Windows tanki klijent: politike sesije, preusmjeravanje i detaljna sigurnost

  • Windows tanki klijenti centraliziraju aplikacije i podatke, poboljšavaju sigurnost i smanjuju troškove, ali predstavljaju izazove s integracijom USB perifernih uređaja i udaljenih sesija.
  • Preusmjeravanje foldera putem GPO-a i Citrix politika za sadržaj preglednika ključno je za kontrolu mjesta gdje se podaci nalaze i načina na koji se resursi preglednika obrađuju.
  • Microsoft Intune i Microsoft Entra Conditional Access vam omogućavaju da sprovodite usklađenost sa sigurnosnim propisima i upravljate preusmjeravanjem lokalnih uređaja prije pristupa udaljenim radnim površinama.
  • Pažljiva provjera politika, filtera i stvarnog ponašanja na različitim platformama osigurava čvrstu ravnotežu između sigurnosti, performansi i korisničkog iskustva.
Daniel Terrasa

15 minuta

Politike sesija, preusmjeravanje i sigurnost tankog klijenta Windowsa

Okruženja zasnovana na Windows tanki klijenti postali su najčešći način implementacije virtuelnih desktopa. U kompanijama koje trebaju centralizirati podatke, pojednostaviti administraciju i ojačati sigurnost. Međutim, kada počnemo istraživati ​​politike sesija, opcije preusmjeravanja resursa i sigurnosne zahtjeve, stvari postaju manje jednostavne.

Projekt tankog klijenta nije samo spajanje terminala i objavljivanje desktopa. On uključuje upravljati ponašanjem sesija, šta se preusmjerava sa lokalnog uređaja i koji su sigurnosni uslovi potrebni Prije nego što korisnik može pristupiti udaljenoj radnoj površini ili objavljenoj aplikaciji, detaljno ćemo objasniti sve u ovom članku.

Šta je tačno Windows tanki klijent i kakvu ulogu igra u VDI-ju?

Kada govorimo o tankom klijentu, obično mislimo na mali terminal bez tvrdog diska. Međutim, moderna definicija ide malo dalje. Tanki klijent je uređaj sa hardverom koji je tek toliko potreban da pokrene minimalni operativni sistem i uspostavi udaljenu vezu na servere na kojima se nalazi sve važno: aplikacije, profili, osjetljivi podaci i računarska snaga.

U Windows okruženjima, ovi uređaji se oslanjaju na protokole kao što su RDP, Citrix ICA ili drugi komunikacijski kanali orijentirani na udaljenu radnu površinuTerminal je u osnovi odgovoran za unos putem tastature i miša, video izlaz i transport određenih perifernih uređaja ili lokalnih resursa do udaljene sesije, kako je dozvoljeno pravilima.

Proizvođači poput HP-a ili Della nude širok izbor modela tankih klijenata i nultih klijenata. U suštini, svi oni teže istom cilju: da budu "prozor" ka virtuelnoj radnoj površini (VDI) ili sesiji udaljene radne površine koja se nalazi u data centru ili u oblaku.

Ovaj pristup se smatra dijelom koncepta virtuelna radna površina (VDI)Korisnikov uređaj postaje sekundarni, što donosi vrlo konkretne koristi na IT i poslovnom nivou.

Virtuelni desktopovi sa tankim klijentima

Ključne prednosti tankih klijenata u preduzećima

Dobro isplanirano raspoređivanje tankih klijenata donosi vrlo jasne prednosti u odnosu na tradicionalni računarposebno u kombinaciji s virtualnim desktopovima ili uslugama poput Windowsa 365 ili Azure Virtual Desktopa.

  • Sigurnost korporativnih podataka. Pohranjivanjem datoteka i aplikacija na centraliziranim serverima, rizik od kršenja podataka zbog krađe laptopa, gubitka tvrdih diskova ili nekontroliranih lokalnih kopija drastično se smanjuje. Lagani terminali obično pohranjuju malo ili nimalo osjetljivih informacija.
  • Centralizacija administracijeIT timovi mogu implementirati, ažurirati i povlačiti aplikacije iz jedne konzole, upravljati predlošcima za desktop i dosljedno kontrolirati verzije, bez potrebe za korištenjem od mašine do mašine.
  • Smanjenje troškova. Ovo se odnosi i na infrastrukturu radnih stanica (jeftiniji i izdržljiviji terminali) i na faze nadogradnje i obnove. Zahtjev za manje lokalnog hardvera usporava zastarijevanje, a čak se i starija oprema može ponovo koristiti kao tanki klijenti.
  • Manje potrošnja energije i klimatizacija. Ovi uređaji troše manje energije od punog računara. To se primjećuje na računu za struju i toploti koja se stvara u radnim prostorima, posebno u velikim instalacijama.

Konačno, pravljenje sigurnosnih kopija postaje mnogo kontrolisaniji proces. Čuvanjem podataka u podatkovnom centru ili u oblaku, Zaštita informacija je koncentrisana na strani serverasa centralizovanim sistemima za pravljenje sigurnosnih kopija i politikama zadržavanja podataka koje je mnogo jednostavnije upravljati.

Tipični izazovi s tankim klijentima: preusmjeravanje USB-a i periferni uređaji

Glavna Ahilova peta mnogih projekata s tankim klijentima pojavljuje se kada je u pitanju integrirati uređaje koji zavise od USB-aMemorijski stickovi, kamere, čitači pametnih kartica, specijalni štampači, biometrijski skeneri itd. Ne ponaša se sve što povezujemo na terminalni port dobro u udaljenoj sesiji.

U okruženjima gdje ne postoji dobar USB mehanizam za prenos podataka od tankog klijenta do sesije (bilo RDP ili VDI), periferni uređaji povezani na lokalni uređaj Dostupni su samo za "lokalnu" sesiju samog tankog klijenta.Međutim, oni se ne pojavljuju unutar virtuelne radne površine. To prisiljava mnoge korisnike da prelaze između sistema, što remeti njihov radni proces.

Ovaj problem stvara očigledan gubitak produktivnosti. Ako zaposlenik mora stalno prelaziti između lokalnih i udaljenih aplikacija, ili čak između različitih terminala, gubitak vremena i frustracija se povećavaju. Kod nekih klijenata koji nemaju klijentski račun, izlaganje USB uređaja udaljenoj sesiji jednostavno nije izvodljivo.

Druga posljedica je povećanje operativne složenosti. Nisu svi tipovi uređaja pogodni za preusmjeravanje korištenjem ove metode. izvorni mehanizmi protokola udaljene radne površineI iako je hardver naveden kao kompatibilan, u praksi se može ponašati nepravilno, s prekidima, isključenjima ili ograničenom funkcionalnošću.

U određenim scenarijima, kada se USB uređaj povezan s tankim klijentom preusmjerava na server putem RDP-a, Resurs može biti vidljiv više od jednog korisnikaAko se konfiguracija ne izvrši pažljivo, drugi tanki klijent bi mogao vidjeti, pa čak i koristiti taj dijeljeni uređaj na neželjeni način, uz probleme sigurnosti i privatnosti koje to podrazumijeva.

Sve ovo dovodi do dodatnih troškova. Kompanije su prisiljene ulagati u Specijalizirani hardver ili softver treće strane za omogućavanje preusmjeravanja USB-a bilo sigurno i pouzdano, ili redizajniranjem radnih procesa kako bi se izbjeglo oslanjanje na uređaje koji ne preusmjeravaju dobro.

tanki klijent za Windows

Preusmjeravanje foldera u Windowsu pomoću grupnih pravila

Osim preusmjeravanja USB uređaja, upravljanje korisničkim podacima u okruženju udaljene radne površine uveliko se oslanja na... preusmjeravanje mape profilaOva funkcionalnost vam omogućava slanje fascikli kao što su Dokumenti ili Radna površina na drugu lokaciju, obično na mrežni resurs.

U Windowsu, preusmjeravanje foldera se konfiguriše sa Objekti grupnih politika (GPO) iz Konzole za upravljanje grupnim politikama (GPMC). Putanja za pristup ovoj postavci je: <Nombre del GPO>\User Configuration\Policies\Windows Settings\Folder Redirection, gdje se kontroliše odredište svake korisničke mape.

Koristeći ovu tehniku, administratori mogu odvojite korisničke podatke od konkretnog računara na koji se prijavljujutako da zaposlenik održava svoje podatke i strukturu mapa bez obzira na tanki klijent ili računar koji koristi za pristup udaljenoj sesiji.

Folderi koji se mogu preusmjeriti i vrste preusmjeravanja

Čarobnjak za preusmjeravanje foldera (iz GPMC-a) vam omogućava da djelujete na širokom rasponu lokacija korisničkih profila, uključujući AppData\Roaming, Kontakti, Radna površina, Dokumenti, Preuzimanja, Favoriti, Linkovi, Muzika, Slike, Sačuvane igre, Pretrage, Meni Start i VideozapisiTo jest, praktično sve osjetljive tačke profila.

Preusmjeravanje se može konfigurirati u načinu rada osnovni ili napredniU osnovnom načinu rada, mapa za sve korisnike pokazuje na istu korijensku putanju, što se primjenjuje na sve račune na koje utječe taj GPO. Najčešća opcija je kreiranje podmape za svakog korisnika unutar dijeljene putanje, sa obrascem sličnim: \\servidor\recurso\NombreDeCuenta\NombreCarpeta.

Postoji i mogućnost da koristiti eksplicitnu rutu koju dijeli više korisnikaOvo je korisno u scenarijima saradnje, omogućavajući vam kombinovanje varijabli okruženja za generisanje prilagođenih putanja. Kada odaberete "preusmjeri na lokaciju lokalnog korisničkog profila", mapa se premešta na lokalni profil računara, zadržavajući je unutar... Korisnici na udaljenom sistemu.

U naprednom režimu, ponašanje se mijenja u zavisnosti od članstvo u sigurnosnim grupamaOvo vam omogućava da definišete različite destinacije za, na primjer, administrativno osoblje, tehnički odjel ili eksterne korisnike, sve unutar istog GPO-a, ali sa specifičnim pravilima za svaku grupu.

Opcija „Nije konfigurirano“ označava da Preusmjeravanje foldera se ne primjenjuje putem tog GPO-aAko je postavka onemogućena, mape se mogu vratiti na svoju lokalnu lokaciju profila ili ostati tamo gdje su bile, ovisno o opcijama koje su prethodno odabrane za rukovanje prilikom uklanjanja pravila.

tanki klijent za Windows

Preduslovi i koraci za podešavanje preusmjeravanja foldera

Prije nego što počnete raditi s GPO-ima, bitno je pripremiti okruženje. Potrebno vam je domen Active Directory Domain Services s klijentskim računarima pridruženim toj domeni, čak i ako ne postoje posebni zahtjevi za funkcionalni nivo šume ili shemu.

Račun koji konfiguriše pravila mora imaju dovoljne dozvole za kreiranje i povezivanje GPO-ova u domenu ili organizacijskim jedinicama (OU) gdje se nalaze pogođeni korisnici. Osim toga, klijentski računari moraju imati instaliran Windows ili Windows Server, a barem jedan računar mora imati instaliran GPMC.

Za konfiguriranje preusmjeravanja, uobičajeni tok je otvaranje Konzola za upravljanje grupnim politikamaProširite odgovarajuću domenu ili organizacijsku jedinicu i odlučite hoćete li kreirati novi GPO ili urediti postojeći. U mnogim okruženjima je isplativije kreirati namjenski GPO samo za upravljanje preusmjeravanjem foldera.

Kada uđete u Editor za upravljanje grupnim politikama, slijedite ovu putanju:

  1. Otvorite meni za Korisnička konfiguracija.
  2. Pristup Direktive.
  3. Izaberite Windows postavke.
  4. Tamo, biraj Preusmjeravanje foldera.

Odatle odaberite mapu koju želite preusmjeriti, pristupite njenim svojstvima i na kartici "Odredište" odaberite vrstu preusmjeravanja koju želite primijeniti.

Ovdje se konačna ruta dijeljenog resursa, slijedeći standardni UNC format \\servidor\recurso\NombreCarpetaNakon prihvatanja konfiguracije, preporučljivo je ponoviti postupak za sve relevantne mape i prisilno izvršiti ažuriranje pravila pomoću gpupdate /force na klijentskoj opremi ili pričekati da se primijeni u sljedećem ciklusu.

Napredne opcije: dozvole, premještanje podataka i brisanje pravila

Unutar svojstava svake preusmjerene mape, kartica konfiguracija Omogućava vam podešavanje finih detalja koji čine razliku u svakodnevnoj upotrebi. Jedna od najvažnijih je postavka "Dodijeli korisniku ekskluzivna prava nad mapom", koja je obično omogućena prema zadanim postavkama.

Ova opcija garantuje da Samo korisnik ima dozvole za svoj folder.  Stoga je pristup blokiran administratorima i drugim korisnicima, što je preporučljivo sa stanovišta privatnosti.

Još jedno praktično prilagođavanje je „Premještanje sadržaja na novu lokaciju.” Ovo služi za automatski prenijeti postojeće datoteke u lokalnu mapu do dijeljene mrežne putanje. Ovo sprečava raspršivanje podataka po različitim tačkama.

Što se tiče uklanjanja direktiva, možete birati između preusmjerite mapu nazad na putanju korisničkog profila Kada se politika ukloni ili kada se mapa ostavi na preusmjerenoj lokaciji. U prvom slučaju, sadržaj se kopira nazad, ali se ne briše s mrežne lokacije, što može potrajati znatno vrijeme na sporim vezama ili kada je količina podataka vrlo velika.

Ako mapa ostane u preusmjerenoj putanji, podaci će ostati tamo gdje su i bili. Korisnik će joj nastaviti pristupati putem dijeljene mape. Ova metoda je obično najpraktičnija kada su veliki prijenosi podataka nepoželjni ili kada su udaljene lokacije fizički daleko jedna od druge.

citrix

Preusmjeravanje sadržaja preglednika u Citrix okruženjima

Kada se udaljene sesije opslužuju putem CitrixJedna od karakteristika koja ima najveći uticaj na performanse je preusmjeravanje sadržaja preglednika na lokalnog klijentaUmjesto prikazivanja određenih stranica na serveru, sadržaj se šalje u preglednik korisnikovog uređaja. To rezultira značajnom uštedom resursa na strani servera.

U objavljenoj VDI infrastrukturi, proces aktiviranja ovog preusmjeravanja u Google Chromeu uključuje instaliranje Citrix ekstenzija za preusmjeravanje preglednika Iz Chrome web trgovine. Administrator ili korisnik pristupa trgovini, traži određenu ekstenziju i dodaje je u preglednik.

Ako koristite Microsoft Edge (verzija 83.0.478.37 ili novija), prvo morate omogućiti Instalacija ekstenzija iz drugih prodavnicaDa biste pristupili Chrome web trgovini iz Edgea, potražite "Preusmjeravanje sadržaja preglednika" i preuzmite ekstenziju koju nudi Citrix, a koja će biti integrirana u Microsoftov preglednik.

Centralni administrativni dio se provodi u Citrix StudioNa ploči Pravila uredite ili kreirajte nova pravila i potražite opciju "Preusmjeravanje sadržaja preglednika", koja bi trebala biti postavljena na Dozvoljeno, što ukazuje na to da okruženje podržava ovu funkciju.

Zatim se konfigurišu detaljniji parametri, kao što su ACL za preusmjeravanje sadržajagdje navodite URL-ove čiji sadržaj želite poslati klijentu. Podrazumevano, obično uključuje nešto poput https://www.youtube.com/*koji se može izmijeniti ili ukloniti ako niste zainteresirani za preusmjeravanje te stranice.

Tzv. preusmjeravanje autentifikacijskih stranica. Ovo je posebno korisno kada stranica zahtijeva prijavu putem druge domene. Uključuje i URL-ove koji prikazuju sadržaj i one koji obrađuju autentifikaciju. Osim toga, postoji i lista blokiranih adresa, koja definira koje adrese trebaju nastaviti biti poslužene na serveru bez preusmjeravanja.

Sigurnost, Intune i uvjetni pristup u udaljenim Windows okruženjima

Kada se udaljenim radnim površinama pristupa s ličnih ili mobilnih uređaja, dobar VDI nije dovoljan. On je ključan. kako bi se osiguralo da izvorni uređaj ispunjava određene sigurnosne zahtjeveTu na scenu stupaju Microsoft Intune i Microsoft Conditional Access.

Ideja je iskoristiti Politike zaštite aplikacija Intune zajedno s pravilima uvjetnog pristupa tako da se Azure Virtual Desktopu, Windowsu 365 ili Microsoft Dev Boxu može pristupiti samo ako uređaj (ili barem aplikacija iz koje se povezuje) ispunjava definirani nivo sigurnosti.

Ovaj model pokriva nekoliko vrsta platformi: iOS/iPadOS i Android, i upravljane i neupravljane, i Microsoft Edge preglednici na Windowsu u neupravljanom režimu. U ovim scenarijima mogu biti potrebni elementi kao što su PIN-ovi, minimalni nivoi operativnog sistema ili ograničenja kopiranja/lijepljenja.

Među naprednim postavkama, ističu se opcije poput sljedećih: Blokiraj tastature trećih strana, nametni minimalne verzije klijentske aplikacije ili postavite maksimalni dozvoljeni nivo prijetnje za uređaj. Ako bilo koji od ovih zahtjeva nije ispunjen, pristup udaljenoj radnoj površini se blokira.

Nakon što se potvrdi da je lokalni uređaj pouzdan, faza kontrole može započeti. Na primjer, preusmjeravanje kamere, mikrofona, memorije ili međuspremnika prema udaljenoj sesiji. Ovo je veoma relevantno u "hibridnim" tankim klijentima ili BYOD scenarijima.

Konfigurišite politike uslovnog pristupa za udaljene radne površine

Politike uslovnog pristupa dozvoljavaju Kontrolirajte pristup uslugama Azure Virtual Desktop, Windows 365 i Microsoft Dev Box na osnovu identiteta korisnika, tipa uređaja, klijenta za pristup i drugih faktora kao što je lokacija.

Tipičan scenario uključuje dozvoljavanje pristupa samo ako je politika zaštite aplikacija za Windows aplikaciju. U ovom slučaju, politika uvjetnog pristupa dodjeljuje se određenoj korisničkoj grupi i konfigurira se tako da ukazuje na Azure Virtual Desktop, Windows 365 i prijavu u Windows oblak kao resurse, identificirane odgovarajućim ID-ovima aplikacija.

Blok uslova definiše dozvoljene platforme uređajaTakođer određuje koje vrste klijenata su validne. Na ovaj način, samo će pokušaji pristupa iz tih specifičnih okruženja biti validirani.

U kontrolama pristupa odabrana je opcija zahtijevati da postoji politika zaštite aplikacija primjenjuje se kao uvjet za odobravanje pristupa. Ako uređaj ili aplikacija ne ispunjavaju uvjete, korisniku će biti odbijen pristup udaljenoj radnoj površini, čak i ako su njegovi pristupni podaci ispravni.

Ključno je kombinirati ove politike kako bi se postigla ravnoteža između sigurnosti i upotrebljivosti. Drugim riječima, prilagođavanje kontrola kritičnost resursa koji su izloženi putem tankih klijenata i virtuelnih desktopa.

Provjera konfiguracije u udaljenim sesijama

Nakon definiranja GPO-ova za preusmjeravanje, Citrix politika, Intune konfiguracija i uvjetnog pristupa, vrijeme je za... potvrditi da se stvarno ponašanje podudara s očekivanim ponašanjemTo uključuje povezivanje s različitih uređaja i s različitim klijentskim aplikacijama.

Preporučljivo je pregledati koje radnje korisnik može poduzeti s podacima: ako može, a i ne mora kopirati/lijepiti sadržaj u druge aplikacije, kako se kamere ili mikrofoni preusmjeravaju, da li se USB uređaji ispravno prikazuju u udaljenoj sesiji i kako se preusmjerene mape ponašaju kada se promijene pravila.

Ako se otkrije bilo kakva neskladnost, rješenje obično uključuje prilagodite filtere, pregledajte dodjele grupa ili precizirajte liste URL-ova i uređaja Ovlašteni korisnici. Uvijek uz kontrolirano testiranje prije proširenja promjena na sve korisnike.

Kada se svi ovi dijelovi uklope, tanka klijentska okruženja zasnovana na Windowsu pružaju vrlo moćnu kombinaciju sigurnost, fleksibilnost i centralizacija. Korisnik može pristupiti svojoj radnoj površini gotovo s bilo kojeg mjesta, podaci se drže pod kontrolom u podatkovnom centru ili oblaku, a IT timovi imaju objedinjen pregled pravila sesije, preusmjeravanja i sigurnosne usklađenosti.