認證管理是VDI部署過程中一個容易被忽略的部分。盡管數(shù)字認證并不是強制需求，但是有時候虛擬桌面的內(nèi)部和外部都需要使用它。

在虛擬桌面基礎設施(VDI)中，哪些方面可以使用數(shù)字認證來加強安全性呢?對于數(shù)字認證的使用，每個組織的需求都不盡相同。在主要使用Windows的組織當中，最好確保虛擬桌面對于使用SSL加密的應用服務器保持信任。并且建議對于組織當中的任何遠程桌面協(xié)議(RDP)文件進行數(shù)字簽名。

基于Web的應用程序

除非你居住在山洞之中，否則你一定知道現(xiàn)在IT領域最大的趨勢之一就是許多應用程序正在向云中遷移。即使你在本地運行所有的應用程序，這些應用中的大部分也很有可能是支持Web的，這樣就可以通過Web瀏覽器來訪問它們了。

大多數(shù)應用程序Web接口使用安全套接字層(SSL)加密方式來加強敏感數(shù)據(jù)的安全性。SSL加密是基于認證的，但是加密過程中需要使用的X.509認證是安裝在運行應用程序的Web服務器上，而不是客戶端電腦或者虛擬桌面上的。但是，這并不意味著對于虛擬桌面不需要進行認證。

當瀏覽器嘗試和Web服務器進行SSL連接時，瀏覽器會檢查服務器端認證是否可用、沒有過期和來自可信源。如果認證已經(jīng)過期或者來自可疑源，那么當用戶嘗試訪問加密頁面時，瀏覽器會顯示錯誤信息。

Windows桌面操作系統(tǒng)已經(jīng)提前配置了信任所有知名的商業(yè)(公開)認證中心。然而，并非所有使用認證的Web應用程序都是通過廣泛信任的組織進行發(fā)布。對于在本地運行的應用程序來說具有更大的可能性。

比如，Exchange服務器提供了一個稱為Outlook Web App的web接口。最新版本的Exchange服務器默認都使用了自簽名認證，但是自簽名認證并不能通過虛擬機的信任。對于這種情況，微軟推薦使用公共認證中心或者企業(yè)認證中心發(fā)布的認證替代自簽名認證。

一些組織選擇使用Windows服務器作為企業(yè)認證中心。這樣做可以獲得更多的自由度，根據(jù)需求來發(fā)布認證，而不用為從公共認證中心購買認證支付費用。但是，就像使用自簽名認證一樣，由企業(yè)認證中心發(fā)布的認證不能通過虛擬桌面的信任。下面是解決這個問題的方法：

▲圖1. 必須要將認證中心的認證添加到虛擬桌面的信任根認證中心里

從企業(yè)認證中心下載一個CA認證，將其加入到虛擬桌面的信任根認證中心列表(如圖1所示)。作為替代方案，也可以使用參加微軟根認證項目會員的公共認證中心對內(nèi)部的認證進行共同簽名。

使用認證進行連接

在微軟的VDI環(huán)境中，RDP文件用于將Windows客戶端和虛擬桌面或RemoteApp應用程序進行連接。盡管RDP文件在沒有認證的情況下仍然可以工作，但是微軟推薦使用認證來對所有RDP文件進行數(shù)字簽名。這可以確鑿地證明RDP文件是由組織發(fā)布的，而不是用來連接到惡意主機的偽造文件。

盡管使用數(shù)字簽名的RDP文件是個不錯的方法，但是仍然有一些限制值得注意。首先，只有Windows客戶端可以使用RDP文件。其次，用戶只能在6.1以及更高版本的設備，或者在微軟遠程桌面客戶端平臺上使用數(shù)字簽名的RDP文件來連接到遠程桌面。

▲圖2. 使用組策略強制Windows客戶端檢查RDP文件的數(shù)字簽名

如果想要檢測對RDP文件進行數(shù)字簽名過程中可能遇到的問題，那么最好配置遠程桌面客戶端來尋找簽名。如果客戶端機器已經(jīng)加入到域中，可以使用組策略來完成操作。如果沒有在域中，可以更改本地安全策略。

控制安全設定策略位于Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client。“使用指定SHA1特征指定可信RDP發(fā)行商” 設定可以用于指定特殊的RDP文件信任源(如圖2所示)你還需要禁止“允許未知發(fā)行商的.RDP文件”設定。

需要注意的是在BYOD環(huán)境中更改本地安全策略可能會很復雜。