現(xiàn)在，VDI廠商比如Citrix以及Ceedo都支持用戶在虛擬桌面上安裝應用。盡管最終用戶對于能在虛擬桌面上直接安裝應用表示歡迎，但是對IT管理者來說，允許用戶在虛擬桌面上安裝應用可能是個大問題。讓我們考慮一下為什么允許用戶自己安裝應用并不是個好主意的原因，以及如何避免這些潛在的問題。

　　為什么允許用戶安裝應用并不是個好主意

　　用戶在虛擬桌面上安裝應用將帶來麻煩是有一些原因的。首先，組織要對運行在系統(tǒng)上的軟件許可承擔法律責任。如果用戶安裝了一個非授權(quán)的應用，那么組織有義務對該應用進行授權(quán)。

　　允許用戶安裝軟件帶來的另外一個問題就是將會增加惡意軟件侵擾的風險。即使用戶不是故意安裝惡意應用，但是惡意郵件附件或者是由于下載感染虛擬桌面的幾率將會增加。

　　允許用戶安裝軟件并不是個好注意的第三個原因就是在VDI環(huán)境中，資源消耗是一個主要的問題。所有的虛擬桌面共享著有限的物理硬件資源池。已授權(quán)的應用能夠確保不會消耗過多的CPU執(zhí)行周期、磁盤I/O或者是網(wǎng)絡帶寬。劣質(zhì)應用有可能會打亂現(xiàn)有硬件部署微妙的平衡。

　　最后，未授權(quán)的應用增加了支持成本。如果服務臺要解決虛擬桌面的故障，他們必須確保假設是基于虛擬桌面的現(xiàn)有配置而做出的。非授權(quán)的應用可能會替代DLL文件或者使注冊表發(fā)生導致其它應用出問題的改變。服務臺工程師可能不能夠立即找到這些問題因為他們最初并不知道非授權(quán)應用的存在。

　　防止用戶安裝應用

　　只需要簡單地收縮虛擬桌面上的NTFS權(quán)限就能夠輕松地防止用戶安裝非授權(quán)的應用，但是這對防止惡意軟件的傳播無濟于事。畢竟為了能夠正常工作，用戶必須對有一些操作系統(tǒng)文件夾具有執(zhí)行權(quán)限(比如IE緩存)。惡意軟件作者經(jīng)常會利用操作系統(tǒng)中的這些弱點。

　　收縮虛擬桌面上的NTFS權(quán)限同樣對防止用戶運行并不需要進行安裝的應用無濟于事。例如，現(xiàn)在我的桌面上打開了一個并不需要進行安裝的屏幕捕捉應用—它可以通過U盤或者其他任何的可移動介質(zhì)運行。最終用戶可能會輕易地使用這些應用，導致敏感數(shù)據(jù)的泄漏。

　　如果虛擬桌面運行的操作系統(tǒng)是Windows 7，那么你可以通過使用AppLocker防止用戶安裝或運行非授權(quán)的應用。AppLocker集成在Windows7中，用于控制用戶能夠執(zhí)行哪些文件。

　　借助AppLocker策略，管理員可以指定用戶能夠和不允許運行的應用。例如，管理員可能會選擇屏蔽基于可執(zhí)行哈希的特定文件，或者他們可能只想允許來自可信發(fā)行商的數(shù)字簽名應用。

　　盡管AppLocker能夠阻止用戶安裝或者運行非授權(quán)的應用，但是在VDI環(huán)境中管理AppLocker可能有些困難。隨著時間的推移，虛擬桌面將發(fā)展到新版本的應用并應用新的軟件補丁。這意味著IT必須要在AppLocker中創(chuàng)建相應的規(guī)則以防止補丁及升級被阻止。許多管理員已經(jīng)發(fā)現(xiàn)AppLocker的當前版本過于簡單難以在高度動態(tài)的環(huán)境中發(fā)揮有效的功能。

　　除AppLocker外，還有一些第三方的產(chǎn)品可以用在軟件白名單環(huán)境中。其中一個就是Bit 9公司的Parity。我使用Parity有幾年時間了，證實了它能夠很好地發(fā)揮作用。

　　另一款產(chǎn)品是CoreTrace公司的Bouncer。我之前從來沒有使用過Bouncer，但是對它早有耳聞。和AppLocker相比，Parity以及Bouncer對應用白名單進程提供了更多的細粒度控制。

　　原文鏈接：http://www.searchvirtual.com.cn/showcontent_57959.htm