認(rèn)證管理是VDI部署過(guò)程中一個(gè)容易被忽略的部分。盡管數(shù)字認(rèn)證并不是強(qiáng)制需求，但是有時(shí)候虛擬桌面的內(nèi)部和外部都需要使用它。

在虛擬桌面基礎(chǔ)設(shè)施(VDI)中，哪些方面可以使用數(shù)字認(rèn)證來(lái)加強(qiáng)安全性呢?對(duì)于數(shù)字認(rèn)證的使用，每個(gè)組織的需求都不盡相同。在主要使用Windows的組織當(dāng)中，最好確保虛擬桌面對(duì)于使用SSL加密的應(yīng)用服務(wù)器保持信任。并且建議對(duì)于組織當(dāng)中的任何遠(yuǎn)程桌面協(xié)議(RDP)文件進(jìn)行數(shù)字簽名。

基于Web的應(yīng)用程序

除非你居住在山洞之中，否則你一定知道現(xiàn)在IT領(lǐng)域最大的趨勢(shì)之一就是許多應(yīng)用程序正在向云中遷移。即使你在本地運(yùn)行所有的應(yīng)用程序，這些應(yīng)用中的大部分也很有可能是支持Web的，這樣就可以通過(guò)Web瀏覽器來(lái)訪問(wèn)它們了。

大多數(shù)應(yīng)用程序Web接口使用安全套接字層(SSL)加密方式來(lái)加強(qiáng)敏感數(shù)據(jù)的安全性。SSL加密是基于認(rèn)證的，但是加密過(guò)程中需要使用的X.509認(rèn)證是安裝在運(yùn)行應(yīng)用程序的Web服務(wù)器上，而不是客戶端電腦或者虛擬桌面上的。但是，這并不意味著對(duì)于虛擬桌面不需要進(jìn)行認(rèn)證。

當(dāng)瀏覽器嘗試和Web服務(wù)器進(jìn)行SSL連接時(shí)，瀏覽器會(huì)檢查服務(wù)器端認(rèn)證是否可用、沒(méi)有過(guò)期和來(lái)自可信源。如果認(rèn)證已經(jīng)過(guò)期或者來(lái)自可疑源，那么當(dāng)用戶嘗試訪問(wèn)加密頁(yè)面時(shí)，瀏覽器會(huì)顯示錯(cuò)誤信息。

Windows桌面操作系統(tǒng)已經(jīng)提前配置了信任所有知名的商業(yè)(公開(kāi))認(rèn)證中心。然而，并非所有使用認(rèn)證的Web應(yīng)用程序都是通過(guò)廣泛信任的組織進(jìn)行發(fā)布。對(duì)于在本地運(yùn)行的應(yīng)用程序來(lái)說(shuō)具有更大的可能性。

比如，Exchange服務(wù)器提供了一個(gè)稱為Outlook Web App的web接口。最新版本的Exchange服務(wù)器默認(rèn)都使用了自簽名認(rèn)證，但是自簽名認(rèn)證并不能通過(guò)虛擬機(jī)的信任。對(duì)于這種情況，微軟推薦使用公共認(rèn)證中心或者企業(yè)認(rèn)證中心發(fā)布的認(rèn)證替代自簽名認(rèn)證。

一些組織選擇使用Windows服務(wù)器作為企業(yè)認(rèn)證中心。這樣做可以獲得更多的自由度，根據(jù)需求來(lái)發(fā)布認(rèn)證，而不用為從公共認(rèn)證中心購(gòu)買(mǎi)認(rèn)證支付費(fèi)用。但是，就像使用自簽名認(rèn)證一樣，由企業(yè)認(rèn)證中心發(fā)布的認(rèn)證不能通過(guò)虛擬桌面的信任。下面是解決這個(gè)問(wèn)題的方法：

圖1. 必須要將認(rèn)證中心的認(rèn)證添加到虛擬桌面的信任根認(rèn)證中心里

從企業(yè)認(rèn)證中心下載一個(gè)CA認(rèn)證，將其加入到虛擬桌面的信任根認(rèn)證中心列表(如圖1所示)。作為替代方案，也可以使用參加微軟根認(rèn)證項(xiàng)目會(huì)員的公共認(rèn)證中心對(duì)內(nèi)部的認(rèn)證進(jìn)行共同簽名。

使用認(rèn)證進(jìn)行連接

在微軟的VDI環(huán)境中，RDP文件用于將Windows客戶端和虛擬桌面或RemoteApp應(yīng)用程序進(jìn)行連接。盡管RDP文件在沒(méi)有認(rèn)證的情況下仍然可以工作，但是微軟推薦使用認(rèn)證來(lái)對(duì)所有RDP文件進(jìn)行數(shù)字簽名。這可以確鑿地證明RDP文件是由組織發(fā)布的，而不是用來(lái)連接到惡意主機(jī)的偽造文件。

盡管使用數(shù)字簽名的RDP文件是個(gè)不錯(cuò)的方法，但是仍然有一些限制值得注意。首先，只有Windows客戶端可以使用RDP文件。其次，用戶只能在6.1以及更高版本的設(shè)備，或者在微軟遠(yuǎn)程桌面客戶端平臺(tái)上使用數(shù)字簽名的RDP文件來(lái)連接到遠(yuǎn)程桌面。

圖2. 使用組策略強(qiáng)制Windows客戶端檢查RDP文件的數(shù)字簽名

如果想要檢測(cè)對(duì)RDP文件進(jìn)行數(shù)字簽名過(guò)程中可能遇到的問(wèn)題，那么最好配置遠(yuǎn)程桌面客戶端來(lái)尋找簽名。如果客戶端機(jī)器已經(jīng)加入到域中，可以使用組策略來(lái)完成操作。如果沒(méi)有在域中，可以更改本地安全策略。

控制安全設(shè)定策略位于Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client。“使用指定SHA1特征指定可信RDP發(fā)行商” 設(shè)定可以用于指定特殊的RDP文件信任源(如圖2所示)你還需要禁止“允許未知發(fā)行商的.RDP文件”設(shè)定。

需要注意的是在BYOD環(huán)境中更改本地安全策略可能會(huì)很復(fù)雜。