虛擬桌面裝置｜Check Point Abra 將隨身碟分割為2個磁區 並提供加密保護

Abra是一款具備虛擬桌面功能，訴求安全連網的隨身碟，讓使用者可以在外部的其他電腦，套用與工作環境相同的桌面設定，依容量不同，可以分為4GB、8GB等2種規格。

透過內建的連線工具，使得Abra可以連接遠端的Check Point防火牆，建立VPN通道，同時更新政策，決定使用者能在虛擬桌面環境使用的應用程式種類，及列印資料、切換到底層實體桌面的權限；另外，連線過程中，Abra也能對於底層的系統環境，執行類似於NAC的完整性檢查，避免惡意程式透過使用者連線到VPN的機會，產生安全問題。

透過Check Point防火牆管理裝置運作

就管理方式而言，Abra是搭配Check Point防火牆，做為管理伺服器使用，只要是R65以後的版本，包含我們這次測試使用的R70，及最新的R71，在安裝升級程式後，就可以在SmartCenter主控臺設定這款產品的各項功能，而Check Point也預計推出可以單獨安裝的管理伺服器套件，以便因應不同的管理需求，部署產品。

Abra是透過SSL VPN連線到企業內部。因此，我們需要在Check Point防火牆開啟SSL VPN的訪客模式（Visitor Mode），讓外部使用者透過 SSL專屬的TCP 443埠穿透防火牆，利用反向代理的方式，連結後端的內部網路；另外，還需要在「VPN Clients」的設定選項，開放讓Endpoint Connect and USB-1，也就是Abra，做為SSL VPN的用戶端裝置，至此，相關的設定才算完成。

將隨身碟分割為2個磁區，並提供加密保護

Abra將隨身碟的Flash記憶體分割成2個磁區，分別放置虛擬桌面的執行程式，及韌體、政策設定與使用者儲存在虛擬桌面的檔案；目前這款產品支援的作業系統，以Windows XP以後的微軟32位元個人端平臺為主（包含Windows 7），至於64位元的環境，原廠表示，預計在今年第3季推出的新版韌體，將會提供支援。

將Abra插入電腦的USB埠，隨身碟內部的2個磁區，分別會以光碟機，及卸除式磁碟的型式顯示，但韌體等其他資料所在的後者經過加密，因此無法直接開啟，以防止儲存的資料遭到外洩。

執行光碟機內的Abra.exe檔，就會啟動虛擬桌面的功能，載入成功後，在虛擬及底層系統桌面的右下方，皆會出現一個螢幕圖示常駐，透過滑鼠點選之後，就可以在2種不同的桌面環境間做切換。

全新狀態下的Abra，需要由使用者設定1組8個字元長度的複雜性密碼，做為是否具備登入虛擬桌面權限的驗證依據，若是密碼連續輸入錯誤達到7次（最後3次會在登入畫面顯示警告訊息），則裝置會鎖住，無法繼續進行登入的動作，這時必須要由管理者手動解鎖，或者利用Abra本身的工具程式，將隨身碟格式化，清除所有儲存的資料及設定，才能繼續使用。

相較於早期版本的Abra韌體，我們這次借測的新版本已有虛擬鍵盤的功能，防止輸入密碼時，被植入於底層系統的鍵盤側錄程式所竊取。

Abra主要的使用對象，是透過公眾電腦，連回企業內部的員工，由於電腦本身已有可能遭受惡意程式的植入，因此，Abra並不允許電腦的底層環境連線至虛擬桌面，僅能透過虛擬桌面上方的工具列，將檔案從底層匯入，或者匯出，而匯出的檔案，則會放置在底層系統桌面的「Downloaded from Abra」資料夾。

Abra的虛擬桌面，樣式和底層系統的桌面相差無幾，應用程式的部份，主要是套用自底層系統，展開「開始」工具列後，可以看到我們能在虛擬桌面能夠啟用的應用程式種類，但由於受到伺服器政策的控管，因此可以使用的應用程式數量，會比底層系統要來得少。

SmartCenter本身已經內含多種應用程式的管理政策，我們只需要做開、關的切換，或者將這份清單由預設的白名單，變更為黑名單，便能允許，或封鎖底層系統的特定應用程式在虛擬桌面的環境當中執行。

當需要管理的應用程式不在內建的政策列表時，就必須自行定義，一般來說，僅需要輸入應用程式，及執行檔安裝於電腦上的路徑，便能完成政策的新增，若是僅需要針對特定版本的應用程式做控管，則可在政策設定的MD5欄位，輸入執行檔的雜湊值，以便精確辨認。

連線過程中，可以透過完整性檢查功能，掃描底層桌面的安全設定

執行虛擬桌面上的「Connect to Site」圖示，啟動內建的VPN連線工具，輸入「伺服器IP：443」的位址後，Abra便能連接到Check Point防火牆，隨後會帶入使用者驗證的視窗，要求我們在視窗所列的本機帳號（含LDAP、RADIUS帳號）、憑證等4種方式中，透過一種檢查使用者連接SSL VPN的權限，而這裡同樣可以使用虛擬鍵盤輸入驗證所需的身分資料，連線成功後，在虛擬桌面的右下方會出現一個動態的地球圖示，顯示SSL VPN的通道已經建立。

當管理者對於Abra的設定有任何修改，在下一次SSL VPN連線建立時，就會派送到裝置，此時，工具列上的重新載入鍵會變成綠色，並出現提示訊息，要求我們重新啟動虛擬桌面，以便讓變更生效。

Abra的韌體可在連線同時，透過網路同步更新，而管理者僅需將韌體事先放置於管理伺服器，待下一次SSL VPN連線建立時，韌體就會自動傳送到裝置做更新，無需將裝置攜回企業維護。

Abra可以整合Check Point防火牆的完整性檢查功能，檢查底層系統的環境，是否已執行企業所要求的防護產品，或者檢查系統內部的機碼。隨後，可根據掃描結果，決定僅做記錄，或者是僅有狀態符合要求的電腦才可以進入內部網路，而除了軟體的執行狀態外，這項功能也可以一併檢查產品的更新狀態，避免因為更新時間的落差，使得惡意程式照樣可以造成破壞。

虛擬桌面的上方有一個工具列，可以由此交換虛擬、底層系統的桌面的檔案，及更新Abra的政策設定。

Abra可以整合Check Point防火牆的完整性檢查功能，檢查底層桌面環境是否已執行所要求的防護產品。

SmartCenter已經內建多種應用程式的管理規則，只需要手動切換，就可以允許，或封鎖底層系統的特定應用程式在虛擬桌面的環境中執行。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】