双因素认证管制虚拟桌面访问权限

　　欢迎各位阅读本篇文章，虚拟桌面(Desktop virtualization或者称为Virtual Desktop Infrastructure)是一种基于服务器的计算模型，VDI概念最早由桌面虚拟化厂商Vmware提出，现已经成为标准的技术术语。本篇文章讲述了双因素认证管制虚拟桌面访问权限，课课家教育平台提醒各位：本篇文章纯干货~因此大家一定要认真阅读本篇文章哦!

　　仅仅使用传统的密码认证方式并不能完全满足VDI环境的当前需求，因此企业需要确保在用户设备上启用第二种认证方式或者使用经常变化的一次性密码。

　　除了使用账户和密码来控制虚拟桌面访问权限之外，VDI部门还需要使用其他更为复杂的认证方式，比如双因素认证。

　　如果用户只需要使用三种资源，那么传统的密码方式也许能够满足需求，但是现在用户需要登陆数十、甚至上百种系统，由于几乎所有系统都已经连接到互联网，这些系统任何时刻都有可能遭受攻击，因此用户需要不断更改密码。但是对于那些想要恶意获取密码的人来说，不论用户如何更改密码都无法有效阻止他们。

　　但是如果企业使用双因素认证(2FA)来控制虚拟桌面访问权限，就能够通过一种方式同时解决两种问题。

　　如何使用双因素认证

　　VDI部门可以考虑使用经常变化的一次性密码或者其他多种方式来保护虚拟桌面访问权限，但是每种方式都需要用户拥有第二种认证因素。第一种因素是传统的用户名和密码组合，而第二种因素可能是一些其他方式——比如token、智能卡或者生物识别信息，这种双因素认证有时被称为2FA。

　　RSA SecurID token是最广为人知的第二种因素。这个长方形的“小钥匙”能够每分钟产生新的伪随机数字。在登陆系统时，用户必须输入用户名和密码，以及当前时刻显示的token code。由于token code每分钟都会发生变化，因此必要时用户甚至可以在拥挤的房间当中大声说出当前的token code，并且风险性很低。尽管RSA token fob是知名度最高的双因素认证解决方案，但是许多其他公司也提供了类似的物理2FA token。RSA还提供了软件版本的SecurID token，因此企业不必一定购买物理硬件。

　　其他常见的第二种认证因素就是设备自身了，不论其属于公司还是用户自己购买的。相比于SecurID token，用户通常不会丢失或者忘带自己的智能手机。当然还有其他多种第二因素认证方式，比如Google Authenticator，其使用智能手机。所有这些应用程序都拥有服务器组件，能够和公司的VDI代理进行通讯，为用户提供虚拟桌面认证和交付。

　　当然并非所有用户使用的都是智能手机。对于银行来说，通常采用基于短信的2FA方式实现安全访问。用户只需要使用自己的手机号码进行注册，当想要登陆系统时，银行会通过短信的方式将一次性密码发送给用户。

　　如何使用2FA控制虚拟桌面访问

　　如果想在VDI环境中加入双因素认证，传统方式是在数据中心的多台机器上安装认证服务器软件，之后配置VDI代理使用这些机器进行认证。

　　但是VDI部门是否一定需要搭建和管理自己的认证服务器，特别是如果他们使用桌面即服务的情况下?许多新一代的认证系统都能够通过服务的方式实现。企业不需要安装自己的认证服务器，只需要将认证服务指向认证提供商所提供的服务。

　　使用外部认证服务这种方式能够将VDI部门从维护和加固认证服务器的任务当中解脱出来，并且不需要任何前期投资，根据每个用户每月的开销计算运营成本。为了使用这些服务，VDI管理员应该配置VDI代理使用来自于互联网的外部服务，而不是本地服务器。

　　大多数VDI产品都支持使用RADIUS协议进行双因素认证。这是一种所有2FA服务都需要支持的标准。管理员通常不需要在本地安装代理软件，而只需要连接到外面的服务。

　　如果用户能够通过互联网浏览器获得虚拟桌面访问权限，那么应该使用双因素认证。因为相比于输入一次密码，输入两次可以大大提升安全性。企业也可以考虑使用单点登录产品，这样在用户登录之后，就可以在不必再次登陆的情况下访问尽可能多的资源了。

　　干货：

　　虚拟桌面技术架构

　　VDI桌面虚拟化的优势在于运算集中在服务器端，因此在以下两种环境中特别合适：1、在极小的广域网带宽环境下，例如低于500Kbs的线路下，可以采用VMware等VDI产品进行部署，用户可以使用平板电脑或者手机接入，访问自己的桌面环境，实现随时随地办公;2、在新建的全千兆网络环境下，同时业务应用比较简单的环境中，用户部署VDI桌面虚拟化后可以购买100元左右的云终端作为客户机，大大减少客户机的硬件投入，拉平在服务器上的硬件投入，使得总投资更加合理。

　　VDI虚拟桌面基础架构　虚拟桌面基础架构(Virtual Desktop Infrastructure，简称VDI)是许多机构目前正在评估的全新模式，它是基于早期的RDP协议和瘦客户机逐步演变而来的，也是目前国外VMware等国外虚拟化厂家长期鼓吹的模式。VDI旨在为智能分布式计算带来出色的响应能力和定制化的用户体验，并通过基于服务器的模式提供管理和安全优势。

　　它能够为整个桌面映像提供集中化的管理,但这一模式目前也存在着其固有的问题。主要表现为：因其利用硬件仿真及瘦协议，使得视频、Adobe Flash、IP 语音(VoIP)以及其它计算或图形密集型应用不适用于该模式，而且VDI 需要持久的网络连接，因此不适于要求离线移动性的场合。

　　此外，其基于服务器的模式对服务器的配置有极高的要求，这些问题的存在不能不让众多的用户重新考虑部署VDI的实际意义及成本。

　　从实际应用方面来分析，VDI模式还存在诸多需要解决的问题，而与之相关的虚拟化桌面，如远程托管桌面、远程虚拟应用程序、远程托管专用虚拟桌面、本地虚拟应用程序及本地虚拟操作系统等虚拟化桌面也都存在着各种问题;另外还有对终端硬件的支持问题、对网络及服务器硬件过度依赖的问题、以及数据安全性问题等。VOI虚拟操作系统基础架构　虚拟操作系统基础架构(Virtual OS Infrastructure，简称VOI)成为一个新的桌面虚拟化发展方向。

　　而在国内，和信最早推出了基于VOI桌面虚拟化架构的虚拟终端管理系统。VOI桌面虚拟化技术不仅可实现基于服务端的远程虚拟OS、APPS、UserProfiles的按需交付，也可实现基于客户端的本地缓存OS、APP及UserProfiles，这样不仅仅可利用终端本地资源处理计算及图形密集型应用，比如：如音视频、大型设计及工业软件等，也可支持各种计算机外设以适应复杂的应用环境及未来的应用扩展。

　　同时，对网络和服务器的依赖性将大大降低，即使网络中断或服务器宕机终端也可继续使用，数据可实现云端集中存储，也可实现终端本地加密存储，且终端应用数据不会因网络或服务端故障而丢失。

　　小结：相信最后大家阅读完毕本篇文章，肯定学到了不少知识吧?其实大家私下还得多多自学，当然如果大家还想了解更多方面的详细内容的话呢，不妨关注课课家教育平台，在这个学习知识的天堂中，您肯定会有意想不到的收获的!