Развертывание виртуальных рабочих столов Citrix с подключением MFA и СКУД

Задача

Клиент — крупная организация с распределённой структурой — использовал физические рабочие станции, что создавало риски:

• потери данных при выходе оборудования из строя,
• сложность обновления и поддержки «золотых образов»,
• отсутствие централизованного контроля доступа.

Было решено перейти на виртуальные рабочие столы с обязательными условиями:

• полное локальное развёртывание (без облака),
• многофакторная аутентификация (MFA) при подключении,
• интеграция с существующей системой контроля доступа (СКУД),
• поддержка как офисных, так и мобильных пользователей.

Решение

Мы выбрали платформу Citrix Virtual Apps and Desktops — как наиболее зрелое решение для enterprise-сред, и дополнили её российскими компонентами безопасности.

Архитектура

• Delivery Controllers (2 шт.) — в отказоустойчивом кластере,
• StoreFront (4 сервера) — для балансировки нагрузки и отказоустойчивости,
• SQL Server — выделенный экземпляр для базы конфигурации,
• VDA-машины — Windows 10/11, развёрнутые на локальных гипервизорах,
• MFA — на базе российского решения «Мультифактор»,
• СКУД — интеграция через LDAP и события физического входа.

Этапы внедрения

1. Интеграция с каталогом: все пользователи — в Active Directory, с синхронизацией с системой СКУД (через общие идентификаторы карточек).
2. Настройка MFA: при подключении к StoreFront пользователь проходит аутентификацию через «Мультифактор» — push-уведомление в мобильное приложение или одноразовый код. Для администраторов — аппаратные токены.
3. Связка с СКУД: если сотрудник не прошёл физическую аутентификацию (не приложил карту к турникету), его учётная запись временно блокируется в AD — и он не может подключиться к виртуальному рабочему столу, даже зная логин и пароль.
4. Управление образами: развёрнута система актуализации «золотых образов» — обновления, патчи, установка 1С и Касперского происходят централизованно, без участия пользователей.
5. Поддержка USB-устройств: настроено перенаправление сканеров, принтеров и токенов в сессию VDA с шифрованием трафика.

Особое внимание уделено безопасности сессий: трафик шифруется от клиента до VDA, clipboard ограничен, запрещено сохранение файлов на локальном устройстве.

Результат

• Все пользователи работают с виртуальных рабочих столов, размещённых в локальном ЦОД.
• Утечка данных сокращена до минимума: даже при краже ноутбука злоумышленник не получит доступ к данным без второго фактора.
• СКУД и ИТ-безопасность работают как единая система: физический и логический доступ синхронизированы.
• Обновление ПО и ОС происходит централизованно, без простоев пользователей.
• Система полностью независима от облака, соответствует требованиям по локализации и суверенитету ИТ.
• Время восстановления после сбоя рабочего места — менее 5 минут (переподключение к новой сессии).

Сегодня виртуальная среда — не просто «удалёнка», а основа безопасной и управляемой рабочей среды, соответствующей как бизнес-требованиям, так и нормам регуляторов.