Максим Федотенко

gallery/1435337774_facebook
gallery/1435337799_twitter
gallery/logo
gallery/view.avatar

2013 год

Часть 6. Физические устройства

В этой части статьи разберем рекомендации по настройке физических клиентских устройств. В настоящий момент все рекомендации будут касаться платформы Microsoft Windows.

Глава 1. Общие требования

В случае если инфраструктура виртуальных десктопов разворачивается на предприятии, пользователю клиентского физического устройства не рекомендуется выдавать административные права на нем. Эта рекомендация, естественно, не касается тех окружений, где мы не можем прямо влиять на физические устройства, например, при предоставлении SaaS-услуги в облаке.

Во многих окружениях следует запретить View Client кэшировать (временно хранить) реквизиты пользователя (домен, имя пользователя и пароль).

Для этого на сервере View Connection Server запустить ADSI Edit. В диалоговом окне Connection Settings ввести Connection Point=“DC=vdi,DC=vmware,DC=int”, Computer=”localhost” и подсоединиться. Далее выбрать объект CN=Common, OU=Global, OU=Properties и открыть диалоговоое окно свойств объекта. В окне параметру pae-ClientCredentialCacheTimeout присвоить значение “0”.[1]

Список литературы

[1] VMware View Administration. Chapter 7. SettingUp User Authentication. “Allow Users to Save Credentials”

[2] VMware View Administration. Chapter 7. SettingUp User Authentication. “Verify Your Smart Card Authentication Configuration”

[3] VMware View Administration. Chapter 8. Configuring Policies. “View Client Configuration ADM Template Settings”

[4] VMware View Security. VMware View Security Settings. “Security-Related Settings in the Scripting Definitions Section of the View Client Configuration Template”

[5] VMware View Security. VMware View Security Settings. “Security Settings in the View Client Configuration Template”

[6] VMware View Security. VMware View Security Reference. “VMware View Log Files”

Глава 2. Microsoft Windows

Устройство

При использовании смарт-карт в персональном хранилище сертификатов на физическом устройстве должны храниться сертификаты пользователей, аутентифицируемых при помощи смарт-карт.[2]

Проверка:

Start –> Settings –> Control Panel –> Internet Options –> Content –> Certificates –> Personel

На клиентском физическом устройстве следует запретить использование плагинов третьих компания к терминальному сервису.[3]

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, установить в настройках компьютера в ветке VMware View Client Configuration –> Scripting definitions установить Disable 3rd-party Terminal Services plugins в значение Enabled или оставить в Not Configured.

При этом в настройках пользователя в ветке VMware View Client Configuration –> Scripting definitions значения соответствующих параметров должны либо повторяться, либо не определяться.

View Client

В большинстве случаев необходимо запретить распространение на клиентские физические устройства имени и пароля, используя которые пользователь может попасть на свой виртуальный десктоп без интерактивного запроса имени и пароля.[3,4]

Проверка:

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках компьютера в ветке VMware View Client Configuration –> Scripting definitions параметры Logon UserName и Logon Password должны быть установлены в значение Disabled или Not Configured.

При этом в настройках пользователя в ветке VMware View Client Configuration –> Scripting definitions значения соответствующих параметров должны быть также установлены в значение Disabled или Not Configured.

Также следует запретить запускать View Client из командной строки с указанием пароля пользователя или PIN-кода смарт-карты.[4,5]

Пример: “C:\Program Files\VMware\Vmware View\Client\bin\wswc.exe –password pwd123”

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, установить в настройках компьютера в ветке VMware View Client Configuration –> Security Settings установить Allow command line credentials в значение Disabled.

View Client должен осуществлять проверку сертификата сервера точки доступа системы виртуальных десктопов.[3,5]

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках компьютера в ветке VMware View Client Configuration –> Security Settings установить Certificate verification mode в значение Enabled, а опцию Certificate verification mode в значение Full Security.

Также возможна установка в реестре клиентского физического устройства ключа HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security в значение 2. При этом приоритетна настройка, осуществляемая глобальной политикой.

View Client по умолчанию не должен осуществлять вход в инфраструктуру виртуальных десктопов под учетными записями текущего пользователя клиентского физического устройства.[3,5]

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках компьютера в ветке VMware View Client Configuration –> Security Settings установить Default value of the ‘Log in as current user’ checkbox в значение Disabled или Not Configured.

При этом в настройках пользователя в ветке VMware View Client Configuration –> Security Settings значение соответствующего параметра должно быть также установлено в Disabled или Not Configured.

View Client не должен предоставлять возможность пользователю изменения значения входа в инфраструктуру виртуальных десктопов под текущей учетной записью пользователя клиентского физического устройства заданного по умолчанию.[3,5]

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках компьютера в ветке VMware View Client Configuration –> Security Settings установить Display option to Log in as current user в значение Disabled.

При этом в настройках пользователя в ветке VMware View Client Configuration –> Security Settings значение соответствующего параметра должно быть также установлено в Disabled.

Возможно стоит учесть, что во View Client можно запретить предоставлять пользователю списки быстрого перехода, указывающие на недавно открываемые экземпляры шлюзов безопасности инфраструктуры виртуальных десктопов и сами виртуальные десктопы.[3,5]

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках компьютера в ветке VMware View Client Configuration –> Security Settings установить Enable jump list integration в значение Disabled.

Скрываемое меню, находящееся в верхней части окна сессии клиента View Client с виртуального десктопа, также при необходимости может быть скрыто от пользователя.[3]

В групповой политике организационной единицы, к которой принадлежат пользователи, в настройках пользователя в ветке VMware View Client Configuration установить Enable the shade в значение Disabled.

Также следует знать, что журналы служб View Client находятся:[6]

  • в журнале Windows System Event Logs;
  • в файлах <Drive Letter>:\ProgramData\VMware\VDM\logs.