桌面虚拟化之动态密码集成

虚拟桌面的兴起，让越来越多的用户可以通过互联网接入到企业内的桌面环境。企业得益于虚拟桌面技术带来了业务上的灵活及生产效率的提高。

但是，正是因为虚拟桌面将用户与企业桌面的距离拉近，所以理论上员工只要有权限、有网络就可以接入到企业中的桌面，接触到以前只能在企业里才可以看到的数据。而我们说的权限，一般只是一个用户名密码。一旦密码被截获、破解或者意外丢失都会给企业带来巨大的安全风险。

因此，围绕着密码这个安全元素来做研究的厂商越来越多，并且设计出专为保护密码的动态密码技术。

谈起动态密码，就不得不说RSA SecurID产品，作为密码token，它可以定时地生成新的密码，以避免普通静态密码造成的密码安全问题。

员工登录应用程序或系统时，现在只需要输入用户名和token上的数字（可选的输入token的pin码），即可完成用户的身份认证工作。

为了让大家更容易的理解，我将一个客户使用虚拟桌面的安全认证过程进行了抓图，供大家参考。在使用虚拟桌面+动态密码的方案中，最终用户需要经过两次的认证。

第一道认证为RSA securID动态密码的认证，如下图：

完成上一道的认证后，再进行第二道认证，即windows域用户的用户名密码认证：

只有经过这两道认证，用户才可以连接到数据中心的虚拟桌面。

您可能要问了，这个认证过程如何在虚拟桌面中进行配置呢？其实非常的简单，VMware VIEW中直接提供了对RSA动态密码和智能卡的支持，所以只需要在后台管理服务器上进行配置即可满足上述的需求。

对很多国内的企业或组织而言，对于安全产品有特殊的要求（如国家机关不允许使用国外的安全设备），所以对国内安全厂商的动态密码产品的支持，是虚拟桌面厂商必须要提供的功能之一。

近日，应客户的要求，我们和国内安全厂商一起进行了测试，并将用户使用的过程进行了抓图，分享给大家。

用户选择连接到的View管理服务器

用户输入静态的用户名和密码进行身份认证

经过身份认证后，用户可以看到有权限的桌面池，并进行连接桌面池

打开虚拟桌面窗口后，要求动态密码认证，只有成功完成这一步的认证，用户才能连接到真正的windows系统，进行办公。（为了避免广告嫌疑，对安全厂商的品牌进行了处理 :) ）

  

而上述的这一切，VMware View的软件都直接提供，并不需要进行任何的定制开发工作（其他同类厂商需要进行Gina二次开发才可以完成这一部的工作），归结最终原因是因为VMware View在系统开发设计时，提供了备用Gina的选项。

以下是VMware View Gina的注册表信息，供参考：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"GinaDLL"="\"C:\\Program Files\\VMware\\VMware View\\Agent\\bin\\wsgina.dll\""  （将默认的gina功能交由Vmware View Agent来完成）

"VdmGinaChainDLL"="MyGina.dll" （完成上一部的Gina调用后，系统会读取这部分的Gina选项）