現(xiàn)在，VDI廠商比如Citrix以及Ceedo都支持用戶在虛擬桌面上安裝應(yīng)用。盡管最終用戶對(duì)于能在虛擬桌面上直接安裝應(yīng)用表示歡迎，但是對(duì)IT管理者來(lái)說(shuō)，允許用戶在虛擬桌面上安裝應(yīng)用可能是個(gè)大問(wèn)題。讓我們考慮一下為什么允許用戶自己安裝應(yīng)用并不是個(gè)好主意的原因，以及如何避免這些潛在的問(wèn)題。

　　為什么允許用戶安裝應(yīng)用并不是個(gè)好主意

　　用戶在虛擬桌面上安裝應(yīng)用將帶來(lái)麻煩是有一些原因的。首先，組織要對(duì)運(yùn)行在系統(tǒng)上的軟件許可承擔(dān)法律責(zé)任。如果用戶安裝了一個(gè)非授權(quán)的應(yīng)用，那么組織有義務(wù)對(duì)該應(yīng)用進(jìn)行授權(quán)。

　　允許用戶安裝軟件帶來(lái)的另外一個(gè)問(wèn)題就是將會(huì)增加惡意軟件侵?jǐn)_的風(fēng)險(xiǎn)。即使用戶不是故意安裝惡意應(yīng)用，但是惡意郵件附件或者是由于下載感染虛擬桌面的幾率將會(huì)增加。

　　允許用戶安裝軟件并不是個(gè)好注意的第三個(gè)原因就是在VDI環(huán)境中，資源消耗是一個(gè)主要的問(wèn)題。所有的虛擬桌面共享著有限的物理硬件資源池。已授權(quán)的應(yīng)用能夠確保不會(huì)消耗過(guò)多的CPU執(zhí)行周期、磁盤I/O或者是網(wǎng)絡(luò)帶寬。劣質(zhì)應(yīng)用有可能會(huì)打亂現(xiàn)有硬件部署微妙的平衡。

　　最后，未授權(quán)的應(yīng)用增加了支持成本。如果服務(wù)臺(tái)要解決虛擬桌面的故障，他們必須確保假設(shè)是基于虛擬桌面的現(xiàn)有配置而做出的。非授權(quán)的應(yīng)用可能會(huì)替代DLL文件或者使注冊(cè)表發(fā)生導(dǎo)致其它應(yīng)用出問(wèn)題的改變。服務(wù)臺(tái)工程師可能不能夠立即找到這些問(wèn)題因?yàn)樗麄冏畛醪⒉恢婪鞘跈?quán)應(yīng)用的存在。

　　防止用戶安裝應(yīng)用

　　只需要簡(jiǎn)單地收縮虛擬桌面上的NTFS權(quán)限就能夠輕松地防止用戶安裝非授權(quán)的應(yīng)用，但是這對(duì)防止惡意軟件的傳播無(wú)濟(jì)于事。畢竟為了能夠正常工作，用戶必須對(duì)有一些操作系統(tǒng)文件夾具有執(zhí)行權(quán)限(比如IE緩存)。惡意軟件作者經(jīng)常會(huì)利用操作系統(tǒng)中的這些弱點(diǎn)。

　　收縮虛擬桌面上的NTFS權(quán)限同樣對(duì)防止用戶運(yùn)行并不需要進(jìn)行安裝的應(yīng)用無(wú)濟(jì)于事。例如，現(xiàn)在我的桌面上打開(kāi)了一個(gè)并不需要進(jìn)行安裝的屏幕捕捉應(yīng)用—它可以通過(guò)U盤或者其他任何的可移動(dòng)介質(zhì)運(yùn)行。最終用戶可能會(huì)輕易地使用這些應(yīng)用，導(dǎo)致敏感數(shù)據(jù)的泄漏。

　　如果虛擬桌面運(yùn)行的操作系統(tǒng)是Windows 7，那么你可以通過(guò)使用AppLocker防止用戶安裝或運(yùn)行非授權(quán)的應(yīng)用。AppLocker集成在Windows7中，用于控制用戶能夠執(zhí)行哪些文件。

　　借助AppLocker策略，管理員可以指定用戶能夠和不允許運(yùn)行的應(yīng)用。例如，管理員可能會(huì)選擇屏蔽基于可執(zhí)行哈希的特定文件，或者他們可能只想允許來(lái)自可信發(fā)行商的數(shù)字簽名應(yīng)用。

　　盡管AppLocker能夠阻止用戶安裝或者運(yùn)行非授權(quán)的應(yīng)用，但是在VDI環(huán)境中管理AppLocker可能有些困難。隨著時(shí)間的推移，虛擬桌面將發(fā)展到新版本的應(yīng)用并應(yīng)用新的軟件補(bǔ)丁。這意味著IT必須要在AppLocker中創(chuàng)建相應(yīng)的規(guī)則以防止補(bǔ)丁及升級(jí)被阻止。許多管理員已經(jīng)發(fā)現(xiàn)AppLocker的當(dāng)前版本過(guò)于簡(jiǎn)單難以在高度動(dòng)態(tài)的環(huán)境中發(fā)揮有效的功能。

　　除AppLocker外，還有一些第三方的產(chǎn)品可以用在軟件白名單環(huán)境中。其中一個(gè)就是Bit 9公司的Parity。我使用Parity有幾年時(shí)間了，證實(shí)了它能夠很好地發(fā)揮作用。

　　另一款產(chǎn)品是CoreTrace公司的Bouncer。我之前從來(lái)沒(méi)有使用過(guò)Bouncer，但是對(duì)它早有耳聞。和AppLocker相比，Parity以及Bouncer對(duì)應(yīng)用白名單進(jìn)程提供了更多的細(xì)粒度控制。

　　原文鏈接：http://www.searchvirtual.com.cn/showcontent_57959.htm