现在,VDI厂商比如Citrix以及Ceedo都支持用户在虚拟桌面上安装应用。尽管最终用户对于能在虚拟桌面上直接安装应用表示欢迎,但是对IT管理者来说,允许用户在虚拟桌面上安装应用可能是个大问题。让我们考虑一下为什么允许用户自己安装应用并不是个好主意的原因,以及如何避免这些潜在的问题。
为什么允许用户安装应用并不是个好主意
用户在虚拟桌面上安装应用将带来麻烦是有一些原因的。首先,组织要对运行在系统上的软件许可承担法律责任。如果用户安装了一个非授权的应用,那么组织有义务对该应用进行授权。
允许用户安装软件带来的另外一个问题就是将会增加恶意软件侵扰的风险。即使用户不是故意安装恶意应用,但是恶意邮件附件或者是由于下载感染虚拟桌面的几率将会增加。
允许用户安装软件并不是个好注意的第三个原因就是在VDI环境中,资源消耗是一个主要的问题。所有的虚拟桌面共享着有限的物理硬件资源池。已授权的应用能够确保不会消耗过多的CPU执行周期、磁盘I/O或者是网络带宽。劣质应用有可能会打乱现有硬件部署微妙的平衡。
最后,未授权的应用增加了支持成本。如果服务台要解决虚拟桌面的故障,他们必须确保假设是基于虚拟桌面的现有配置而做出的。非授权的应用可能会替代DLL文件或者使注册表发生导致其它应用出问题的改变。服务台工程师可能不能够立即找到这些问题因为他们最初并不知道非授权应用的存在。
防止用户安装应用
只需要简单地收缩虚拟桌面上的NTFS权限就能够轻松地防止用户安装非授权的应用,但是这对防止恶意软件的传播无济于事。毕竟为了能够正常工作,用户必须对有一些操作系统文件夹具有执行权限(比如IE缓存)。恶意软件作者经常会利用操作系统中的这些弱点。
收缩虚拟桌面上的NTFS权限同样对防止用户运行并不需要进行安装的应用无济于事。例如,现在我的桌面上打开了一个并不需要进行安装的屏幕捕捉应用—它可以通过U盘或者其他任何的可移动介质运行。最终用户可能会轻易地使用这些应用,导致敏感数据的泄漏。
如果虚拟桌面运行的操作系统是Windows 7,那么你可以通过使用AppLocker防止用户安装或运行非授权的应用。AppLocker集成在Windows7中,用于控制用户能够执行哪些文件。
借助AppLocker策略,管理员可以指定用户能够和不允许运行的应用。例如,管理员可能会选择屏蔽基于可执行哈希的特定文件,或者他们可能只想允许来自可信发行商的数字签名应用。
尽管AppLocker能够阻止用户安装或者运行非授权的应用,但是在VDI环境中管理AppLocker可能有些困难。随着时间的推移,虚拟桌面将发展到新版本的应用并应用新的软件补丁。这意味着IT必须要在AppLocker中创建相应的规则以防止补丁及升级被阻止。许多管理员已经发现AppLocker的当前版本过于简单难以在高度动态的环境中发挥有效的功能。
除AppLocker外,还有一些第三方的产品可以用在软件白名单环境中。其中一个就是Bit 9公司的Parity。我使用Parity有几年时间了,证实了它能够很好地发挥作用。
另一款产品是CoreTrace公司的Bouncer。我之前从来没有使用过Bouncer,但是对它早有耳闻。和AppLocker相比,Parity以及Bouncer对应用白名单进程提供了更多的细粒度控制。
原文链接:http://www.searchvirtual.com.cn/showcontent_57959.htm
