Тънък клиент на Windows: правила за сесии, пренасочване и задълбочена защита

  • Тънките клиенти на Windows централизират приложенията и данните, подобряват сигурността и намаляват разходите, но създават предизвикателства с интеграцията на USB периферни устройства и отдалечени сесии.
  • Пренасочването на папки чрез GPO и политиките на Citrix за съдържанието на браузъра е ключово за контролирането на това къде се намират данните и как се обработват ресурсите на браузъра.
  • Microsoft Intune и Microsoft Entra Conditional Access ви позволяват да наложите съответствие със сигурността и да управлявате пренасочването на локални устройства преди достъп до отдалечени настолни компютри.
  • Внимателната проверка на политиките, филтрите и действителното поведение в различните платформи осигурява солиден баланс между сигурност, производителност и потребителско изживяване.
Daniel Terrasa

15 Minutos

Правила за сесии на тънки клиенти на Windows, пренасочване и сигурност

Среди, базирани на Тънките клиенти на Windows са се превърнали в най-разпространения начин за разполагане на виртуални десктопи. В компании, които трябва да централизират данните, да опростят администрирането и да подобрят сигурността. Когато обаче започнем да се задълбочаваме в политиките за сесии, опциите за пренасочване на ресурси и изискванията за сигурност, нещата стават по-малко ясни.

Проектът за тънък клиент не е просто свързване на терминали и публикуване на работни плотове. Той включва управлявайте как се държат сесиите, какво се пренасочва от локалното устройство и какви условия за сигурност са необходими Преди потребителят да може да получи достъп до отдалечен работен плот или публикувано приложение, ще обясним всичко подробно в тази статия.

Какво точно е тънък клиент на Windows и каква роля играе във VDI?

Когато говорим за тънък клиент, обикновено си представяме малък терминал без твърд диск. Съвременното определение обаче отива малко по-далеч. Тънкият клиент е устройство с достатъчно хардуер, за да стартира минимална операционна система и да установи отдалечена връзка до сървъри, където се хоства всичко важно: приложения, профили, чувствителни данни и изчислителна мощност.

В Windows среди тези устройства разчитат на протоколи като RDP, Citrix ICA или други комуникационни канали, ориентирани към отдалечен работен плотТерминалът е основно отговорен за въвеждането на данни от клавиатура и мишка, видео изхода и транспортирането на определени периферни устройства или локални ресурси към отдалечената сесия, както е разрешено от политиките.

Производители като HP или Dell предлагат голямо разнообразие от модели тънки клиенти и нулеви клиенти. По същество всички те преследват една и съща цел: да бъдат „прозорец“ към виртуален работен плот (VDI) или сесия на отдалечен работен плот, хоствана в център за данни или в облака.

Този подход се счита за част от концепцията за виртуален десктоп (VDI)Устройството на потребителя става второстепенно, което носи много конкретни ползи на ИТ и бизнес ниво.

Виртуални десктопи с тънки клиенти

Ключови предимства на тънките клиенти в предприятието

Добре планираното внедряване на тънки клиенти носи много ясни предимства пред традиционния компютърособено когато се комбинира с виртуални десктопи или услуги като Windows 365 или Azure Virtual Desktop.

  • Сигурност на корпоративните данни. Чрез съхраняване на файлове и приложения на централизирани сървъри, рискът от нарушения на данните поради кражба на лаптоп, загуба на твърди дискове или неконтролирани локални копия е драстично намален. Леките терминали обикновено съхраняват малко или никаква чувствителна информация.
  • Централизация на администрациятаИТ екипите могат да внедряват, актуализират и премахват приложения от една конзола, да управляват шаблони за настолни компютри и да контролират версиите последователно, без да се налага да работят машина по машина.
  • Намаляване на разходите. Това се отнася както за инфраструктурата на работните станции (по-евтини и по-издръжливи терминали), така и за фазите на надграждане и обновяване. Изискването за по-малко локален хардуер забавя остаряването и дори по-старото оборудване може да се използва повторно като тънки клиенти.
  • Менор консумация на енергия и климатизация. Тези устройства използват по-малко енергия от пълноценен компютър. Това се забелязва в сметката за ток и в топлината, генерирана в работните пространства, особено при мащабни инсталации.

Накрая, архивирането става много по-контролируем процес. Като данните са в центъра за данни или в облака, Защитата на информацията е концентрирана от страна на сървърас централизирани системи за архивиране и политики за съхранение, които са много по-лесни за управление.

Типични проблеми с тънките клиенти: пренасочване на USB и периферни устройства

Основната ахилесова пета на много проекти с тънки клиенти се появява, когато става въпрос за интегриране на USB-зависими устройстваПаметни карти, камери, четци за смарт карти, специални принтери, биометрични скенери и др. Не всичко, което свързваме към терминалния порт, се държи добре в отдалечената сесия.

В среди, където няма добър механизъм за USB преминаване от тънкия клиент към сесията (RDP или VDI), периферните устройства, свързани към локалното устройство Те са достъпни само за „локална“ сесия на самия тънък клиент.Те обаче не се показват във виртуалния десктоп. Това принуждава много потребители да превключват между системи, нарушавайки работния им процес.

Този проблем създава явна загуба на производителност. Ако служителят трябва постоянно да превключва между локални и отдалечени приложения или дори между различни терминали, загубеното време и чувството на неудовлетвореност се увеличават. При някои нулеви клиенти, излагането на USB устройството на отдалечена сесия просто не е възможно.

Друго следствие е увеличаването на оперативната сложност. Не всички видове устройства са подходящи за пренасочване по този метод. собствени механизми на протоколите за отдалечен работен плотИ въпреки че хардуерът е посочен като съвместим, на практика той може да се държи нестабилно, с прекъсвания, прекъсвания или ограничена функционалност.

В определени сценарии, когато USB устройство, свързано с тънък клиент, се пренасочва към сървъра чрез RDP, Ресурсът може да е видим за повече от един потребителАко конфигурацията не се извърши внимателно, друг тънък клиент може да види и дори да използва това споделено устройство по нежелан начин, което води до проблеми със сигурността и поверителността.

Всичко това води до допълнителни разходи. Компаниите са принудени да инвестират в Специализиран хардуер или софтуер на трета страна, който позволява пренасочване на USB или сигурно и надеждно, или чрез препроектиране на работните процеси, за да се избегне разчитането на устройства, които не пренасочват добре.

тънък клиент на Windows

Пренасочване на папки в Windows с помощта на групови правила

Освен пренасочването на USB устройства, управлението на потребителски данни в среда на отдалечен работен плот зависи до голяма степен от... пренасочване на папка с профилТази функционалност ви позволява да изпращате папки като „Документи“ или „Работен плот“ на друго място, обикновено в споделен мрежов ресурс.

В Windows пренасочването на папки се конфигурира с Обекти на групови правила (GPO) от конзолата за управление на групови правила (GPMC). Пътят за достъп до тази настройка е: <Nombre del GPO>\User Configuration\Policies\Windows Settings\Folder Redirection, където се контролира местоназначението на всяка потребителска папка.

Използвайки тази техника, администраторите могат отделете данните на потребителя от конкретната машина, в която той влизатака че служителят да поддържа своята информация и структура на папките, независимо от тънкия клиент или компютъра, който използва за достъп до отдалечената сесия.

Папки, които могат да бъдат пренасочвани, и видове пренасочване

Съветникът за пренасочване на папки (от GPMC) ви позволява да действате върху широк спектър от местоположения на потребителски профили, включително AppData\Роуминг, Контакти, Работен плот, Документи, Изтегляния, Любими, Връзки, Музика, Картини, Запазени игри, Търсения, Меню „Старт“ и ВидеоклиповеТоест, практически всички чувствителни точки на профила.

Пренасочването може да бъде конфигурирано в режим основен или напредналВ основен режим папката за всички потребители сочи към един и същ коренен път, което се отнася за всички акаунти, засегнати от този GPO. Най-типичният вариант е да се създаде подпапка за всеки потребител в споделения път, с модел, подобен на: \\servidor\recurso\NombreDeCuenta\NombreCarpeta.

Има и възможност за използвайте изричен маршрут, споделен между множество потребителиТова е полезно в съвместни сценарии, позволявайки ви да комбинирате променливи на средата, за да генерирате персонализирани пътища. Когато изберете „пренасочване към местоположението на локалния потребителски профил“, папката се премества в локалния профил на машината, запазвайки я в рамките на... потребители на отдалечената система.

В разширен режим поведението се променя в зависимост от членство в групи за сигурностТова ви позволява да дефинирате различни дестинации, например за административен персонал, технически отдел или външни потребители, всички в рамките на един и същ GPO, но със специфични правила за всяка група.

Опцията „Не е конфигурирано“ показва, че Пренасочването на папки не се прилага чрез този GPOАко настройката е деактивирана, папките могат или да се върнат към локалното си местоположение в профила, или да останат там, където са били, в зависимост от опциите, избрани преди това за обработка при премахването на правилото.

тънък клиент на Windows

Предварителни изисквания и стъпки за настройване на пренасочване на папки

Преди да започнете работа с GPO, е важно да подготвите средата. Трябва ви домейн на Active Directory Domain Services с клиентски компютри, присъединени към този домейн, дори ако няма специално функционално ниво на гората или изисквания за схемата.

Акаунтът, който конфигурира правилата, трябва имат достатъчно разрешения за създаване и свързване на GPO в домейна или организационните единици (OU), където се намират засегнатите потребители. Освен това, клиентските компютри трябва да работят с Windows или Windows Server и поне един компютър трябва да има инсталиран GPMC.

За да конфигурирате пренасочването, обичайният процес е да отворите Конзола за управление на групови правилаРазгънете съответния домейн или организационно подразделение (OU) и решете дали да създадете нов GPO или да редактирате съществуващ. В много среди е по-рентабилно да създадете специален GPO само за управление на пренасочването на папки.

След като влезете в редактора за управление на групови правила, следвайте този път:

  1. Отворете менюто Потребителска конфигурация.
  2. Достъп до Директиви.
  3. изберете Настройки на Windows.
  4. Там, изберете Пренасочване на папки.

Оттам изберете папката за пренасочване, отворете нейните свойства и в раздела „Дестинация“ изберете типа пренасочване, който искате да приложите.

Това е мястото, където крайния маршрут на споделения ресурс, следвайки стандартния UNC формат \\servidor\recurso\NombreCarpetaСлед приемане на конфигурацията е препоръчително да повторите процеса за всички съответни папки и да принудите актуализацията на правилата с gpupdate /force на клиентското оборудване или изчакайте да бъде приложено в следващия цикъл.

Разширени опции: разрешения, преместване на данни и изтриване на правила

В свойствата на всяка пренасочена папка, разделът конфигурация Тя ви позволява да настройвате фини детайли, които са от значение при ежедневна употреба. Една от най-важните е настройката „Предоставяне на потребителя на изключителни права върху папката“, която обикновено е активирана по подразбиране.

Тази опция гарантира, че Само потребителят има разрешения за достъп до своята папка.  Следователно, достъпът е блокиран за администратори и други потребители, което е препоръчително от гледна точка на поверителността.

Друга практична корекция е „Преместване на съдържанието на до новото място.“ Това служи за автоматично прехвърляне на съществуващи файлове в локалната папка към споделения мрежов път. Това предотвратява разпръскването на данни в различни точки.

Що се отнася до премахването на директиви, можете да избирате между пренасочете папката обратно към пътя на потребителския профил Когато правилото бъде премахнато или папката бъде оставена в пренасоченото местоположение. В първия случай съдържанието се копира обратно, но не се изтрива от мрежовото местоположение, което може да отнеме значително време при бавни връзки или когато обемът на данните е много голям.

Ако папката остане в пренасочения път, данните ще останат там, където са били. Потребителят ще продължи да има достъп до тях чрез споделената папка. Този метод обикновено е най-удобен, когато големият трансфер на данни е нежелан или когато отдалечените местоположения са физически далеч едно от друго.

Цитрикс

Пренасочване на съдържанието на браузъра в Citrix среди

Когато дистанционните сесии се обслужват чрез CitrixЕдна от характеристиките, които имат най-голямо влияние върху производителността, е пренасочване на съдържанието на браузъра към локалния клиентВместо да се изобразяват определени страници на сървъра, съдържанието се изпраща към браузъра на устройството на потребителя. Това води до значително спестяване на ресурси от страна на сървъра.

В публикувана VDI инфраструктура, процесът за активиране на това пренасочване в Google Chrome включва инсталиране на Разширение за пренасочване на браузъра Citrix От уеб магазина на Chrome. Администраторът или потребителят осъществява достъп до магазина, търси конкретното разширение и го добавя към браузъра.

Ако използвате Microsoft Edge (версия 83.0.478.37 или по-нова), първо трябва да активирате Монтаж на разширения от други магазиниЗа да получите достъп до уеб магазина на Chrome от Edge, потърсете „Пренасочване на съдържанието на браузъра“ и изтеглете разширението, предлагано от Citrix, което ще бъде интегрирано в браузъра на Microsoft.

Централната административна част се осъществява в Citrix StudioОт панела „Политики“ редактирайте или създайте нова политика и потърсете опцията „Пренасочване на съдържание на браузъра“, която трябва да е зададена на „Разрешено“, което показва, че средата поддържа тази функция.

След това се конфигурират по-подробни параметри, като например ACL за пренасочване на съдържаниекъдето посочвате URL адресите, чието съдържание искате да изпратите на клиента. По подразбиране обикновено включва нещо подобно https://www.youtube.com/*които могат да бъдат променени или премахнати, ако не сте заинтересовани да пренасочвате този сайт.

Така наречената пренасочване на сайтове за удостоверяване. Те са особено полезни, когато дадена страница изисква вход през различен домейн. Те включват както URL адреси, които показват съдържание, така и такива, които обработват удостоверяване. Освен това има списък с блокирани адреси, който определя кои адреси трябва да продължат да се обслужват на сървъра без пренасочване.

Сигурност, Intune и условен достъп в отдалечени среди на Windows

Когато до отдалечени настолни компютри се осъществява достъп от лични или мобилни устройства, един добър VDI не е достатъчен. Той е критично важен. за да се гарантира, че устройството източник отговаря на определени изисквания за сигурностТук влизат в действие Microsoft Intune и Microsoft Conditional Access.

Идеята е да се възползваме Политики за защита на приложенията на Intune заедно с правила за условен достъп, така че достъпът до Azure Virtual Desktop, Windows 365 или Microsoft Dev Box да е възможен само ако устройството (или поне приложението, от което се свързва) отговаря на определеното ниво на сигурност.

Този модел обхваща няколко вида платформи: iOS/iPadOS и Android, както управляеми, така и неуправляеми, и Браузъри Microsoft Edge в Windows в неуправляван режим. В тези сценарии може да се изискват елементи като ПИН кодове, минимални нива на операционната система или ограничения за копиране/поставяне.

Сред разширените настройки се открояват опции като следните: Блокиране на клавиатури на трети страни, принудително инсталиране на минимални версии на клиентското приложение или задайте максимално допустимо ниво на заплаха за устройството. Ако някое от тези изисквания не е изпълнено, достъпът до отдалечен работен плот се блокира.

След като бъде потвърдено, че локалното устройство е надеждно, може да започне фазата на контрол. Например, пренасочване на камера, микрофон, хранилище или клипборд към отдалечената сесия. Това е много важно в „хибридни“ сценарии с тънък клиент или BYOD.

Конфигуриране на правила за условен достъп за отдалечени работни плотове

Политиките за условен достъп позволяват Контролирайте достъпа до виртуалния работен плот на Azure, Windows 365 и Microsoft Dev Box въз основа на самоличността на потребителя, типа на устройството, клиента за достъп и други фактори, като например местоположение.

Типичен сценарий включва разрешаване на достъп само ако a политика за защита на приложенията към приложението на Windows. В този случай политиката за условен достъп е присвоена на конкретна потребителска група и конфигурирана да сочи към Azure Virtual Desktop, Windows 365 и вход в облака на Windows като ресурси, идентифицирани от съответните им идентификатори на приложения.

Блокът с условия определя разрешени платформи на устройстваТой също така определя кои типове клиенти са валидни. По този начин ще бъдат валидирани само опити за достъп от тези специфични среди.

В контролите за достъп е избрана опцията за изискват да има политика за защита на приложенията прилага се като условие за предоставяне на достъп. Ако устройството или приложението не отговаря на изискванията, на потребителя ще бъде отказан достъп до отдалечения работен плот, дори ако идентификационните му данни са правилни.

Ключът е да се комбинират тези политики, за да се постигне баланс между сигурност и използваемост. С други думи, адаптирането на контролите към критичност на ресурсите които са изложени на показ чрез тънки клиенти и виртуални десктопи.

Проверка на конфигурацията в отдалечени сесии

След като дефинирате GPO за пренасочване, политики на Citrix, конфигурации на Intune и условен достъп, е време да... потвърдете, че действителното поведение съответства на очакваното поведениеТова включва свързване от различни устройства и с различни клиентски приложения.

Препоръчително е да се прегледат какви действия може да предприеме потребителят с данните: ако може или не може да копира/постави съдържание към други приложения, как се пренасочват камерите или микрофоните, дали USB устройствата се показват правилно в отдалечената сесия и как се държат пренасочените папки при промяна на правилата.

Ако се открие някакво несъответствие, решението обикновено включва коригирайте филтри, преглеждайте групови назначения или прецизирайте списъци с URL адреси и устройства Оторизирани потребители. Винаги с контролирано тестване преди разширяване на промените до всички потребители.

Когато всички тези части се съчетаят, базираните на Windows тънки клиентски среди предоставят много мощна комбинация от сигурност, гъвкавост и централизация. Потребителят може да достъпва своя десктоп от почти всяко място, данните се контролират в центъра за данни или в облака, а ИТ екипите имат унифициран поглед върху политиките за сесии, пренасочванията и съответствието със сигурността.