NSA发布可信终端节点安全 (TENS) 虚拟机使用指南

编者按：受新冠疫情影响，美军远程办公需求激增。美军高级人员可以使用官方设备和安全工具访问涉密和非密网络，但大多数军方人员没有上述装备，使用VPN访问又造成国防部网络不堪重负。可信终端节点安全（TENS）是由美国空军开发管理的安全解决方案，可为美军远程办公提供安全服务。美国家安全局6月3日发布美国空军可信终端节点安全（TENS）虚拟机指南，介绍利用虚拟机启动TENS方法。奇安网情局编译相关情况，供读者参考。

TENS解决方案简介

美国空军可信终端节点安全（Trusted End Node Security, TENS）解决方案，允许授权的国防部远程工作人员，从不受信任的计算机连接到国防部站点和服务。国防部部分远程工作人员可能没有政府配备设备（GFE）用于远程工作。国家安全局建议，在不受信任的计算机上，使用TENS启动引导到一个临时、可信的操作系统，连接到国防部站点和服务。

推荐利用可移动介质启动TENS。如果用户计算机无法从可移动介质启动，或者其计算机使用统一可扩展固件接口（Unified Extensible Firmware Interface, UEFI）安全引导，就无法使用TENS。一些用户可能通过禁用统一可扩展固件接口（UEFI）安全引导启动TENS，但禁用安全引导增加了操作系统启动恶意软件的风险。

空军正在努力使TENS支持当计算机使用UEFI安全引导时可以加载，但在此之前，本指南将提供通过配置虚拟机启动TENS的说明。一旦TENS支持启用UEFI安全启动的计算机，国家安全局强烈建议使用可移动介质方法而不是虚拟机启动TENS。即使按本指南在虚拟机中运行TENS，也会让入侵用户计算机的敌人利用技术手段观察虚拟机中的所有活动，如屏幕捕捉、键盘记录等。请注意，TENS常见问题已说明，使用虚拟机不被认定为支持平台。

可以在虚拟机上使用TENS吗？

一般情况下可以。但我们不建议这么做，因为主机上的内核恶意软件仍然构成威胁。您应该能够将ISO镜像作为虚拟CD挂载到虚拟化环境中，然后让虚拟机从镜像启动。我们使用这些环境进行开发和快速测试，但尚未正式将其作为支持平台。您可以试用，但请记住，这不如直接启动进入TENS那样安全。我们不确定所有必要的硬件组件(如CAC阅读器)是否能正常工作，或者您能否使用更高的视频分辨率。我们将虚拟机列为不支持的平台。

TENS虚拟机前提条件

要使用TENS，并与国防部站点和服务进行认证，虚拟化软件必须满足以下条件：

1、软件必须有免费许可。

2、软件的免费许可必须允许政府使用。

3、该软件的免费许可以通过USB智能卡阅读器设备，从运行TENS的主机操作系统到访客操作系统，以便在TENS中可以使用通用访问卡（CAC）或个人身份验证卡（PIV）连接到国防部站点和服务。

4、许可软件必须为多个主机操作系统供应商提供跨平台支持。

5、许可软件必须得到供应商的支持。

例如，Oracle® Virtual Box®虚拟化软件可以满足上述要求。本指南阐述如何在Virtual Box 6.1.8中运行TENS 3.0.1 Public Deluxe版。只要满足上述前提条件，任何兼容的虚拟化软件都可以使用，尽管在编写本报告时，NSA无法指定满足在家远程工作的这些固有前提条件的其他软件。在开始之前：

1、下载并安装主机操作系统的Virtual Box平台包。

2、下载TENS Public Deluxe ISO文件或从您的单位获得TENS CD/DVD。

3、获取一个USB智能卡阅读器和一个PIV智能卡，如通用访问卡（CAC）。

本指南不介绍Virtual Box的安装，对于大多数用户来说，选择Virtual Box的默认安装选项即可。 安装过程中注意系统提示。Virtual Box可能提示用户授予权限，以便继续安装，并在后续运行期间获得授权。Virtual Box请求的权限是Virtual Box正确运行所必需的。

请注意，Virtual Box扩展包的许可增加了对USB 2.0和USB 3.0的支持，不允许商业或政府免费使用。USB智能卡阅读器应该向后兼容USB 1.1，这是Virtual Box默认支持的功能。

在基于Linux®的操作系统上安装Virtual Box，需要在为TENS配置虚拟机前执行重要的配置更改。配置更改允许用户在虚拟机中添加USB智能卡阅读器。打开一个终端，并运行以下命令将当前用户添加到vboxusers组：

sudo adduser $USERNAME vboxusers

运行该命令后，重新启动计算机。

在MacOS®2上安装Virtual Box，必须允许Oracle公司安装系统扩展。如果需要授予安装权限，那么在安装过程中将弹出一个警告框。安装过程可能需要在授予特权后再次启动。

在虚拟机中使用TENS

在启动TENS虚拟机前，不要将智能卡插入智能卡阅读器。即使使用外部USB智能卡阅读器，也不要将智能卡阅读器插入计算机。在Oracle VM Virtual Box Manager对话框中选择TENS虚拟机条目，然后单击绿色“开始”（Start）箭头图标，如图1所示，启动虚拟机。

图1：点击Start图标启动虚拟机

等待TENS启动弹出TENS用户协议对话框，如图2所示，该对话框在插入外部智能卡阅读器前出现。一旦TENS弹出用户协议对话框，请插入外部智能卡阅读器，然后单击OK按钮接受协议，以完成TENS启动过程。

图2：TENS用户协议对话框

请注意，对于苹果MacOS，会弹出一个对话框，要求授予Virtual Box监视按键的权限。同意该请求。VirtualBox需要重新启动才能使用该权限。

使用TENS虚拟机执行授权的国防部远程工作任务。只在需要时将智能卡插入智能卡阅读器。当智能卡未被活跃使用（例如，登录到受保护的站点或签署电子邮件）时，将智能卡从智能卡阅读器上移除。在远程工作完成后，确保所有的工作都被保存到授权地点，因为TENS关闭后数据将丢失。如果使用的是外部智能卡阅读器，在关闭TENS虚拟机前，要确保从阅读器上移除智能卡，并将外部智能卡阅读器从主机上拔出。

要关闭虚拟机，需从TENS环境中选择“关闭”（Shutdown）选项。即：单击“开始”（Start）菜单，然后选择“关闭”（Shutdown）。 或者，通过单击TENS虚拟机实例右上角的X图标，来关闭正在运行的TENS虚拟机实例窗口。当使用点击X图标关闭正在运行的TENS虚拟机实例时，在“关闭虚拟机”（Close Virtual Machine）对话框中选择“关机”（Power off the machine）按钮，如图3所示，然后单击OK按钮。切勿选择“保存机器状态”（Save the machine state）按钮，因为这样可能会在主机上的虚拟机文件中遗留敏感数据。

图3：Close Virtual Machine对话框

切记，当TENS虚拟机不使用时，将智能卡阅读器从主机上拔出，当智能卡不使用时，将智能卡从智能阅读器上移除。

参考文献

[1] Air Force Research Laboratory (2020). Trusted End Node Security. [Online] Available at: https://tens.af.mil/lipose.htm [Accessed May 20, 2020]

[2] Air Force Research Laboratory (2020). Trusted End Node Security - FAQs. [Online] Available at: https://tens.af.mil/liposeFAQ.htm [Accessed May 20, 2020]

[3] Oracle (2020). Downloads – Oracle VM VirtualBox. [Online] Available at: https://virtualbox.org/downloads [Accessed May 20, 2020]

[4] Air Force Research Laboratory (2020). Trusted End Node Security - Downloads. [Online] Available at: https://tens.af.mil/download.htm [Accessed May 20, 2020]

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。