ASA技术提示:安全地部署SSL 科学以及VMware View

【.com 独家译稿】我将为大家介绍如何在将VMware View部署在自己无法控制或不受信任的主机上时,利用思科的SSL 科学来保障其运行安全。由于自备电脑进行工作的风气愈发盛行,加之VDI也开始涉及B2B(即企业间业务往来,尤其是供应商与承包商之间)合作伙伴间的访问业务,如何安全地将VDI部署于其中就显得格外重要。在这里我会提出一些建议,帮助大家利用思科的ASA SSL 科学方案保证View运行环境的安全稳定。

1.对基于SSL 科学 portal的无客户端浏览器网络用户进行验证。尽可能地使用双重身份验证。也就是说利用AD值(即距离值)及认证证书这两种因素协同审核。

2.锁定思科的非客户端portal并清空浏览器的缓存。缓存清空是指删除掉cookie信息、临时文件等浏览器所保存的资料,注意这时需要断开SSL 科学。

 

 

 #p#

3.在身份验证通过之后,尽快安装并运行思科AnyConnect SSL 科学客户端。这一过程将设置一套来自主机的完整科学通路。大家所设定的anyconnect以及portal集群方案会自动安装。

我们在集群方案中所配置的整套科学通路如下所示

4.Anyconnect将会对主机状态进行评估,以确保该主机已经安装了所有必要的补丁、执行了安全控制工具并具备正确的硬件运行要求。大家也可以进行检查,看看这台企业所有或是企业控制的主机是否应用了认证检查或注册检查。首先在集群方案中设置如下状态模块。

接下来,下图为设置并启用主机扫描 

 #p#

然后在CSD主机扫描中启用高级端点评估

最后,配置DAP(即数据获取与处理)以检查主机状态及AAA认证(即身份验证、授权及统计)。

5.在状态评估阶段,大家同样要进行检查以确保主机上安装并运行了防病毒客户端,且已升级至最新版本。我们还将依靠A/V客户端来检测系统中是否存在键盘记录程序。如果A/V客户端不是最新版本,Anyconnect能够自动为其升级。#p#

6.根据状态评估扫描所反馈的结果来执行任何自动或手动的修复工作。而如果主机被证明存在重大的安全问题,客户端会自动断开连接。

7.为VMware View设置执行方案,以确保以下项目被锁定

一、剪贴板功能被锁定以保证剪切、粘贴、复制这些操作从VDI到主机都无法进行;

二、禁用所有的主机驱动器从/到VDI主机的读写操作(包括USB接口、映射驱动器以及本地硬盘驱动器访问等等)

8.在主机上自动安装(如果尚未安装)并运行View客户端。这可以通过让Anycconect在网络连接上运行脚本的方式实现。VBS(即采用VB编写的脚本)或bat(即批处理文件)脚本将对View客户端进行检查,若该客户端不存在,则脚本会进行下载并安装。如果View客户端已存在,则脚本会将其启动。

 

9.对那些能够在View和Anycconect会话处于活动状态时运行的应用程序进行锁定。大家可以通过建立应用程序白名单或者黑名单的方式来达到这种运行控制要求。要实现此功能,我们需要将主机注册表中的信息利用前面提到的脚本进行修改。而想要将这些变更进行移除,大家要利用到脱机脚本。#p#

以下是一个VBS脚本范例,大家可以根据自己的使用习惯进行修改。只要将其载入ASA防火墙即可。

  1. If WScript.Arguments.length =0 Then  
  2. 'run script as administrator  
  3. Set objShell = CreateObject("Shell.Application")  
  4. 'Pass a bogus argument with leading blank space, say [ uac]  
  5. objShell.ShellExecute "wscript.exe", Chr(34) & _  
  6. WScript.ScriptFullName & Chr(34) & " uac""""runas", 1  
  7. Else  
  8. 'Add your code here  
  9. Dim WshShell  
  10. Set WshShell = WScript.CreateObject("WScript.Shell")  
  11. 'code to prevent certain apps from running  
  12. WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun", 1, "REG_DWORD" 
  13. WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer""DisallowRun" 
  14. WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\1""calc.exe""REG_SZ" 
  15. 'Code to open ie and direct it to vmware view download page  
  16. wshShell.run "iexplore.exe -new http://downloads.vmware.com/d/info/desktop_downloads/vmware_view/4_6" 
  17. 'code to start an application on the host  
  18. 'wshShell.run "c:\Program Files\VMware\VMware View\Client\bin\wswc.exe" 
  19. wshShell.run "%windir%\system32\notepad.exe" 
  20. End If  
  21. Set WshShell = Nothing 

这里是为大家准备的VBS脱机脚本范例

  1. If WScript.Arguments.length =0 Then  
  2. 'run script as administrator  
  3. Set objShell = CreateObject("Shell.Application")  
  4. 'Pass a bogus argument with leading blank space, say [ uac]  
  5. objShell.ShellExecute "wscript.exe", Chr(34) & _  
  6. WScript.ScriptFullName & Chr(34) & " uac", "", "runas", 1  
  7. Else  
  8. 'Add your code here  
  9. Dim WshShell  
  10. Set WshShell = WScript.CreateObject("WScript.Shell")  
  11. 'code to undo DisallowRun registry keys  
  12. WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun", 0, "REG_DWORD"  
  13. WshShell.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\"  
  14. End If 

#p#

10.回到终止SSL 科学通路的ASA设备头端,我们将希望能尽快为其分配防火墙保障体系。理想状况下我们只允许作为通路的主机与自己的VMware View服务器会话,且该会话应通过指定的端口实现。

11.ASA设备上将运行僵尸网络过滤及全套IPS(即互联网协议群)。在主机安全控制的帮助下,这些客户端将使整个通路覆盖于僵尸网络过滤机制之下,而且IPS会识别出所有来自接入主机的恶意软件。首先如下图所示,启用僵尸网络过滤功能。然后启用dns监控并对流量配置进行设定以对全部或是指定接口进行扫描。最后,根据危险级别对操作模块进行配置。

 #p#

12.别忘了关注View 桌面程序自身的安全。正在运行的应该是A/V,PFW(即任务进程信息),A/S等等,类似一般主机的常见状态。我们同样要像在一般主机上那样处理这些程序的网络接入及安全问题。这意味着将其数据包运行在IPS,防火墙以及网页过滤功能等等的保护之下。由于vSphere服务器的固有漏洞具有相当大的安全隐患(目前所有view桌面程序都存在该漏洞),因此我们一定要最大限度地发挥VMware vSphere服务器自身的基础保护能力。

在部署的过程中,我们有许多情况要考虑并制定出解决方案。希望我的文章能为大家提供一点帮助。如果大家认为我在某些方面有所遗漏,请留言告知。当然,我在文中所提到的方法绝不是惟一的,大家可以随意挑选自己更喜欢的方案来达到目的。

这是一篇ASA管理员指南文章的链接

http://www.cisco.com/en/US/products/ps6120/products_installation_and_con

www.cisco.com/go/asa

这是一篇VMware View介绍文档的链接

http://www.vmware.com/support/pubs/view_pubs.html

原文链接:http://www.networkworld.com/community/node/73261

【.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】

【编辑推荐】

  1. NASA服务器被曝存在重大安全隐患
  2. 思科ASA防火墙实现动态路由协议的全冗余
  3. 企业为什么需要SSL 科学
  4. 如何使用Safe3 Web应用防火墙

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/124196.html<

(0)
管理的头像管理
上一篇2025-02-23 04:12
下一篇 2025-02-23 04:14

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注