在VDI環(huán)境中，管理員需要確保組織對惡意軟件的防護(hù)，但是這個過程并不包含可能會引起問題的殺毒軟件。

對于虛擬桌面基礎(chǔ)設(shè)施（VDI）中的惡意軟件防護(hù)問題，目前還沒有被大家普遍接受的標(biāo)準(zhǔn)。每個VDI供應(yīng)商都使用自己的方式來實(shí)施防護(hù)計(jì)劃，所以現(xiàn)在VDI環(huán)境中還沒有明確的、詳細(xì)的教程來講解如何部署惡意軟件防護(hù)方案。但是，總體來說有三個方面需要進(jìn)行防護(hù)——VDI服務(wù)器、虛擬桌面鏡像和用戶配置文件夾。

VDI服務(wù)器防護(hù)

在大多數(shù)情況下，你都可以使用保護(hù)其他服務(wù)器的方法和技術(shù)來保護(hù)VDI服務(wù)器。然而，這個準(zhǔn)則中一個最大的例外是，對于運(yùn)行虛擬桌面的hypervisor需要進(jìn)行特別的考慮。

此外，根據(jù)使用的供應(yīng)商和產(chǎn)品的不同，具體情況也會存在很大差異。即便是這樣，在惡意軟件掃描流程中也需要排除一些流程和文件夾。比如，在微軟的環(huán)境中，你必須排除所有構(gòu)成虛擬桌面的虛擬硬盤。還有一些特定的系統(tǒng)文件夾需要被排除。根據(jù)使用的特定hypervisor類型來查詢文檔以決定你的惡意軟件防護(hù)需求。

保護(hù)虛擬桌面鏡像

除此之外，鏡像保護(hù)的方式依賴于你正在使用的產(chǎn)品，但是通常最簡單的方式可能是將殺毒軟件直接安裝到虛擬桌面鏡像中。即便如此，這種方式也不總是最好的方案。首先，掃面過程會影響虛擬桌面的性能表現(xiàn)。其次，需要保持殺毒軟件的實(shí)時更新。

通常在VDI環(huán)境中，虛擬桌面鏡像都是靜態(tài)的。每臺單獨(dú)的虛擬桌面都使用連接到靜態(tài)虛擬桌面鏡像的差分磁盤。在這種情況下，虛擬桌面鏡像面臨著一些被感染的風(fēng)險，因?yàn)殓R像是只讀的。因此，需要在將鏡像投入到生產(chǎn)環(huán)境之前對其進(jìn)行掃描，而不是嘗試在運(yùn)行過程當(dāng)中對其進(jìn)行監(jiān)測。

保護(hù)用戶配置文件夾

對于惡意軟件防護(hù)來說，用戶配置目錄是到目前為止最為困難的一部分。這些目錄存儲了終端用戶創(chuàng)建的所有文件和文件夾。通常，用戶個人配置目錄被存放在差分磁盤上。

在用戶配置目錄當(dāng)中通常有兩種潛在的惡意軟件問題主要來源。首先，其中包含了用戶自己的文檔。其次，用戶的瀏覽器緩存也可能成為感染源。

你可以使用多種技術(shù)來保護(hù)用戶個人配置目錄，但是有一種最好的方式。使用這種方式，數(shù)據(jù)文件被重定向到文件服務(wù)器或者用戶存儲設(shè)備的SharePoint服務(wù)器（服務(wù)器包含了自己的惡意軟件防護(hù)措施）上。這樣可以防止任何實(shí)際的數(shù)據(jù)存儲在用戶配置文件當(dāng)中。

因?yàn)椴]有數(shù)據(jù)存儲在用戶配置目錄當(dāng)中，在所有VDI會話結(jié)束時，差分磁盤上存儲的用戶配置文件會被清空。通過這種方式，任何可能從互聯(lián)網(wǎng)上下載的惡意文件都會在會話結(jié)束時和瀏覽器緩存中的其他內(nèi)容一起被清除。因此，用戶每次建立連接時獲得的都是最初的狀態(tài)。

要記得這只是保護(hù)用戶配置文件的一種方式，其并不適用于所有情況。對于需要更高安全等級的組織來說，應(yīng)該忽略性能因素，而在單獨(dú)的虛擬機(jī)內(nèi)運(yùn)行防惡意軟件。

保護(hù)虛擬機(jī)不受惡意軟件攻擊是一種平衡的藝術(shù)。需要在安全和性能之間保持平衡?？傊?，你必須通過某種方式實(shí)現(xiàn)惡意軟件防護(hù)，避免底層的虛擬化主機(jī)受到影響。