辨識選擇性保留功能的目的是提供精確且未經修改的資料,以滿足法律、安全和運作需求。目前支援的使用案例允許在使用者因法律、事件回應或運作原因,而被置於「選擇性保留」狀態時,定期即時擷取與使用者桌面平台相關聯的資料。將使用者置於「辨識選擇性保留」狀態,會讓使用者的桌面平台暫時處於持續性狀態,從而避免重新整理或刪除 (「重新建立映像」) 桌面平台,並賦予管理員存取使用者桌面平台的權限,使其能夠以對使用者體驗影響最小的方式進行調查。
辨識選擇性保留功能如何運作
- 角色型存取控制
辨識功能由全域權限 FORENSICS 所控制。超級管理員可以將此權限指派給另一個稱為辨識管理員的管理員,但依預設,將不會為超級管理員啟用此權限。如需詳細資訊,請參閱《Horizon 管理》文件中的〈全域權限〉。
- 封存資料存放區
封存資料存放區是掛接的 NFS 或 VMFS,且全域設定在 LDAP 中。Horizon 8 會從 LDAP 讀取此設定,來判定封存資料的放置處。依預設,該設定會使用集區所在的同一資料存放區。
- 選擇性保留工作流程
- 將使用者置於保留狀態
只能在單一 AD 使用者層級套用保留。當辨識管理員使用 API 將使用者置於保留狀態時,會發生以下情況:
- 如果使用者已在使用虛擬機器,則這項保留會套用至其目前登入的虛擬機器,以及指派給該使用者的其他任何虛擬機器。
- 當該使用者登入虛擬機器時,Horizon 8 會將即時複製虛擬機器的狀態從無狀態變更為可設定狀態,但是可設定狀態的虛擬機器仍留在其原始集區中。
- 處於保留狀態的使用者仍會重新登入相同的虛擬機器,並查看先前對其桌面平台所做的所有變更。Horizon 8 不會以任何方式變更虛擬機器的內容。
- 管理主控台中的狀態指示器會顯示虛擬機器處於保留狀態。
- 在 vCenter 中會標記該虛擬機器,這樣 vCenter 管理員就知道不要變更它。
- 在保留期間
將使用者置於保留狀態後,辨識團隊可以存取可設定狀態的桌面平台以進行調查,並隨手擷取即時資料。對於這類資料擷取,辨識管理員可有下列選項可選。
- 使用
Archive
API。Archive
API 可以跨多部虛擬機器和多名使用者運作。當使用者未登入時,您只能封存個別的虛擬機器。如果使用者已登入,則需要將封存命令延遲到使用者登出後才能執行。封存作業如下:- 關閉虛擬機器。
- 合併所有磁碟。
- 合併所有快照。
- 將 VMDK 檔案複製到選取的封存位置。
- 將虛擬機器重新同步至目標映像。
- 使用您自己的指令碼或第三方工具。在這種情況下,您可以選擇是否僅封存 Hypervisor 記憶體、僅封存虛擬機器的 VMDK,還是同時封存 Hypervisor 記憶體和 VMDK。
isHeldUser 環境變數指出連線到工作階段的使用者是否為保留的使用者。根據此變數的值,您可以在保留的使用者登入桌面平台時觸發資料收集指令碼。當連線伺服器虛擬機器上執行指令碼主機服務時,可以觸發指令碼。如需詳細資訊,請參閱《Horizon 遠端桌面平台功能和 GPO》文件中〈啟用 VMware Horizon View 指令碼主機服務〉。
保留期間需要注意的事項:- 無法重新整理、復原、移除保留的虛擬機器,或將其置於維護模式。這僅適用於保留的虛擬機器,不適用於同一集區中的其他任何虛擬機器。
- 無法刪除含有已保留之虛擬機器的集區。
- 當設定集區自動縮小功能時,Horizon 8 會優先考量已保留的虛擬機器,因而不會遺失它。
- 當即時複製集區需要執行集區重新整理或修補程式更新時,有兩個選項可選:
- 當需要重新整理含有已保留之虛擬機器的集區,且未設定封存資料存放區時,推送映像會忽略這個可設定狀態的虛擬機器。如此會保存已保留的虛擬機器以進行辨識,且當使用者登入時,仍會將之導向至這個持續性虛擬機器。之後,必須使用個別的工具 (例如持續性虛擬機器) 來修補這些虛擬機器。
- 當需要重新整理含有已保留之虛擬機器的集區,且設定了封存資料存放區時,Horizon 8 會先對集區中的所有其他虛擬機器執行推送映像,然後封存已保留的虛擬機器。在封存已保留的虛擬機器後,Horizon 8 會對它們執行正常的推送映像程序。當已保留的使用者下次重新登入時,他們會取得一個全新的虛擬機器,該虛擬機器將變為可設定狀態的虛擬機器,並重複此程序。請注意,每次執行修補作業時,需要更多儲存區來複製和封存可設定狀態的虛擬機器。
- 使用
- 移除使用者的保留狀態
當辨識管理員使用 API 將使用者從保留狀態中釋放時,會發生以下情況。
- Horizon 8 會將虛擬機器重新轉換成無狀態虛擬機器。
- 使用者在下次登出時,虛擬機器會從最佳配置映像中刪除並重建,從而還原至全新狀態。
- 將使用者置於保留狀態
- 事件資料庫中的辨識作業
所有作業 (包括授予 FORENSICS 權限以及保留/釋放使用者) 都會被擷取到事件資料庫中。此作業可用來通知任何需要執行的指令碼。
使用 API 來執行辨識選擇性保留功能
您可以使用 Horizon API 來執行辨識選擇性保留功能,如下所述。對於每個 API,都有一個連結指向其 VMware {code} 網站上的說明文件。
- 建立辨識管理員角色並指派使用者
- 使用以下 API 來建立自訂的辨識管理員角色:
/config/v1/roles
可在此處找到此 API 的相關說明文件。
- 按照《Horizon 管理》指南的〈在 Horizon Console 中建立管理員〉中的指示,來指派自訂的辨識管理員角色。
- 使用以下 API 來建立自訂的辨識管理員角色:
- 指定用於封存的資料存放區
若要指定用來封存虛擬磁碟和記憶體的資料存放區,請使用以下 API:
/config/v1/virtual-centers/{id}/action/mark-datastores-for-archival
可在此處找到此 API 的相關說明文件。
- 讓使用者處於保留狀態
若要將使用者置於保留狀態,請使用以下 API:
/external/v1/ad-users-or-groups/action/hold
針對指派給已保留使用者的所有桌面平台,此 API 會傳回桌面平台識別碼、集區識別碼和機器狀態。您可以使用此警示資訊來觸發以指令碼編寫的資料收集。可在 此處找到此 API 的相關說明文件。在 vCenter 中,
ForensicHold
標記會套用至所有已保留之使用者所用的虛擬機器。 - 封存虛擬機器的虛擬磁碟和記憶體
若要封存虛擬機器的虛擬磁碟和記憶體,請使用以下 API:
/inventory/v1/machines/action/archive
可在此處找到此 API 的相關說明文件。
- 當使用者從保留的虛擬機器登出時,會進行封存。
- 在虛擬機器封存之後,它們會顯示在 vCenter 中
Archive
資料夾內的封存資料存放區 (如上述 API 中所指定)。 - 如果虛擬機器有多個磁碟,則只會封存主要磁碟。此版本不支援封存多個磁碟。
- 將使用者從保留狀態中釋放
若要將使用者從保留狀態中釋放,請使用以下 API:
/external/v1/ad-users-or-groups/action/release-hold
針對指派給已保留使用者的所有桌面平台,此 API 會傳回桌面平台識別碼、集區識別碼和機器狀態。您可以使用此警示資訊來觸發以指令碼編寫的資料收集。可在此處找到此 API 的相關說明文件。
- 列出保留的使用者
若要列出已保留的使用者,請使用以下 API:
/external/v1/ad-users-or-groups/held-users-or-groups
可在此處找到此 API 的相關說明文件。
- 列出保留的機器
若要產生目前處於保留狀態的機器清單,請使用以下 API:
/inventory/v3/machines
可在此處找到此 API 的相關說明文件。
備註: 此 API 將返回所有機器。在此回應中,處於保留狀態的虛擬機器會有"held_machine": true
值。