не доведена до View Client, то при запрещении перенаправления устройств View Client не будет сообщать об этом пользователю.[17] Поэтому следует стараться доводить политику перенаправления USB-устройств с View Agent до View Client.

В групповой политике организационной единицы, к которой принадлежат физические клиентские устройства, в настройках компьютера в ветке Policies –> Administrative Templates –> Classic Administrative Templates (ADM) –> VMware View Client Configuration –> View USB Configuration –> Settings not configurable by Agent установить параметр Disable Remote Configuration в значение Disable или Default.[17]

В целях обеспечения безопасности политика перенаправления USB-устройств на View Agent должна запрещать перенаправление всех USB-устройств.

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –> Administrative Templates –> Classic Administrative Templates (ADM) –> VMware View Agent Configuration –> View USB Configuration установить параметр Exclude All Devices в значение “Disabled”.[15]

Однако политика перенаправления USB-устройств на View Agent может разрешать перенаправление некоторых классов (device family) или определенных USB-устройств в соответствии с их Vid/Pid.

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –> Administrative Templates –> Classic Administrative Templates (ADM) –> VMware View Agent Configuration –> View USB Configuration установить следующие параметры в соответствующие значения:[15]

  • Include Device Family;
  • Include Vid/Pid Policy.

Возможные значения классов USB-устройств (device family) приведены в Таблица 2.

Таблица 2. Классы USB-устройств[18]

gallery/view.tab.5.02

Политика перенаправления USB-устройств на View Agent должна разрешать перенаправление некоторых классов или определенных USB-устройств только при помощи параметров, применяемых на View Agent. Данное утверждение следует из того, что мы далеко не всегда имеем возможность управления View Client.

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –> Administrative Templates –> Classic Administrative Templates (ADM) –> VMware View Agent Configuration –> View USB Configuration параметры:[15]

  • Include Device Family;
  • Include Vid/Pid Policy

должны быть установлены в значения, соответствующие политике перенаправления USB-устройств для виртуального десктопа или пула.

Следовательно, при разрешении перенаправления некоторых классов или определенных USB-устройств на View Agent разрешения для данных устройств должны доминировать над политикой, установленной на View Client.

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –> Administrative Templates –> Classic Administrative Templates (ADM) –> VMware View Agent Configuration –> View USB Configuration в параметрах Include Device Family и Include Vid/Pid Policy должны быть установлены значения с префиксом “o”, например “o:storage”.[15]

Далее приведен порядок применения политики фильтрации перенаправления USB-устройств на View Agent:[17]

  • Exclude Vid/Pid Device;
  • Include Vid/pid Device;
  • Exclude Device Family;
  • Include Device Family;
  • Exclude All Devices.

А также порядок применения политики фильтрации перенаправления USB-устройств на View Client:[17]

  • Exclude Path;
  • Include Path;
  • Exclude Vid/Pid Device;
  • Include Vid/pid Device;
  • Exclude Device Family;
  • Include Device Family;
  • Allow Audio Input Devices, Allow Audio Output Devices, Allow HIDBootable, Allow HID (Non Bootable and Not Mouse Keyboard), Allow Keyboard and Mouse Devices, Allow Smart Cards, Allow Video Devices;
  • Exclude All Devices.

Дополнительные требования

Можно запретить подключение USB-портов клиентского физического устройства к виртуальному десктопу сразу при его создании, и разрешать только когда в них подключаются USB-устройства.[19,20]

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, установить в настройках компьютера в ветке VMware View Client Configuration –> Scripting definitions:

  • Connect all USB devices to the desktop on launch в значение Disabled;
  • Connect all USB devices to the desktop when they are plugged in в значение Enabled.

При этом в настройках пользователя в ветке VMware View Client Configuration –> Scripting definitions значения соответствующих параметров должны либо повторяться, либо не определяться.

3. Другие порты/устройства

Для регулирования использования других портов или устройств VMware предоставляет следующие возможности.

Можно запретить перенаправление последовательных портов клиентского физического устройства на виртуальный десктоп пользователя.

Настройка для RDP:

Виртуальный десктоп:

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –> Administrative Templates –> Windows Components –> Remote desktop Services –> Remote desktop Session host –> Device and Resource Redirection  установить параметр Do not allow COM port redirection в значение Enabled.

Клиентское физическое устройство:[20]

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке VMware View Client Configuration –> RDP Settings установить Redirect serial ports в значение Disabled.

Также возможно запретить перенаправление параллельных портов клиентского физического устройства на виртуальный десктоп пользователя.

Настройка для RDP:

Виртуальный десктоп:

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –> Administrative Templates –> Windows Components –> Remote desktop Services –> Remote desktop Session host –> Device and Resource Redirection  установить параметр Do not allow LPT port redirection в значение Enabled.

И еще можно запретить перенаправление других поддерживаемых plug-and-play устройств клиентского физического устройства на виртуальный десктоп пользователя.

Настройка для RDP:

Виртуальный десктоп:

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках компьютера в ветке Policies –> Administrative Templates –> Windows Components –> Remote desktop Services –> Remote desktop Session host –> Device and Resource Redirection  установить параметр Do not allow supported Plug and Play redirection в значение Enabled.

Клиентское физическое устройство:[20]

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке VMware View Client Configuration –> RDP Settings установить Redirect supported plug-and-play devices в значение Disabled.

Глава 6. Мультимедиа

VMware View может также запрещать использование перенаправления мультимедиа (Multimedia Redirection, MMR) с виртуального десктопа на клиентское физическое устройство. В случае необходимости такое перенаправление может быть разрешено отдельно для пула виртуальных десктопов или отдельных пользователей пула.

1) Зайти в View Administrator. Выбрать “Policies –> Global Policies”. В панели справа “View Policies” нажать кнопку “Edit Policies…”. В появившемся окне “Edit View Policies” установить параметр “Multimedia redirection (MMR)” в значение “Deny”.[1,2]

По умолчанию все пулы виртуальных десктопов и собственно сами виртуальные десктопы наследуют параметры глобальной политики.

Проверка:

Зайти в View Administrator. Выбрать “Inventory –> Pools”. В панели справа “Pools” выбрать пул виртуальных десктопов и дважды нажать на нем. В появившемся окне <Название пула> выбрать закладку Policies. В ней выбрать “Pool Policies” и в таблице “View Policies” проверить значение “Multimedia redirection (MMR)” в столбце “Applied Policy”. Значение должно быть “Deny”. Далее выбрать “User Overrides” и проверить, что в появившейся таблице отсутствуют записи по переопределению политики для пользователей. Если такие записи есть, то проверить, что в них отсутствуют строки “Multimedia redirection (MMR)” со значением “Allow”.[2,11,12]

2) В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках пользователя в ветке VMware View Client Configuration установить Enable multi-media acceleration в значение Disabled.[20]