10.1. На АРМ пользователей рекомендуется использование минимально необходимого для выполнения служебных обязанностей и регламентированного набора доступных портов ввода-вывода информации.
Техническими средствами и (или) организационными мерами рекомендуется организовывать контроль использования (портов) ввода-вывода информации АРМ пользователей.
10.2. Техническими и (или) организационными мерами рекомендуется ограничить возможность самостоятельного:
- изменения пользователем настроек АРМ, включая аппаратные и программные компоненты АРМ;
- подключения и использования пользователем дополнительных (несанкционированных) периферийных устройств, в том числе взамен ранее подключенных.
10.3. Для АРМ пользователей, используемых для доступа к виртуальным машинам, включенным в контур безопасности ПТП и контур безопасности ИСПДн, рекомендуется реализовать процедуры доверенной загрузки ОС.
10.4. Рекомендуется осуществлять идентификацию и аутентификацию пользователей серверными компонентами виртуализации до предоставления доступа к виртуальным машинам.
10.5. Для доступа пользователей к виртуальным машинам, включенным в контур безопасности ПТП и контур безопасности ИСПДн посредством АРМ пользователя, рекомендуется применять двухфакторную аутентификацию с использованием аппаратных средств.
10.6. Рекомендуется реализовать механизмы принудительной блокировки (выключения) сессии работы пользователя с виртуальной машиной, установленной с помощью компонента централизованного управления хост-серверами.
10.7. На АРМ пользователей, включенных в контур безопасности ПТП и контур безопасности ИСПДн, техническими средствами рекомендуется реализовать запрет нерегламентированного информационного обмена между программными процессами, используемыми для доступа пользователей к виртуальным машинам, и иными программными процессами с использованием общих, разделяемых ресурсов.
10.8. Создание базовых образов виртуальных машин, используемых при реализации технологии виртуализации рабочих мест пользователей, рекомендуется реализовать в соответствии с ролевой моделью предоставления доступа.
10.9. При загрузке виртуальной машины всегда рекомендуется использовать соответствующий базовый образ виртуальной машины. Средствами гипервизора и (или) иными техническими средствами рекомендуется реализовать запрет сохранения изменений в базовом образе виртуальной машины, произведенных в процессе работы виртуальной машины.
10.10. При реализации технологии виртуализации рабочих мест пользователей для каждого пользователя рекомендуется единовременно обеспечивать возможность работы только с одной виртуальной машиной в каждом из контуров безопасности.
10.11. Техническими средствами рекомендуется исключить возможность доступа пользователей к нескольким разным экземплярам виртуальных машин, включенных в один контур безопасности, с использованием одних (общих) аутентификационных данных.