Frame 幫助您增強應用交付的安全性

Frame 幫助您增強應用交付的安全性

Nutanix目標:使多雲變得簡單 | 一鍵加入Nutanix LINE好友

Nutanix Frame® 桌面即服務能夠在非持久性虛擬機上交付虛擬桌面和應用程式,是許多客戶保持安全狀態的關鍵部分。當與 Frame 應用程式模式結合時,Frame 消除了 Windows® 桌面,並將終端用戶集中在一組已發布的應用程式上,為企業提供了一種安全的方式來交付 Windows 應用程式,並且不會失去對底層數據的控制。作為我們 Enterprise Profiles 功能的一部分,Nutanix 發布了一項功能,讓 Frame 管理員透過強制具有 Enterprise Profiles 功能的用戶以非管理的本地 Windows 用戶身份登錄,來進一步保護其 Frame 環境。最近,這項功能已經可以應用到任何不具有 Frame Domain Join 功能的 Frame 帳戶上。

非持久性 Frame 帳戶

Nutanix Frame 原始解決方案為客戶提供了創建非持久性機器池的能力(此後我們還添加了一個持久性桌面的選項)。但是非持久機器是什麼呢?這意味著在 Frame 發布過程中,Frame 設置工作站池,讓 C 槽硬碟不會在用戶 session 之間更改 ,您可以透過創建 Frame 帳戶,將默認容量「最大實例數」設為大於 0 的值(我使用 3)並發布來進行驗證。如果您不熟悉 Frame,此連結將介紹該流程。

發布過程需要幾分鐘的時間,但完成後,您可以創建 Frame 桌面啟動台,並啟動 Frame session。進入該 session 後,您將以本地 Windows 管理員「Frame」的身分登錄,並且可以下載和安裝應用程式。我選擇了 peazip,它需要安裝,並且運行良好,甚至創建一個桌面圖示。

圖 1. 具有用戶安裝的應用程式的 Frame session

現在,關閉您的 Frame session,這將重新啟動該實例,並清除您所做的所有更改。如果想進一步確認,您可以啟動新的 Frame session,並確認未安裝 peazip。

圖 2. 已安裝的應用程式不再存在

非持久性 Frame 帳戶的非持久性功能不會阻止用戶進行桌面更改,甚至不會阻止其下載某些惡意軟體。這確實表示更改僅限於該 session,進而限制了惡意軟體可以影響的範圍。

應用程式模式

為了在意外下載惡意軟體時提供一些額外的安全性,您可以部署 Frame 應用程式啟動台,而不是桌面啟動台。Frame 應用程式啟動台讓 Frame 管理員能夠直接訪問一組應用程式,而無需要求用戶體驗完整的 Windows 桌面。這簡化了使用者界面 (UI),並讓用戶更難下載和安裝應用程式。

但是,它並不能完全阻止這種情況。在我的測試帳戶上,我創建了一個應用程式啟動台,它限制用戶只能使用記事本,啟動 Frame session 僅提供記事本應用程式,而且用戶無法直接使用許多傳統的 Windows 桌面功能。確定的用戶可以使用記事本中的「打開文件」對話框來執行 Chrome 瀏覽器(C:\Program Files (x86)\Google\Chrome\Application),接著點擊右鍵並點擊「以管理員身份運行」來打開 Chrome瀏覽器。

圖 3. 在應用程式模式下運行另一個應用程式

接著他們可以下載並安裝 peazip,或是其他軟體。

圖 4. Peazip 在記事本應用程式模式下運行

同樣地,非持久性功能將在下次登錄時刪除所做更改,進而降低安裝持久性惡意軟體的風險。

非管理員用戶

在新的 Frame Guest Agent (FGA) 8.x 中,添加了一項功能,讓啟用台用戶可以以非管理用戶的身分登錄到非持久性工作負載。您可以進入 Frame 帳戶儀錶板,並找到「設置」->「Session」->「進階伺服器參數」來啟用此功能。在該文字框中,您只需輸入「-logoffuser」,然後儲存更改。

圖 5. 設置非管理員登錄

現在,如果您啟動一個 session,您將以本地 Windows 用戶「FrameUser」的身分登錄。此用戶沒有管理權限,無法安裝 peazip。

圖 6. 應用程式安裝被拒

請注意,此設置也會影響 Sandbox session,因此如果您不希望這樣(可能因為 Sandbox 是完成圖像的主要配置的地方),您需要前往 Sandbox 頁面,點擊右上角的三個點,然後前往「Session」->「設置」,關閉「使用帳戶設置」並清除進階伺服器參數中的 -logoffuser,然後點擊「儲存」。

沙盒會話設置
圖 7. 關閉默認設置

結論

自動登錄本地非管理 Windows 用戶這項附加功能增強了非持久性 Frame 帳戶和應用程式啟動台現有的 Frame 安全功能(當不使用 Enterprise Profiles 功能時)。將這三者結合起來,管理員可以專注於用戶的應用程式體驗,而不是實施複雜的安全鎖定程序。

原文網址

Nutanix目標:使多雲變得簡單 | 一鍵加入Nutanix LINE好友

※點我看更多Nuatanix文章※

Author: mike

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *