4.1 身份验证与策略实施
MED-V 客户端要求身份验证,这是为了确保只有经过授权的用户才能访问 MED-V 虚拟镜像。这样的验证是根据管理服务器执行的,在 Active Directory 中查询用户和组信息。
MED-V 利用 Active Directory 安全策略。如果一个帐户在用户目录中被禁用或被锁定(例如,如果用户 3 次键入错误的密码),该用户就不允许启动工作区。此外,如果密码即将过期,用户将在身份验证完成之前看到更改密码的提示。
身份验证和授权流程完成之后,MED-V 客户端就会查询 MED-V 管理服务器,获取最新策略和设置。这种操作可确保端点使用的是最新的工作区,并允许管理员控制和监控活动的用户,后文将详细说明。
用于验证 MED-V 客户端的域凭据也可用于登录到虚拟机内的 Windows,使用户无需重复键入域凭据(假设域凭据是相同的)。但用户仍需为 MED-V 客户端进行验证,即便端点主机已使用相同的凭据登录也是如此。用户可选择保存凭据,以便在下一次希望启动工作区时自动为 MED-V 客户端提供凭据。
在虚拟机运行时,在预定义的空闲时间之后或当设备进入休眠或睡眠模式时,虚拟机将进入"锁定"模式。只有经过验证的用户在输入正确的密码后才能解锁虚拟机并继续工作。
MED-V v1 仅支持基于 Active Directory 域凭据的身份验证(用户名和密码)。未来的版本中还将包括双重身份验证(例如,智能卡证书)。
4.2 虚拟机操作
MED-V 利用行业标准虚拟引擎 Microsoft Virtual PC 在端点本地运行虚拟机。MED-V 客户端控制虚拟机管理的所有方面,包括检索或更新虚拟镜像;为特定用户或设备自定义虚拟机;初始化、挂起或终止虚拟机会话;监控虚拟引擎工作是否正常("监视程序")。最终用户仍然不会注意到虚拟机在后台运行。
MED-V 客户端可配置为在每次工作会话结束时或用户注销主机工作站时获取虚拟机的一份快照(类似于便携计算机的睡眠模式)。这可缩短重新初始化虚拟机的全部功能所需的时间。
虚拟机像上文所述这样挂起时,如果另外一名经过授权的用户希望使用虚拟机,它将重新启动(经过用户确认)。现有会话将丢失,这与物理设备上的 Windows 行为完全相同。
4.3 虚拟镜像加密
为了保护虚拟镜像免于未经授权的使用(即被未通过身份验证的用户使用,或不符合管理员定义的使用策略),虚拟镜像在载入镜像存储库时将加密。加密密钥在服务器上针对每一个镜像生成,并安全地传输给通过身份验证的客户端。虚拟镜像以加密的形式保留在端点上,当虚拟机运行时,块将"动态"解密/加密。
4.4 脱机模式
如果用户经过授权,则可脱机使用虚拟机,策略文件和加密密钥将在其初次通过联机身份验证后缓存在本地。在使用 USB 驱动器上的便携包时,缓存内容是存储在 USB 驱动器上的,而非本地驱动器。
其他一些机制也会在用户的身份验证尝试失败达到一定次数时阻止用户。此外,当用户帐户在 Active Directory 中被禁用、被锁定、过期或帐户密码更改时,MED-V 会删除脱机缓存的凭据。
脱机权限可限制为在预定义的期间内有效,过期后用户必须重新连接。这确保了用户能够持续拥有最新权限,并为顾问或第三方实施可选的过期或取消提供设置(参见"租期与过期")。
4.5 远程访问与非托管端点
使用 MED-V 时(特别是在非企业设备上或在企业网络以外),必须牢记,虚拟机上的来宾 OS 依赖于主机 OS 的安全性。主机 OS 上的恶意软件很可能会影响来宾 OS。因而,在非托管系统上执行企业虚拟机之前,建议对主机 OS 进行扫描。
在连接到企业网络之前,管理员应采用在非托管系统上执行的 VPN 客户端常用的安全性指导原则和修正策略。
为了实现主机 OS 扫描,MED-V 客户端支持执行外部脚本或可执行文件的能力,仅在命令成功通过后才允许来宾 OS 运行。
就远程访问客户端而言(例如 VPN 客户端),可将其安装在虚拟机内部,仅允许来自虚拟机内部的企业网络连接,也可安装在端点本身之上。
4.6 公开的应用程序和菜单 一致的桌面用户体验
管理员可在虚拟机中"发布"应用程序,并使最终用户可通过主机的"开始"菜单使用这些应用程序。虚拟机"开始"菜单的全部子菜单均可发布。这些应用程序将直接通过"开始"菜单或桌面快捷方式启动(1);并与本地应用程序出现在同一位置,但可以选择使用不同颜色的框架作为区分(2)。然而,虚拟机本身并不出现,这简化了用户体验,避免了用户工作流的改变。
推荐大多数用户使用"单一桌面"模式,这种做法能够简化培训和工作流程。但若较高级的用户希望明确区分 UI,管理员也可将虚拟机设置为在"全桌面"模式下工作。在这种模式下,用户可在物理桌面和虚拟机桌面之间来回切换。
4.7 Web 浏览器重定向
对于 web 应用程序,管理员可定义一组 Web 站点(依据域名后缀或 IP 前缀的允许/拒绝列表),使这组站点在虚拟机中运行的浏览器内启动。企业 Web 站点或不兼容的 Web 应用程序可在虚拟机内启动,而其他所有站点在主机浏览器中显示。MED-V 客户端可自动管理浏览器重定向,为最终用户提供无缝的浏览体验。
4.8 打印
在 MED-V 策略允许的情况下,用户可从工作区应用程序(位于来宾 OS 中)打印到任何本地安装的打印机,而无需在虚拟机内安装任何驱动程序。
4.9 文件传输
用户可根据管理员定义的权限,选择在虚拟机和端点之间传输文件。文件传输基于集中定义的筛选器,允许指定文件类型的入站/出站传输,并且可在传输目标处进行防病毒扫描。
4.10 复制/粘贴控制
工作区与本地应用程序之间的复制/粘贴操作需服从管理策略。此类操作可在双向或单向上允许或拒绝。但虚拟机内部以及端点主机应用程序之间的所有复制/粘贴操作都是允许的。