我之前的文章比较了Citrix XenDesktop和VMware View VDI解决方案之间的安全功能。此时,我将介绍如何使用Cisco SSLVPN进行安全地将VMware视图进行安全地部署,或者无法信任查看将运行的主机。由于将自己的PC带到工作热潮,而VDI捕获作为B2B合作伙伴,供应商和承包商访问的首选访问方法,如何安全地部署VDI的知识变得非常重要。在与Cisco ASA SSLVPN解决方案一起使用时,我将为某种方式布局您可以确保视图环境。1 - 使用基于无客户端的浏览器的SSLVPN门户对用户验证到网络。尽可能使用双因素身份验证。这表明使用广告和证书作为第二个因素。
2 - 锁定思科无客户端门户,然后打开浏览器缓存清洁。缓存在断开SSLVPN时从浏览器中清洁删除cookie,文件等。
3 - 一旦身份验证传递,就自动安装并运行Cisco AnyConnect SSLVPN客户端。这将从主机设置一个完整的隧道VPN。您可以在AnyConnect和Portal Group策略中设置自动安装。
在组策略中也可以配置全隧道VPN策略
4 - AnyConnect将姿态评估主机以确保它正在修补,运行安全控制,具有正确的硬件要求,通常是恶意软件的主机。您还可以检查此项是使用证书检查或注册表检查的企业拥有或受控主机。首先在组策略中配置姿势模块
接下来,设置和启用主机镜像。
然后在CSD HostScan中启用高级端点评估
最后,配置DAP策略以检查主机姿势和AAA设置。
5 -在姿态评估期间,您要检查以确保已安装、正在运行并是最新的防病毒客户端。我们还将依赖于A/V客户端来检测系统上存在的任何键盘记录器。如果A/V客户端不更新,Anyconnect会自动更新。根据姿态评估扫描结果,执行任何自动或手动补救。或者在主机存在重大安全问题时自动断开客户机连接。
7 -在VMware视图中设置政策,确保以下是锁定,剪贴板是锁定所以剪切/粘贴复制禁用VDI主机b。禁用所有主机驱动R / W访问/ VDI主机(USB、映射驱动器、本地硬盘访问等等)8 -没有(如果尚未安装)和查看客户端主机上运行。这可以通过让Anyconnect在连接上运行一个脚本来实现。VBS或bat脚本(或任何OS可以运行的脚本)将检查查看客户端,如果没有,它将下载/安装它。如果视图客户端在那里,那么它将启动它。
9 -锁定允许在View和Anyconnect会话处于活动状态时运行的应用程序。您可以使用已批准的应用程序的白名单或禁止运行的应用程序的黑名单来实现这一点。要实现此特性,您需要使用与上面相同的脚本对主机进行注册表更改。您还可以使用ondisconnect脚本删除更改。下面是一个示例vbs脚本,您可以根据自己的喜好进行修改。把这个给助理检察官。
如果wscript.arguments.length = 0然后'运行脚本作为管理员设置objshell = createObject(“shell.application”)'通过前导空格传递一个虚假的参数,例如[UAC] objshell.shellexecute“wscript.exe”,chr(34)&_ wscript.scriptfullname&chr(34)&“UAC”,“”,“runas”,1别的'添加代码在这里,Dim wshshell set wshshell = wscript.createObject(“wscript.shell”)'代码,以防止某些应用程序运行wshshell.regwrite“hkey_current_user \ software \ microsoft \ windows \ currentversion \ policies \ explorer \ disallowrun”,1,“reg_dword”wshshell.regwrite“hkey_current_user \ software \ microsoft \ windows \ currentversion \ policies \ explorer“,”disallowrun“wshshell.regwrite”hkey_current_user \ software \ microsoft \ windows \ currentversion \ policies \ explorer \ disallowrun \ 1“,”calc.exe“,”reg_sz“'代码打开,并将其引导到VMware View下载页面wshshell.run“iexplore.exe -New http://downloads.vmware.com/d/info/desktop_downloads/vmware_view/4_6”'代码在主机'wsh上启动应用程序shell.run“C:\ Program Files \ VMware \ VMware View \ Client \ Bin \ WSWC.exe”wshshell.run“%windir%\ system32 \ notepad.exe”如果设置wshshell =没有如果wscript.arguments.length = 0然后'运行脚本作为管理员设置objshell = createObject(“shell.application”)'通过前导空格传递一个虚假的参数,例如[UAC] objshell.shellexecute“wscript.exe”,chr(34)&_ wscript.scriptfullname&chr(34)&“UAC”,“”,“runas”,1别的'添加代码在这里,Dim wshshell set wshshell = wscript.createObject(“wscript.shell”)'撤消disallowrun注册表项的代码wshshell.regwrite“hkey_current_user \ software \ microsoft \ windows \ currentversion \ policies \ explorer \ disallowrun”,0,“reg_dword”wshshell.regdelete“hkey_current_user \ software \ microsoft \ windows \ currentversion \ policies \ explorer \disallowrun \“结束了
11 - ASA设备将运行僵尸网络过滤和完整的IPS。由于这些客户端将是全隧道,因此僵尸网络过滤和IPS将从主机安全控件获取的连接主机中拾取任何恶意软件。首先启用僵尸网络过滤,如下图所示。然后,使DNS Snooping和设置流量设置可在所有或某些接口上扫描机器人。最后,根据威胁级别配置块动作。
12 -不要忘记视图桌面本身的安全性。他们应该像正常的主机一样运行A/V, PFW, A/S等。您还需要像对待普通主机一样对待它们的网络访问和安全性。这意味着通过IPS、FW、Web过滤等方式运行他们的数据包。因为vSphere服务器的妥协可能是如此的破坏性(所有视图桌面现在都被妥协),请确保并最大限度地保护底层VMware vSphere服务器本身。有很多事情需要考虑。希望我能让你轻松一点。如果你认为我漏掉了什么,请评论。当然,不止一种方法可以做到这一点,所以请随意选择您想要使用的方法。这里是ASA管理指南的链接http://www.cisco.com/en/US/products/ps6120/products_installation_and_configuration_guides_list.html www.cisco.com/go/asa这里是VMware View docs的链接http://www.vmware.com/support/pubs/view_pubs.html
这里提出的意见和信息是我个人观点而不是雇主的观点。我绝不是雇主的官方发言人。
更多来自Jamey Howdy: 刷信用卡:小偷如何在你不知情的情况下窃取你的信用卡信息 Nexus One vs.十大手机安全要求 你为什么总要把登机牌撕了 视频租赁记录比您的在线数据提供更多的隐私保护 关于新的SSL攻击的真相 2009年IT安全城市传奇/a>去 杰米的博客 有关安全的更多条款。*
*
*
*
*
*