《最新Vmware Horizon 7 中文文档-View 安全 指南》由会员分享,可在线阅读,更多相关《最新Vmware Horizon 7 中文文档-View 安全 指南(36页珍藏版)》请在金锄头文库上搜索。
1、View 安全指南 VMware Horizon 7 版本 7 0 在本文档被更新的版本替代之前 本文档支持列出的每个产 品的版本和所有后续版本 要查看本文档的更新版本 请访 问 ZH CN 002042 00 View 安全指南 2 VMware Inc 最新的技术文档可以从 VMware 网站下载 VMware 网站还提供最近的产品更新信息 您如果对本文档有任何意见或建议 请把反馈信息提交至 docfeedback 版权所有 2009 2016 VMware Inc 保留所有权利 版权和商标信息 VMware Inc 3401 Hillview Ave Palo Alto CA 94304
2、 北京办公室 北京市海淀区科学院南路 2 号 融科资讯中心 C 座南 8 层 上海办公室 上海市浦东新区浦东南路 999 号 新梅联合广场 23 楼 广州办公室 广州市天河北路 233 号 中信广场 7401 室 目录目录 View 安全性5 1View 帐户 资源和日志文件7 View 帐户7 View 资源8 View 日志文件8 2View 安全性设置11 View Administrator 中的安全性相关全局设置11 View Administrator 中的安全性相关服务器设置13 View LDAP 中的安全性相关设置13 3端口和服务15 View TCP 和 UDP 端口15
3、 View 连接服务器主机上的服务18 安全服务器上的服务19 4在 View 连接服务器实例或安全服务器上配置安全协议和密码套件21 安全协议和密码套件的默认全局策略21 配置全局接受和建议策略22 在单个 View Server 上配置接受策略23 在 View 桌面上配置建议策略24 在 View 中禁用的旧协议和密码24 5为 Blast 安全网关配置安全协议和密码套件27 为 Blast 安全网关 BSG 配置安全协议和密码套件27 6在安全 View 环境中部署 USB 设备29 对所有类型的设备禁用 USB 重定向29 对特定设备禁用 USB 重定向30 7连接服务器和安全服务器
4、上的 HTTP 保护措施33 Internet 工程任务组标准33 其他保护措施34 索引35 VMware Inc 3 View 安全指南 4 VMware Inc View 安全性安全性 View 安全指南 提供了对 VMware Horizon 7 的安全功能的简明参考 n所需的系统和数据库登录帐户 n安全性相关的配置选项和设置 n必须受到保护的资源 如安全性相关的配置文件和密码 以及对安全操作的建议访问控制 n日志文件的位置及其用途 n为确保 View 正常运行而必须打开或启用的外部接口 端口和服务 目标读者目标读者 本书信息面向 IT 决策制定者 架构师 管理员以及其他必须熟悉 Vi
5、ew 安全组件的读者 VMware Inc 5 View 安全指南 6 VMware Inc View 帐户 资源和日志文件帐户 资源和日志文件1 为特定组件分配多个不同的帐户可避免向个人授予不必要的访问权限和特权 了解配置文件和其他包含敏感数 据的文件的位置有助于为不同的主机系统设置安全保障 注意注意 从 Horizon 7 0 开始 View Agent 被重新命名为 Horizon Agent 本章讨论了以下主题 n第 7 页 View 帐户 n第 8 页 View 资源 n第 8 页 View 日志文件 View 帐户帐户 您必须设置系统和数据库帐户才能管理 View 组件 表表 1
6、1 View 系统帐户 View 组件组件所需帐户所需帐户 Horizon Client在 Active Directory 中为有权访问远程桌面和应用程序的用户配置用户帐户 用户帐户必须是远程 桌面用户组的成员 但无需 View 管理员特权 vCenter Server在 Active Directory 中配置一个用户帐户 并使该帐户有权在 vCenter Server 中执行支持 View 所 需的必要操作 有关所需特权的信息 请参阅 View 安装指南 文档 View Composer在 Active Directory 中创建一个用户帐户 以供 View Composer 使用 Vi
7、ew Composer 需要使用 该帐户将链接克隆桌面加入到您的 Active Directory 域 用户帐户不应是 View 管理帐户 为该帐户授予在指定的 Active Directory 容器中创建和移除计算 机对象所需的最低特权 例如 该帐户不需要域管理员特权 有关所需特权的信息 请参阅 View 安装指南 文档 View 连接服务器在安装 View 时 您可以指定特定的域用户 本地 Administrators 组或特定的域用户组以作为 View 管理员 我们建议您创建专用的 View 管理员域用户组 默认设置为当前登录的域用户 在 View Administrator 中 您可以
8、使用 View 配置配置 管理员管理员更改 View 管理员列表 有关所需特权的信息 请参阅 View 管理指南 文档 VMware Inc 7 表表 1 2 View 数据库帐户 View 组件组件所需帐户所需帐户 View Composer 数据库存储 View Composer 数据的 SQL Server 或 Oracle 数据库 您要为可与 View Composer 用户帐 户关联的数据库创建一个管理帐户 有关设置 View Composer 数据库的信息 请参阅 View 安装指南 文档 View 连接服务器使用的 事件数据库 存储 View 事件数据的 SQL Server 或
9、 Oracle 数据库 您要为 View Administrator 可用于访问事 件数据的数据库创建一个管理帐户 有关设置 View Composer 数据库的信息 请参阅 View 安装指南 文档 为减少安全漏洞风险 请采取以下措施 n在与组织使用的数据库服务器分开的单独服务器上配置 View 数据库 n不允许一个用户帐户访问多个数据库 n配置单独帐户访问 View Composer 和事件数据库 View 资源资源 View 中包含若干配置文件和类似资源 必须为它们提供保护 表表 1 3 View 连接服务器和安全服务器资源 资源资源位置位置保护保护 LDAP 设置不适用 LDAP 数据
10、会作为基于角色的访问控制 的一部分 自动得到保护 LDAP 备份文件 ProgramData VMWare VDM backups由访问控制保护 locked properties 安全网关配置文 件 install directory VMware VMware View Server sslgateway conf 确保该文件不被 View 管理员以外的任 何用户访问 absg properties Blast 安全网关配置 文件 install directory VMware VMware View Server appblastgateway 确保该文件不被 View 管理员以外的任
11、 何用户访问 日志文件请参阅第 8 页 View 日志文件 由访问控制保护 web xml Tomcat 配置文件 install directory VMware View Server broker web apps ROOT Web INF 由访问控制保护 View 日志文件日志文件 View 会创建记录其组件安装和运行情况的日志文件 注意注意 View 日志文件专供 VMware 支持部门使用 VMware 建议您配置并使用事件数据库来监视 View 有关 详细信息 请参阅 View 安装指南 和 View 集成指南 文档 View 安全指南 8 VMware Inc 表表 1 4 V
12、iew 日志文件 View 组件组件文件路径和其他信息文件路径和其他信息 所有组件 安装日志 TEMP vminst log date timestamp TEMP vmmsi log date timestamp Horizon Agent ProgramData VMware VDM logs 要访问 ProgramData VMware VDM logs 中存储的 View 日志文件 您必 须使用具有高管理员特权的程序打开这些日志 右键单击应用程序文件 然后选择以管理员身以管理员身 份运行份运行 如果配置了用户数据磁盘 User Data Disk UDD 可能对应于 UDD PCoIP
13、 的日志命名为 pcoip agent log 和 pcoip server log View 应用程序SQL Server 或 Oracle 数据库服务器上配置的 View 事件数据库 Windows 应用程序事件日志 默认情况下禁用 View Composer链接克隆桌面上的 system drive Windows Temp vmware viewcomposer ga new log View Composer 日志中包含有关 QuickPrep 和 Sysprep 脚本执行情况的信息 日志记录了脚 本执行的开始时间和结束时间 以及任何输出或错误消息 View 连接服务器或安全服 务器
14、 ProgramData VMware VDM logs 日志目录可在 View 公共配置 ADM 模板文件 vdm common adm 的日志配置设置中进行配置 PCoIP 安全网关日志将写入到名为 SecurityGateway log 的文件 这些文件位于 PCoIP Secure Gateway 子目录中 Blast 安全网关日志将写入到名为 absg log 的文件 这些文件位于 Blast Secure Gateway 子目录中 View 服务SQL Server 或 Oracle 数据库服务器上配置的 View 事件数据库 Windows 系统事件日志 第 1 章 View 帐
15、户 资源和日志文件 VMware Inc 9 View 安全指南 10 VMware Inc View 安全性设置安全性设置2 View 中包含一些设置 您可以使用它们来调整配置的安全性 您可以使用 View Administrator 或使用 ADSI 编辑 实用程序来访问这些设置 视情况而定 注意注意 有关 Horizon Client 和 Horizon Agent 安全设置的信息 请参阅 Horizon Client 和 Agent 安全指南 文 档 本章讨论了以下主题 n第 11 页 View Administrator 中的安全性相关全局设置 n第 13 页 View Admini
16、strator 中的安全性相关服务器设置 n第 13 页 View LDAP 中的安全性相关设置 View Administrator 中的安全性相关全局设置中的安全性相关全局设置 用于客户端会话和连接的安全性相关全局设置可通过 View Administrator 中的 View 配置配置 全局设置全局设置来访问 表表 2 1 安全性相关的全局设置 设置设置描述描述 更改数据恢复密码更改数据恢复密码从加密备份还原 View LDAP 配置时需要提供密码 安装 View 连接服务器 5 1 或更高版本时 需要提供一个数据恢复密码 安装后 可以在 View Administrator 中更改此密码 备份 View 连接服务器时 View LDAP 配置将导出为加密的 LDIF 数据 要通过 vdmimport 实用程序还原加密备份 需要提供数据恢复密码 密码包含的字符必须介于 1 到 128 个之间 请遵循组织的最佳实践来生成安全密码 消息安全模式消息安全模式决定在 View 组件之间传递 JMS 消息时使用的安全机制 n如果设置为禁用禁用 消息安全模式将被禁用 n如果设置为已启用已启用
