博客

增强框架中应用程序交付的安全性

戴维·霍瓦斯(David Horvath)

| 最小

Nutanix的Frame®桌面AS-A-Service具有在非持久性虚拟机上提供虚拟桌面和应用程序的能力,是许多客户安全姿势的关键部分。当与框架应用程序模式结合使用时,它消除了Windows®桌面,并将最终用户聚焦在一组已发布的应用程序上时,Frame为企业提供了一种安全的方式来交付Windows应用程序,并且不会失去对基础数据的控制。作为我们企业配置文件功能的一部分,Nutanix发布了一项功能,该功能允许框架管理员通过强迫用户使用企业配置文件来进一步保护其框架环境,以登录为非管理性本地Windows用户。最近,此功能已转变为可以应用于不使用框架域Join功能的任何帧帐户。

非权利框架帐户

Nutanix Frame的原始解决方案为客户提供了创建一组非持久机器的能力(此后我们还添加了持久桌面选项)。但是,非持久机器的意思是什么?好吧,这意味着在框架发布过程中,帧设置了工作站的池,使其具有C:不保留用户会话之间更改的驱动器。您可以通过创建一个帧帐户,将默认容量“最大实例数”设置为大于0值(我使用3)和发布。如果您不熟悉框架,那么关联描述该过程。

发布需要几分钟,但是完成后,您可以创建帧桌面启动板并启动框架会话。参加该会话后,您将被登录为“本地Windows Admin用户”,称为“帧”,您将能够下载并安装应用程序。我选择了豌豆。它应该安装,运行良好,甚至可以创建一个桌面图标。

图1.带有用户安装应用程序的框架会话。

现在,关闭框架会话。这将重新启动该实例,该实例将清除您所做的所有更改。要确认,您可以启动一个新的框架会话,并确认未安装PEAZIP。

图2.已安装的应用程序不再存在。

非持久框架帐户的非持久功能不会阻止用户更改桌面,甚至可能下载某些恶意软件。这确实意味着更改仅适用于该会话,从而限制了恶意软件会影响的范围。

应用模式

为了在不小心下载恶意软件方面提供一些其他安全性,您可以部署框架应用程序启动板而不是桌面启动板。框架应用程序发射台为帧管理员提供直接访问一组应用程序的能力,而无需让用户体验完整的Windows桌面。这简化了用户界面(UI),并且可以使用户更难下载和安装应用程序。

但是,它并不能完全阻止这一点。在我的测试帐户上,我创建了一个应用程序启动板,该板将用户仅使用记事本。启动框架会话仅提供Notepad应用程序,并且用户无法直接使用许多传统的Windows桌面函数。确定的用户可以使用记事本的“文件打开”对话框查找Chrome浏览器可执行文件(C:\ Program Files(X86)\ Google \ Chrome \ Applicate),然后右键单击并“作为管理员运行”以提高Chrome浏览器。

图3.在应用程序模式下运行另一个应用程序。

然后,他们可以下载并安装PEAZIP或其他软件。

图4.在记事本应用模式下运行PEAZIP。

同样,非持久功能将在下一个登录处删除更改,因此可以减轻安装持久性恶意软件的风险。

非ADMIN用户

使用了新的Frame Guest Agent(FGA)8.X,添加了功能,因此启动板用户作为非管理用户被记录到非持久工作负载中。可以通过进入框架帐户仪表板并导航到“设置” - >“ session” - >“高级服务器参数''来启用此功能。在该文本框中,您只需放置“ -logoffuser”,然后保存更改。

图5.设置非ADMIN登录。

现在,如果您启动会话,则将登录为本地Windows用户“ Frameuser”。该用户没有管理特权,也无法安装PEAZIP。

图6.应用程序安装被阻止。

Note that this setting will also affect Sandbox sessions, so if you don’t want that (likely since the Sandbox is where the main configuration of the image is done), you will need to navigate to the Sandbox page, click on the three dots of the top far right, and go to “Session” -> “Settings”. Toggle off “Use Account Settings” and clear the -logoffuser from the Advanced Server Arguments and click “Save”.

沙盒会话设置

图7.关闭默认设置。

结论

在本地的非管理窗口用户中自动记录的附加功能增强了未使用企业配置文件的非稳定帧帐户和应用程序启动板的现有框架安全功能。将这三个结合起来允许管理员专注于用户的经验与其应用程序,而不是实施复杂的安全锁定程序。

关于作者

David Horvath是Nutanix框架的高级解决方案建筑师。他已经成为框架团队的一员已有近4年的历史,在此之前,他花了20年的时间与美国情报界的各种信息技术项目进行咨询。

©2021 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标和所有Nutanix产品,此处提到的功能和服务名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。我们决定链接到外部站点的决定不应被视为对该站点上任何内容的认可。本文中包含的某些信息可能与从第三方来源以及我们自己的内部估计和研究获得的研究,出版物,调查和其他数据有关。尽管我们认为这些第三方研究,出版物,调查和其他数据是在本文之日起可靠的,但它们尚未独立验证,我们对任何信息的充分性,公平性,准确性或完整性都没有任何代表性从第三方来源获得。

这篇文章可能包含明确和暗示的前瞻性陈述,这些陈述不是历史事实,而是基于我们当前的期望,估计和信念。此类陈述的准确性涉及风险和不确定性,并取决于未来的事件,包括可能无法控制的事件,实际结果可能与此类陈述所预期或暗示的事件差异。本文所包含的任何前瞻性陈述仅在本文之日起说,除非法律要求,否则我们没有义务更新或以其他方式修改任何此类前瞻性陈述,以反映后续事件或情况。

Baidu