Frame 幫助您增強應用交付的安全性
Nutanix Frame® 桌面即服務能夠在非持久性虛擬機上交付虛擬桌面和應用程式,是許多客戶保持安全狀態的關鍵部分。當與 Frame 應用程式模式結合時,Frame 消除了 Windows® 桌面,並將終端用戶集中在一組已發布的應用程式上,為企業提供了一種安全的方式來交付 Windows 應用程式,並且不會失去對底層數據的控制。作為我們 Enterprise Profiles 功能的一部分,Nutanix 發布了一項功能,讓 Frame 管理員透過強制具有 Enterprise Profiles 功能的用戶以非管理的本地 Windows 用戶身份登錄,來進一步保護其 Frame 環境。最近,這項功能已經可以應用到任何不具有 Frame Domain Join 功能的 Frame 帳戶上。
非持久性 Frame 帳戶
Nutanix Frame 原始解決方案為客戶提供了創建非持久性機器池的能力(此後我們還添加了一個持久性桌面的選項)。但是非持久機器是什麼呢?這意味著在 Frame 發布過程中,Frame 設置工作站池,讓 C 槽硬碟不會在用戶 session 之間更改 ,您可以透過創建 Frame 帳戶,將默認容量「最大實例數」設為大於 0 的值(我使用 3)並發布來進行驗證。如果您不熟悉 Frame,此連結將介紹該流程。
發布過程需要幾分鐘的時間,但完成後,您可以創建 Frame 桌面啟動台,並啟動 Frame session。進入該 session 後,您將以本地 Windows 管理員「Frame」的身分登錄,並且可以下載和安裝應用程式。我選擇了 peazip,它需要安裝,並且運行良好,甚至創建一個桌面圖示。
現在,關閉您的 Frame session,這將重新啟動該實例,並清除您所做的所有更改。如果想進一步確認,您可以啟動新的 Frame session,並確認未安裝 peazip。
非持久性 Frame 帳戶的非持久性功能不會阻止用戶進行桌面更改,甚至不會阻止其下載某些惡意軟體。這確實表示更改僅限於該 session,進而限制了惡意軟體可以影響的範圍。
應用程式模式
為了在意外下載惡意軟體時提供一些額外的安全性,您可以部署 Frame 應用程式啟動台,而不是桌面啟動台。Frame 應用程式啟動台讓 Frame 管理員能夠直接訪問一組應用程式,而無需要求用戶體驗完整的 Windows 桌面。這簡化了使用者界面 (UI),並讓用戶更難下載和安裝應用程式。
但是,它並不能完全阻止這種情況。在我的測試帳戶上,我創建了一個應用程式啟動台,它限制用戶只能使用記事本,啟動 Frame session 僅提供記事本應用程式,而且用戶無法直接使用許多傳統的 Windows 桌面功能。確定的用戶可以使用記事本中的「打開文件」對話框來執行 Chrome 瀏覽器(C:\Program Files (x86)\Google\Chrome\Application),接著點擊右鍵並點擊「以管理員身份運行」來打開 Chrome瀏覽器。
接著他們可以下載並安裝 peazip,或是其他軟體。
同樣地,非持久性功能將在下次登錄時刪除所做更改,進而降低安裝持久性惡意軟體的風險。
非管理員用戶
在新的 Frame Guest Agent (FGA) 8.x 中,添加了一項功能,讓啟用台用戶可以以非管理用戶的身分登錄到非持久性工作負載。您可以進入 Frame 帳戶儀錶板,並找到「設置」->「Session」->「進階伺服器參數」來啟用此功能。在該文字框中,您只需輸入「-logoffuser」,然後儲存更改。
現在,如果您啟動一個 session,您將以本地 Windows 用戶「FrameUser」的身分登錄。此用戶沒有管理權限,無法安裝 peazip。
請注意,此設置也會影響 Sandbox session,因此如果您不希望這樣(可能因為 Sandbox 是完成圖像的主要配置的地方),您需要前往 Sandbox 頁面,點擊右上角的三個點,然後前往「Session」->「設置」,關閉「使用帳戶設置」並清除進階伺服器參數中的 -logoffuser,然後點擊「儲存」。
結論
自動登錄本地非管理 Windows 用戶這項附加功能增強了非持久性 Frame 帳戶和應用程式啟動台現有的 Frame 安全功能(當不使用 Enterprise Profiles 功能時)。將這三者結合起來,管理員可以專注於用戶的應用程式體驗,而不是實施複雜的安全鎖定程序。