Коротко — да, текущая схема с «рабочими станциями в WORKGROUP + локальная учётка без пароля + автозапуск Horizon» рискованна. Физический клиент остаётся потенциальной точкой входа в сеть (кража/подмена образа, локальный malware, перехват сессии, кража/подмена учётных данных) и ослабляет контроль, который даёт домен/MDM. Ниже — конкретные угрозы и практические рекомендации (с приоритетами, конкретными настройками и примерами), которые можно внедрить быстро и в среднесрок/долгосрочной перспективе.
Главные угрозы
- Физический доступ/кража устройства: доступ к локальным учёткам, загрузке с USB, изменение настроек BIOS/UEFI.
- Нулевые/слабые пароли локальных учётных записей: легкая эскалация и сохранение бэкдора.
- Автологин/автозапуск клиента: сессия можно перехватить, подменить клиент, выполнить локальный код.
- Лёгкая компрометация клиента → перехват учётных данных (keylogger, скриншоты), MITM, перенаправление USB/дисков в VDI.
- Отсутствие централизованного управления/патчинга: уязвимости Windows/клиента не закрываются.
- Неправильная конфигурация vCenter/ESXi/Horizon → атакующий получает доступ к инфраструктуре VDI.
Немедленные (высокий приоритет) меры — что сделать в первую очередь
1. Запретить локальные учётки без пароля
- Удалить/запретить локальные учётки без пароля. Отдельно разрешить только управляемые учётки с уникальными сложными паролями.
- Политика паролей: минимум 12 символов, сочетание букв/цифр/символов, минимальный срок жизни по ситуации (ротация для сервисных/киоск-учёток).
2. Отключить автологин локального пользователя
- Убрать автозапуск обычного Windows-пользователя. Если нужен автозапуск Horizon, делать это в сильно заизолированной «киоск»-учётке с ограниченными правами и регулярно менять её пароль централизованно.
3. Запрет USB/внешних носителей в BIOS/ОС
- Включить Secure Boot, выставить пароль BIOS/UEFI, отключить загрузку с USB/CD. Если нельзя отключить физически — сделать политикой.
4. Сегментация сети
- Перенести тонкие клиенты в отдельный VLAN с минимальным доступом: разрешить трафик только к Horizon Connection Server / Unified Access Gateway и DNS/ DHCP. Запретить доступ в management VLAN, к vCenter, к серверам AD и прочим сервисам.
5. Настроить firewall/ACL на уровне сети
- Разрешать только нужные порты и адреса (Horizon: HTTPS 443, Blast 8443/UDP/TCP, PCoIP 4172 и т.д. — открыть только необходимые, через Gateway/Proxy).
6. Включить шифрование и проверку сертификатов
- Horizon/Connection Servers, vCenter, ESXi — все с корректными выписанными/утверждёнными сертификатами (не самоподписные в проде). Включить TLS 1.2/1.3, отключить устаревшие алгоритмы.
Короткий план на среднесрочную перспективу (1–3 месяца)
1. Централизованное управление тонкими клиентами
- Перенести устройства под управление MDM/Endpoint management (Microsoft Intune / VMware Workspace ONE / фирменный менеджер тонких клиентов). Это позволит централизованно менять пароли, обновлять софт, разворачивать политики.
2. Присоединить устройства к домену или Enroll в MDM
- Лучшее — вернуть физические машины в AD или, если политика не позволяет, зарегистрировать в MDM/Azure AD. Это даёт централизованные GPO/политики и LAPS.
3. Управление локальными паролями
- Внедрить LAPS для доменных машин. Если устройства не в домене — использовать альтернативы: Workspace ONE, MDM-скрипты или коммерческие решения для ротации паролей киоск-учётки.
4. MFA для доступа к VDI
- Обязательно включить многофакторную аутентификацию на уровне Horizon (SAML/Radius/Okta/DUO) особенно для внешнего доступа и для админов vCenter/Horizon.
5. Ограничение функциональности клинета
- Через политики Horizon отключить client drive redirection, clipboard redirection, USB redirection (или разрешать только для нужных групп), принтеры по необходимости.
6. Патчинг и EDR
- Поставить EDR/AV на образах гостевых машин (VDI) и на управляющих серверах (vCenter, Connection servers). Обновлять ESXi и vCenter по плану.
Рекомендации по настройкам Horizon / VDI
- Включить True SSO и/или интеграцию с AD и MFA (уменьшает риск передачи паролей).
- Отключить или сильно ограничить перенаправления:
- Client drive redirection = Disabled
- Clipboard redirection = Disabled (или разрешать только копию текста, если нужно)
- USB redirection = Disabled (или allow list конкретных устройств на группу)
- Printer redirection = Разрешать через vPrint/NLA, а не прямой access
- Session timeout & disconnect:
- Idle disconnect = 15–30 минут (в зависимости от политики)
- Forced logoff after X time (по безопасности)
- Политики доступа:
- Запрет многократных одновременных сессий по учетке, если нужно.
- Ограничивать доступ по политике Horizon Apps/Desktops per AD group.
- Шифрование трафика Blast/PCoIP, принудительно TLS1.2+, отключить SSL3/TLS1.0/1.1.
- Установить Access Point/Unified Access Gateway для доступа извне и не открывать internal Connection Servers наружу.
vSphere / ESXi / vCenter — конкретные жесткие меры
- Изолировать management сеть: ESXi hosts и vCenter management на отдельной сети, доступ только с jump server и через ограниченные IP.
- Lockdown Mode на ESXi где применимо.
- Использовать vCenter role-based access и ограничить привилегии админу. Включить MFA для vCenter.
- Обновлять ESXi и vCenter по расписанию, применять VMware Security Advisories.
- Замена самоподписанных сертификатов в vCenter/ESXi на CA-подписанные.
- Включить аудит и централизованный сбор логов (syslog на SIEM).
- Рассмотреть VM Encryption для особо чувствительных рабочих столов/данных (требует KMS).
Холодная жёсткая защита на клиентской стороне (физические ПК)
- Если возможно — использовать специализированные thin/zero client OS (Linux-based/firmware) вместо полноценных Windows 11. Они легче в фиксированном режиме и сложнее скомпрометировать.
- Если Windows 11 остаётся — создать очень ограничённый «киоск» профиль (Assigned Access / Shell Launcher), убрать все лишние приложения/сервисы.
- BitLocker + TPM для местных дисков (если локально хранится что-то важное).
- BIOS/UEFI пароль, Secure Boot, отключение Boot from USB.
- Физическая защита: закрепление устройств, замки на корпусе.
Управление образами VDI и гостевых ОС
- Golden image: настроенный шаблон с EDR, обновлениями, минимальным набором ПО. После патча — пересоздать образ и развернуть.
- Удалять локальные админ-права у пользователей в гостевых VDI. Управлять обновлениями централизованно.
- Настроить snapshot / revert policy: при завершении сессии восстанавливать чистый десктоп (persistent vs non-persistent решения).
- Настроить профили пользователей (FSLogix / UEM) для управления данными.
Мониторинг, логирование и реагирование
- Собирать логи Horizon, vCenter, ESXi, Connection Server, Unified Access Gateway в SIEM (например, Splunk, Elastic, QRadar).
- Пороговые оповещения: множественные неудачные логины, аномальная активность сессий, подключение новых MAC/IP.
- EDR на endpoints/servers + сетевые IDS/IPS.
- План реагирования: как отключать скомпрометированные пользователи/устройства, как быстро деприватизировать VDI-пулы.
Политики и операционные практики (рекомендуемые значения)
- Пароли: длина >=12, сложность, истечение 90 дней (или использовать MFA + длинные пароли/семантические правила).
- Блокировка учётной записи: блокировать после 5 неудач в 15 минут.
- Idle timeout: 15–30 минут + авто-логoff после заданного времени.
- Ротация паролей киоск-учёток: автоматическая/через MDM, минимум раз в неделю/при смене персонала.
- Привилегированные учетные записи: отдельное управление, 2FA обязательна.
Пошаговый план внедрения (практичный)
1. Немедленно (1–2 недели)
- Убрать учётки без пароля; отключить автологин.
- Разделить сеть: выделить VLAN для тонких клиентов, закрыть доступ к management.
- Отключить USB/drive/clipboard redirection в Horizon по дефолту.
2. Короткий срок (1–3 месяца)
- Внедрить MDM/менеджер тонких клиентов; централизованно управлять паролями киоск-учёток.
- Включить MFA для Horizon и админ-панелей.
- Включить мониторинг логов, настроить оповещения.
3. Средний срок (3–6 месяцев)
- Присоединить устройства к AD / перевести на управление Workspace ONE / Intune.
- Перейти на специализированные thin/zero- clients либо построить безопасный kiosk-mode на Windows.
- Обновить политики VDI, включить True SSO, шифрование VM (если нужно).
4. Долгосрочно
- Внедрить zero-trust подход, NSX микросегментация, периодические pentest/аудит, автоматизацию развертывания пачтей и образов.
Дополнительные практические замечания
- LAPS работает для доменных машин. Если не хотите доменить — используйте MDM/Workspace ONE для автоматической ротации паролей киоск-учёток.
- Не используйте обычные рабочие аккаунты в качестве автологин-учёток.
- Контролируйте физический доступ: камеры, замки, политка пропуска.
- Тестируйте изменения в тестовом пуле VDI, прежде чем массово выкатывать.
Если нужно — могу:
- Составить конкретный чеклист настроек для Horizon (как включить/отключить нужные политики и где они в консоли).
- Подготовить пример GPO / Intune-политик для перехода Windows в kiosk-mode и отключения USB/drive.
- Помочь с планом по миграции машин в AD/MDM и внедрению LAPS/2FA.
Хочешь, начнём с оперативного чеклиста на ближайшие 7 дней (что сделать прямо сейчас)?