Otimização de Desktop

Informações sobre implementação e gerenciamento de PCs e dispositivos corporativos

Como restringir o uso do Windows Virtual PC quando usamos o MED-V v2


imageGerenciamento é o maior benefício que as organizações buscam ao adotar o Microsoft Enterprise Desktop Virtualization (MED-V v2) para contornar problemas de compatibilidade de aplicações na migração do Windows XP para o Windows 7 Enterprise.

Em ambiente de alto controle o MED-V requer uma atenção especial, visto que por padrão ele permite que o usuário final manipule outras máquinas virtuais através do Windows Virtual PC (pré-requisito do MED-V), além de permitir que o usuário possa abrir todo o desktop do Windows XP virtual (como na figura acima).

Se isso para o seu ambiente pode ser um risco não de preocupe, a solução para aumentar a segurança do ambiente vem de um recurso nativo do Windows 7 Enterprise, o AppLocker.

Em primeiro lugar vamos entender qual o propósito de cada um dos executáveis do Windows Virtual PC, indicando quais são fundamentais, ou não, para o funcionamento do MED-V v2.

Executável Propósito Usado pelo MED-V?
VPC.EXE esse é o principal executável, usado por todas as máquinas virtuais SIM, fundamental
VMWINDOW.EXE permite carregar a máquina virtual em tela cheia (ver todo o desktop). Ele também abre a console com a relação das máquinas virtuais disponíveis no PC SIM, apenas se você permitir o acesso ao desktop completo do Windows XP virtual
VMSAL.EXE é o processo por trás da apresentação de cada aplicação virtual no Windows 7, com experiência similar ao RemoteApp do Remote Desktop Services (RDS) SIM, fundamental
VPCSETTINGS.EXE responsável pela tela de configuração de cada máquina virtual NÃO
VPCWIZARD.EXE usado pelo assistente de criação de nova máquina ou disco virtual NÃO

Com base nessa relação basta bloquear a execução dos executáveis que não são fundamentais, mantendo o MED-V funcionando ao mesmo tempo que bloqueia qualquer outra manipulação de máquinas virtuais pelo Windows Virtual PC.

Habilitando as regras de bloqueio via AppLocker:

A seguir vou repassar uma visão superficial da criação das regras do AppLocker. Se você ainda não conhece esse recurso eu recomendo consultar as páginas http://technet.microsoft.com/pt-br/library/dd759117.aspx e http://social.technet.microsoft.com/wiki/contents/articles/4222.aspx

O ideal é você manipular a GPO a partir do PC onde o aplicativo está instalado (Windows 7 com o Windows Virtual PC). Dessa maneira, antes de seguir o procedimento abaixo, faça a instalação/ativação das ferramentas de administração remota (RSAT) no Windows 7: http://j.mp/w7rsat

  1. Crie uma nova GPO e vincule à OU onde estão as contas de máquina que você quer testar. Crie uma regra nessa GPO para habilitar o serviço “Identidade do Aplicativo” (AppIDSvc) em modo automático, pois ele é pré-requisito do AppLocker.
  2. Dentro da edição dessa GPO expanda: Configuração do Computador -> Configurações do Windows -> Configurações de segurança -> Diretivas de Controle de Aplicativo –> AppLocker –>
  3. Clique com o botão direito do mouse em “Regras Executáveis”, escolha “Criar nova Regra…” e siga o assistente.
  4. Crie uma regra do AppLocker do tipo “Fornecedor” para cada um dos seguintes executáveis, todos na pasta C:\Windows\System32: VMWINDOW.EXE, VPCSETTINGS.EXE e VPCWIZARD.EXE, como na tela abaixo.
    Deixe cada regra no nível “Nome do arquivo” para que funcione independente da versão desses executáveis (figura abaixo)

image

Lembre-se de criar uma regra para permitir a execução de todos os executáveis (filtro ‘*’) por todos os usuários , pois caso contrário você pode bloquear a execução do próprio Windows. Você também pode habilitar as regras do padrão do AppLocker, conforme sugestão do próprio assistente.

Ao final do processo você terá as seguintes regras:

image

Lembre-se de clicar com o botão direito do mouse em “AppLocker” na console acima, escolher “Propriedades”, marcar o item “Regras executáveis”, e num primeiro momento escolha “Somente auditoria” (imagem abaixo):

image

Isso garante que você possa conferir através do “Visualizador de Eventos” se as regras foram aplicadas corretamente. Ao invés de bloquear os executáveis haverá apenas um registro no Visualizador de Eventos do Windows indicando tal ação. Consulte as páginas sobre AppLocker, indicadas no início desse artigo, para mais informações sobre isso.

Se as regras foram criadas corretamente você pode mudar o status para “Impor regras” e fazer o teste final.

Lembre-se que as regras do AppLocker são diretivas de máquina, mas você pode indicar qual grupo de usuário que elas devem ser aplicadas. Isso permite, por exemplo, bloquear o uso do Windows Virtual PC para os usuários de maneira geral, mas permitir que o time de suporte possa usá-lo plenamente.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: