Wirtualizacja desktopowa

Mocno utwardzony pod kątem pracy administratora system operacyjny jest mniej wygodny w użyciu od standardowej stacji roboczej, co zniechęca do pracy. Początkowo administratorzy instalowali dwie instancje systemu na różnych partycjach, ale mechanizm uprawnień systemu NTFS nie zapewniał separacji obu środowisk. Było to niewygodne, gdyż dwie instancje oznaczały konieczność każdorazowego restartu, by można było się przełączyć między systemami.

Ciekawym pomysłem, który oferuje rozwiązanie dylematu wygody i bezpieczeństwa, jest wirtualizacja na kliencie. Ofertę w tym zakresie mają obie najważniejsze firmy związane z wirtualizacją – Citrix i VMware. Zastosowanie dwóch obrazów różnych systemów operacyjnych wprost na kliencie umożliwia przypisanie zadań administracyjnych do mocno utwardzonego systemu klienckiego, a typowe czynności, które nie wymagają ponadstandardowych uprawnień, można realizować z drugiej maszyny wirtualnej, zawierającej standardową instalację Windows. Mamy do wyboru hypervisor pierwszego typu, pracujący bezpośrednio na sprzęcie (np. Citrix XenClient) oraz hypervisor drugiego typu (m.in. VMware Workstation lub VMware View z opcją Local Mode). Ten wymaga instalacji systemu operacyjnego, wewnątrz którego działa. W drugim wariancie system wyższego ryzyka (do przeglądania internetu) musi być umieszczony w maszynie wirtualnej. Dzięki izolacji wewnątrz wirtualizowanego środowiska ewentualna infekcja przez złośliwe oprogramowanie nie powoduje łatwego naruszenia bezpieczeństwa ważnej instancji systemu. Metoda sprawdza się w praktyce, dopóki stacja robocza administratora nie musi korzystać z niestandardowego sprzętu.

Przy korzystaniu z dwóch instancji systemu w dwóch maszynach wirtualnych należy zwrócić uwagę na zablokowanie na zaporze sieciowej wszelkiej komunikacji sieciowej między maszynami. Zabezpieczenia należy wdrożyć w obu systemach. Ponadto trzeba wyłączyć opcję współdzielonych folderów w ustawieniach maszyny wirtualnej VMware. Ciekawym produktem pod kątem pracy specjalistów IT jest Citrix XenClient Express. Jest to narzędzie, które korzysta z hypervisora pierwszego typu i umożliwia tanią budowę bezpiecznych stacji roboczych, ale bez centralnego zarządzania. Większych nakładów wymaga edycja XenClient XT, została ona jednak opracowana pod kątem organizacji o szczególnie wysokich wymaganiach związanych z bezpieczeństwem hostowanych tam systemów operacyjnych. Jeszcze mocniejsze zabezpieczenia oferuje rozwiązanie TVE firmy General Dynamics C4 Systems, dzięki któremu można uruchomić dwie instancje systemu różniące się poziomem ochrony danych. Rozwiązanie to posiada certyfikację Departamentu Obrony USA.

Nie przeglądać Internetu

Większość infekcji stacji roboczych przez złośliwe oprogramowanie rozpoczyna się od przełamania zabezpieczeń przez eksploita na stronie www. Obecnie włamywacze coraz rzadziej wykorzystują podatności samych przeglądarek, a raczej koncentrują się na wtyczkach, takich jak Java i Flash. Rozsądek nakazuje zatem, by ze stacji roboczej administratora w ogóle nie przeglądać internetu. Wspomniane dodatki, jeśli nie są niezbędne do obsługi firmowego oprogramowania, należy odinstalować ze stacji roboczej administratora. Przeglądanie internetu, korzystanie z poczty elektronicznej i inne podobne aktywności powinny się odbywać z osobnego systemu w maszynie wirtualnej.

Niszowy system

W wielu firmach na stacji administratora może działać Linux. System ten jest niszowy wśród stacji roboczych, a przy zachowaniu podstawowych zasad obsługi zapewnia dostateczne bezpieczeństwo. Za pomocą oprogramowania takiego jak VMware Workstation, Xen, KVM lub Oracle VirtualBox można wewnątrz niego uruchomić Microsoft Windows, dzięki czemu firmowe aplikacje będą działać w natywnym dla siebie środowisku. Większość narzędzi administracyjnych korzysta z interfejsu webowego i z powodzeniem pracują przy zarządzaniu z Firefoksa działającego pod Linuksem. Dostęp do pozostałych zasobów administracyjnych może odbywać się za pomocą Windows w maszynie wirtualnej, usługi zdalnego pulpitu albo klienta Citriksa czy VMware View.