众所周知，虚拟桌面基础架构（VDI）本质上比传统桌面环境更安全，但现实是，虚拟桌面仍然容易受到攻击和安全问题的影响。

不过，IT管​​理员可以通过遵循以下最佳做法来提高VDI安全性。

限制、禁用服务

安全的VDI环境通常仅提供企业所需要的服务。如果用户可访问不必要的服务和网络，这可能会给企业带来重大安全风险。

例如，恶意员工可能会将敏感的业务数据从虚拟桌面传输到本地U盘。因此，IT应禁止访问本地USB驱动器。或者，IT可以禁止复制和粘贴功能，但是这样做也可能会降低生产率。为了进一步防止数据被盗和迁移，IT部门应制定白名单或黑名单，以确保最终用户无法访问某些外部站点或电子邮件提供商。

IT还应该评估主映像是否存在多余的服务。例如，在Windows桌面中，搜索功能和打印机后台处理程序通常是不必要的服务，这些服务既浪费内存又降低VDI安全。

利用VDI安全工具

IT应部署基本的安全措施，例如防火墙和防病毒软件。对于防病毒软件，IT必须决定是否在每个VM运行无代理或代理软件。无代理软件可提供更好的性能并减少IT维护需求。然后，IT部门应确保这些软件可以支持每层VDI堆栈，包括在服务器运行的虚拟机管理程序和在VM运行的来宾OS。最后，IT专业人员应确保防病毒软件可兼容现有的基础架构，例如入侵检测和防御系统。

保护虚拟桌面的另一种有效方法是部署全面的监控工具，因为这些工具可以为IT提供企业基础架构的高级视图和详细视图。同时，IT应该选择一种工具来提供正确的指标（例如对敏感资源的访问和网络活动）以跟踪和预防安全问题。

另外，虚拟桌面也无法避免恶意软件或勒索软件问题。对此，IT可以部署第三方恶意软件检测工具来提高VDI安全性。例如，VMware管理员可以使用Sophos for Virtual Environments或者Trend Micro Deep Security；Citrix管理员可以使用Bitdefender。

不要忘记RDP

对于使用微软远程桌面协议（RDP）的企业，应该高度警惕潜在的安全问题，例如BlueKeep，特别是当他们在运行旧版Windows操作系统时。IT人员应评估是否所有计算机都需要远程访问，并通过组策略禁用某些计算机的远程访问。IT也可以使用组策略来要求用户进行身份验证，以便创建远程会话

双因素身份验证

双因素身份验证（2FA）提供了额外的安全层，它要求最终用户以多种方式证明其身份，例如输入密码、使用移动设备或扫描指纹。VMware Horizo​​n和Citrix Virtual Apps and Desktops均支持2FA，但需要用户自行设置。

管理员可以在云端或本地部署Citrix的双因素身份验证服务NetScaler。本地企业可以将整合NetScaler Gateway与Azure Active Directory，但是他们必须支付Azure许可费用。另外，Citrix管理员可以使用免费工具Google ReCAPTCHA，但他们首先必须设置Citrix的nFactor技术。

那些运行Horizo​​n View的VMware管理员可以使用任何支持RSA的身份验证设备，包括Google Authenticator。IT必须在Horizo​​n View控制台中打开2FA，并确保RSA令牌正常运行。