虚拟桌面的兴起,让越来越多的用户可以通过互联网接入到企业内的桌面环境。企业得益于虚拟桌面技术带来了业务上的灵活及生产效率的提高。
但是,正是因为虚拟桌面将用户与企业桌面的距离拉近,所以理论上员工只要有权限、有网络就可以接入到企业中的桌面,接触到以前只能在企业里才可以看到的数据。而我们说的权限,一般只是一个用户名密码。一旦密码被截获、破解或者意外丢失都会给企业带来巨大的安全风险。
因此,围绕着密码这个安全元素来做研究的厂商越来越多,并且设计出专为保护密码的动态密码技术。
谈起动态密码,就不得不说RSA SecurID产品,作为密码token,它可以定时地生成新的密码,以避免普通静态密码造成的密码安全问题。
员工登录应用程序或系统时,现在只需要输入用户名和token上的数字(可选的输入token的pin码),即可完成用户的身份认证工作。
为了让大家更容易的理解,我将一个客户使用虚拟桌面的安全认证过程进行了抓图,供大家参考。在使用虚拟桌面+动态密码的方案中,最终用户需要经过两次的认证。
第一道认证为RSA securID动态密码的认证,如下图:
完成上一道的认证后,再进行第二道认证,即windows域用户的用户名密码认证:
只有经过这两道认证,用户才可以连接到数据中心的虚拟桌面。
您可能要问了,这个认证过程如何在虚拟桌面中进行配置呢?其实非常的简单,VMware VIEW中直接提供了对RSA动态密码和智能卡的支持,所以只需要在后台管理服务器上进行配置即可满足上述的需求。
对很多国内的企业或组织而言,对于安全产品有特殊的要求(如国家机关不允许使用国外的安全设备),所以对国内安全厂商的动态密码产品的支持,是虚拟桌面厂商必须要提供的功能之一。
近日,应客户的要求,我们和国内安全厂商一起进行了测试,并将用户使用的过程进行了抓图,分享给大家。
用户选择连接到的View管理服务器
用户输入静态的用户名和密码进行身份认证
经过身份认证后,用户可以看到有权限的桌面池,并进行连接桌面池
打开虚拟桌面窗口后,要求动态密码认证,只有成功完成这一步的认证,用户才能连接到真正的windows系统,进行办公。(为了避免广告嫌疑,对安全厂商的品牌进行了处理 :) )
而上述的这一切,VMware View的软件都直接提供,并不需要进行任何的定制开发工作(其他同类厂商需要进行Gina二次开发才可以完成这一部的工作),归结最终原因是因为VMware View在系统开发设计时,提供了备用Gina的选项。
以下是VMware View Gina的注册表信息,供参考:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"GinaDLL"="\"C:\\Program Files\\VMware\\VMware View\\Agent\\bin\\wsgina.dll\"" (将默认的gina功能交由Vmware View Agent来完成)
"VdmGinaChainDLL"="MyGina.dll" (完成上一部的Gina调用后,系统会读取这部分的Gina选项)
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
