我的上一篇文章比较了Citrix XenDesktop和VMware View VDI解决方案之间的安全特性。这一次,我将介绍如何安全部署VMware视图与思科SSLVPN时,你不控制或不能信任的主机,该视图将运行。当把你自己的PC带到工作热和VDI流行作为首选访问方法B2B合作伙伴,供应商和承包商访问,如何安全地部署VDI的知识变得非常重要。我将介绍一些在使用Cisco ASA SSLVPN解决方案时保护视图环境的方法。1 -使用基于SSLVPN门户的无客户端浏览器对用户进行身份验证。尽可能使用双因素身份验证。这表明使用广告和证书是第二个因素。
2 -锁定思科无客户端门户,打开浏览器缓存清理。缓存清理在sslvpn断开时删除浏览器中的cookie、文件等。
自动安装和运行思科AnyConnect SSLVPN客户端身份验证通过。这将从主机设置一个完整的隧道VPN。您在anyconnect和portal组策略中设置了自动安装。
您可以在组策略中配置全隧道的VPN策略,以及
Anyconnect会对主机进行姿态评估,以确保它打了补丁,运行安全控制,有正确的硬件要求,并且通常是一个没有恶意软件的主机。您还可以使用证书检查或注册表检查来检查这是否是公司拥有或控制的主机。首先在组策略中配置姿势模块
接下来,设置并启用hostscan映像。
然后在CSD hostscan中启用高级端点评估
最后,配置DAP策略以检查主机姿态和AAA设置。
5 - 在您要检查,以确保有一个反病毒客户端安装,运行和最新的安全状态评估。我们还将依靠A / V客户端上检测到存在于系统上的任何键盘记录。如果A / V客户端是不是最新的AnyConnect可以自动更新。6 - 执行由状态评估扫描结果所需的任何自动或手动修复。或者只是自动断开客户端如果主机具有重大的安全问题。
7 - 在VMware View的设置策略以确保以下被锁定下来。所以剪切/粘贴/复制被禁止从VDI到主机B剪贴板被锁定。禁用所有主机驱动器R / W自/至VDI主机(USB,映射驱动器,本地硬盘驱动器访问等)8接入 - 自动安装(如果尚未安装),并在主机上运行的View Client。这可以通过在AnyConnect的连接运行脚本来完成。该VBS或蝙蝠脚本(或操作系统可以运行任何脚本)将检查View客户端,如果不存在它会下载/安装。如果View Client是有那么它会启动它。
9 - 锁定被允许运行,而观的AnyConnect会话都处于活动状态的应用程序。你可以做到这一点无论使用经批准的应用程序白名单或应用程序的运行,以防止黑名单。要实现此功能,您将使用相同的脚本上面进行注册表更改到主机。您也将使用ondisconnect脚本删除更改。下面是一个示例VBS脚本,您可以修改,以适应自己的喜好。只需加载此的ASA。
如果WScript.Arguments < b >。length =0然后'运行脚本作为管理员设置objShell = CreateObject("Shell.Application")传递一个前导空格的伪参数,比如[uac] objShell。wscript ShellExecute”。, Chr(34) & _wscript。ScriptFullName & Chr(34) & " uac", "", "runas", 1 Else 'Add your code here Dim WshShell Set WshShell = WScript.CreateObject("WScript.Shell")用来阻止某些应用程序运行WshShell的代码。RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ policy \Explorer\DisallowRun", 1, "REG_DWORD" WshShell。RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer", "DisallowRun" WshShell。RegWrite”HKEY_CURRENT_USER \微软软件\ \ Windows \ CurrentVersion \ \ Explorer \ DisallowRun \ 1”政策,“calc.exe”、“REG_SZ vmware的代码打开ie和直接查看下载页面wshShell.run“iexplore.exe——http://downloads.vmware.com/d/info/desktop_downloads/vmware_view/4_6”代码开始应用程序在主机wshShell.run”c: \ Program Files \ vmware \ \ Client \ bin \ wswc vmware视图。exe”wshShell.run %列出% \ system32系统\记事本。exe"结束,如果设置WshShell = Nothing如果WScript.Arguments < b >。length =0然后'运行脚本作为管理员设置objShell = CreateObject("Shell.Application")传递一个前导空格的伪参数,比如[uac] objShell。wscript ShellExecute”。, Chr(34) & _wscript。ScriptFullName & Chr(34) & " uac", "", "runas", 1 Else 'Add your code here Dim WshShell Set WshShell = WScript.CreateObject("WScript.Shell")'用于撤销禁用运行的注册表项WshShell的代码。RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ policy \Explorer\DisallowRun", 0, "REG_DWORD" WshShell。“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ policy \Explorer\DisallowRun\”结束
11 - ASA设备将运行僵尸网络过滤和全ip。由于这些客户端将充分挖掘僵尸网络过滤的隧道,ip将从通过主机安全控制获得的连接主机中获取任何恶意软件。首先启用僵尸网络过滤,如下图所示。然后启用dns监听和设置流量设置,扫描所有或某些接口的机器人。最后,根据威胁级别配置块操作。
12 - 不要忘了查看桌面本身的安全性。他们应该运行A / V,PFW,A / S等,就像一个通常的主机。您还需要对待自己的网络访问和安全性同样作为一个正常的主机。通过IPS运行其数据包这意味着,FW,Web过滤等,因为在vSphere服务器的妥协可能是如此具有破坏性(现在所有View桌面都受到影响)肯定并最大限度地提高底层的VMware vSphere服务器自身的保护。许多事情要考虑的肯定。希望我做了一点变得更容易。如果你觉得我错过了什么,请评论。当然,还有就是做这个可以随意挑选你想用什么方式不止一种。这里是到ASA管理指南http://www.cisco.com/en/US/products/ps6120/products_installation_and_configuration_guides_list.html www.cisco.com/go/asa下面的链接到VMware View的文档HTTP链接://www.vmware.com/support/pubs/view_pubs.html
在此陈述的观点和信息是我的个人观点,而不是我的雇主。我绝不是我雇主的官方发言人。
Jamey Heary报道。 信用卡撇:如何窃贼可以窃取你的卡信息而不让你知道 谷歌Nexus One与十大手机安全要求 为什么你应该总是切丝你的登机牌 影碟出租记录比你的在线数据提供更多的隐私保护 关于新的SSL攻击的真相 2009年度都市传奇在IT安全/ A>去 詹姆的博客 浏览更多有关安全性的文章。*
*
*
*
*
*