有很多的文章都讲到了虚拟桌面架构的安全性问题，但是很少有人提到具体的细节是什么。在本文中，TechTarget中国的特约专家Eric Schultze讲述了VID架构协助增强企业安全性的五大途径。

　　一、补丁

　　虚拟桌面架构的安全性可以节省大量的时间，这主要体现在完成安全补丁升级的过程中。在传统的架构下，管理员需要确保所有的桌面系统都得到了正确的安全补丁管理，包括如下的一些方面：

• 评估：在每个系统上实际所需的到底是哪种补丁程序，包括32位和64位的区别，微软系统或是第三方系统等等。
• 规划：每个系统中的补丁在什么时候可以部署？
• 部署：确保所有的系统都收到了合适的补丁程序而且已经获得正确地执行。
• 重启：很多补丁程序安装后需要重启系统。
• 重新扫描：在机器重启后需要重新扫描以确保所有的机器都得到正确配置。

　　如上的补丁安装过程需要花费大量的时间、工作量和网络带宽。例如，在网络中有200台安装了Windows XP Service Pack 3的系统。微软在2009年10月中，针对操作系统和IE浏览器发布了12补丁程序——这还不包括针对.NET Framework、SQL 或Office的补丁程序。这12个补丁程序总计需要向每台系统传输的数据量为14MB，大约在所有系统完成所有补丁后会产生3GB的数据流量。而且，请不要忽视Sun Java、Mozilla 或 Adobe等非微软方面的补丁程序升级。这样的一个过程需要花费数天时间来完成，直到管理员通过Windows Update 或 Windows Server Update Services在每台计算机上都完成检测过程——而且前提是假设所有的系统都是保持开机状态时才能完成。

　　通过迁移到VDI环境，补丁程序安装进程可以被极大地简化，只需把所有的补丁程序在数据中心的主镜像中完成就可实现。

　　一台主机、一组补丁程序、一次重启过程！所有的200台VDI实例都可以实现补丁升级。

　　当然，如果您拥有多个主镜像，如32位、64位、Windows XP或是Vista等等，请确保每个主镜像的补丁都已经安装。

　　二、配置

　　网络环境中的每台服务器，都需要根据各企业的安全规范实现正确的配置过程。这其中包括文件和访问管理列表、远程注册访问、许可服务进程以及账户策略。这些项目中，很多项的设置可以通过组策略来实现，但是更多的配置和设置是在服务器首次安装时进行，而且在系统部署完成后可能永远都不会有人去检测。这种情况会导致数据中心存在可怕的管理盲点：配置信息的漂移。

　　通过修改VDI架构中的主镜像，系统配置信息的设置可以在同一时间、同一地点完成定义。在之后每次用户登录VDI会话程序时，他们会收到来自主镜像的配置信息。（这个过程假设对主镜像进行了配置，因此用户提交的数据——非系统变化信息，被保存在主镜像之外的独立数据空间内，这样才可以通过对话进程实现。请参考VDI供应商的说明文档。）

　　通过集中控制配置信息的漂移，用户可以极大地增强所有桌面系统的安全性。这对于一些特殊行业而言具有非常重要的意义，例如那些需要遵守如Payment Card Industry Data Security Standards, the Health Insurance Portability and Accountability Act 或塞班斯法案等规定的行业应用中。

　　三、防火墙

　　终端防火墙系统，如那些安装到Windows XP和Vista系统中的软件，对来自系统内部的攻击提供了对系统和数据有效的第一层防护。而不幸的是，对于内网系统，并没有很多厂家的终端防火墙产品可以选择。

　　通过组策略的设置可以协助管理防火墙的配置管理。在VDI架构中，通过完成对主镜像的防火墙策略和例外管理，然后通过VDI把这种改变展开实施是非常简便的。对于策略的修改，尤其是为一些程序添加必要的例外条款，可以在同一个地点及时地获得实施。这样保证了所有的VDI对话可以及时地收到配置所做的改变。而在传统架构下，用户则需要等待组策略的升级。

　　四、应用管理

　　即使您已经正确地安装了补丁程序和系统配置，而且防火墙也已经启用，但是当最终用户在桌面安装一些应用程序时，仍然会存在违反安全策略的情况发生。如果这些程序没有正确地升级补丁或进行配置，它们可能会为黑客提供访问路径。或者，更糟糕的情况下，最终用户可能会安装未经验证的应用。而在这样的程序中可能包含流氓插件或后门程序，这就为入侵者提供了隐蔽的访问系统内数据的通道。

　　为最终用户部署VDI架构，可以实现对桌面允许安装的软件程序的锁定。事实上，在网络安全方面，严格实现这些还有很长的路要走。根据VDI供应商，操作系统设置和部署方法，没有安装在基本镜像中的应用程序可以实现禁止安装。在最坏的情况下，可以实现任何未经允许的应用对镜像的访问，在下一次对话初始化的时候将被从主镜像断开。

　　五、防病毒

　　管理超过200台桌面系统的防病毒客户端是一个非常耗时的工作。相反地VDI架构中，所需完成的仅仅是管理主镜像中的单一客户端。在夜间时完成主镜像的病毒扫描过程。这一过程可以像传统模式那样在镜像运行的时候完成，同时也可以在镜像停用时，借助虚拟化供应商提供的离线加载工具远程控制实现。

　　如果您对主镜像程序的防病毒系统很满意，但是也请不要把它启用到VDI会话中。相应地，请考虑使用新的、免费的、基于云服务概念的产品代替。例如Immunet Protect。这些防病毒产品通过非常轻量级的、高效的引擎来监控用户的操作，以防止他们出现任何可能威胁系统安全的行为。基本上看来，相比在每个终端采取基于签名的管理方式，这是一个非常简单，也更具性价比的防病毒和防恶意程序解决方案。

　　迁移到VDI架构在很多方面都可以为数据中心带来收益，但是最受系统和安全管理员欢迎的莫过于减轻他们在安全管理方面的负担。通过对主镜像的集中管理，VDI架构可以在补丁升级管理、配置管理、防火墙设置、应用程序管理和病毒防护等方面带来非常高效和先进的解决方案。