Sicherheitsüberlegungen zu App-V 5.1
Dieser Artikel enthält eine kurze Übersicht über die Konten und Gruppen, Protokolldateien und andere sicherheitsbezogene Überlegungen für Microsoft Application Virtualization (App-V) 5.1.
Wichtig
App-V 5.1 ist kein Sicherheitsprodukt und bietet keine Garantien für eine sichere Umgebung.
PackageStoreAccessControl (PSAC)-Feature ist veraltet
Ab Juni 2014 ist das feature PackageStoreAccessControl (PSAC), das in Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) eingeführt wurde, sowohl in Einzelbenutzerumgebungen als auch in Umgebungen mit mehreren Benutzern veraltet.
Allgemeine Sicherheitsüberlegungen
Machen Sie sich mit den Sicherheitsrisiken vertraut. Das schwerwiegendste Risiko für App-V 5.1 besteht darin, dass seine Funktionalität von einem nicht autorisierten Benutzer gekapert werden könnte, der dann Schlüsseldaten auf App-V 5.1-Clients neu konfigurieren könnte. Der Verlust der App-V 5.1-Funktionalität für einen kurzen Zeitraum aufgrund eines Denial-of-Service-Angriffs hätte im Allgemeinen keine katastrophalen Auswirkungen.
Schützen Sie Ihre Computer physisch. Die Sicherheit ist ohne physische Sicherheit unvollständig. Jeder mit physischem Zugriff auf einen App-V 5.1-Server kann potenziell die gesamte Clientbasis angreifen. Alle potenziellen physischen Angriffe müssen als hohes Risiko betrachtet und angemessen entschärft werden. App-V 5.1-Server sollten in einem physisch sicheren Serverraum mit kontrolliertem Zugriff gespeichert werden. Schützen Sie diese Computer, wenn Administratoren nicht physisch anwesend sind, indem Sie den Computer vom Betriebssystem sperren lassen oder einen geschützten Bildschirmschoner verwenden.
Wenden Sie die neuesten Sicherheitsupdates auf alle Computer an.
Verwenden Sie sichere Kennwörter oder Passphrasen. Verwenden Sie für alle App-V 5.1- und App-V 5.1-Administratorkonten immer sichere Kennwörter mit mindestens 15 Zeichen. Verwenden Sie niemals leere Kennwörter. Weitere Informationen zu Kennwortkonzepten finden Sie unter Kontokennwörter und -richtlinien.
Konten und Gruppen in App-V 5.1
Eine bewährte Methode für die Benutzerkontenverwaltung besteht darin, globale Domänengruppen zu erstellen und ihnen Benutzerkonten hinzuzufügen. Fügen Sie dann die globalen Domänenkonten den erforderlichen lokalen App-V 5.1-Gruppen auf den App-V 5.1-Servern hinzu.
Hinweis
App-V-Clientcomputerkonten, die eine Verbindung mit dem Veröffentlichungsserver herstellen müssen, müssen Teil der lokalen Gruppe Benutzer des Veröffentlichungsservers sein. Standardmäßig sind alle Computer in der Domäne Teil der Gruppe Autorisierte Benutzer , die Teil der lokalen Gruppe Benutzer ist.
App-V 5.1-Serversicherheit
Während des Setups von App-V 5.1 werden keine Gruppen automatisch erstellt. Sie sollten die folgenden globalen Active Directory Domain Services-Gruppen erstellen, um App-V 5.1-Servervorgänge zu verwalten.
Gruppenname | Details |
---|---|
App-V-Verwaltungsadministratorgruppe | Wird zum Verwalten des App-V 5.1-Verwaltungsservers verwendet. Diese Gruppe wird während der Installation des App-V 5.1-Verwaltungsservers erstellt. Wichtig: Es gibt keine Methode zum Erstellen der Gruppe mithilfe der Verwaltungskonsole, nachdem Sie die Installation abgeschlossen haben. |
Datenbanklese-/Schreibzugriff für das Verwaltungsdienstkonto | Bietet Lese-/Schreibzugriff auf die Verwaltungsdatenbank. Dieses Konto sollte während der Installation der App-V 5.1-Verwaltungsdatenbank erstellt werden. |
Administratorkonto für app-V-Verwaltungsdienst installieren | Bietet öffentlichen Zugriff auf die Schemaversionstabelle in der Verwaltungsdatenbank. Dieses Konto sollte während der Installation der App-V 5.1-Verwaltungsdatenbank erstellt werden. Anmerkung: Dies ist nur erforderlich, wenn die Verwaltungsdatenbank separat vom Dienst installiert wird. |
Administratorkonto für App-V Reporting Service installieren | Öffentlicher Zugriff auf die Schemaversionstabelle in der Berichtsdatenbank. Dieses Konto sollte während der Installation der App-V 5.1-Berichtsdatenbank erstellt werden. Anmerkung: Dies ist nur erforderlich, wenn die Berichtsdatenbank separat vom Dienst installiert wird. |
Beachten Sie die folgenden zusätzlichen Informationen:
Zugriff auf die Paketfreigaben: Wenn eine Freigabe auf demselben Computer wie der Verwaltungsserver vorhanden ist, benötigt der Netzwerkdienst Lesezugriff auf die Freigabe. Darüber hinaus muss jeder App-V-Clientcomputer über Lesezugriff auf die Paketfreigabe verfügen.
Hinweis
In früheren Versionen von App-V wurde die Paketfreigabe als Inhaltsfreigabe bezeichnet.
Registrieren von Veröffentlichungsservern beim Verwaltungsserver: Ein Veröffentlichungsserver muss beim Verwaltungsserver registriert werden. Sie muss z. B. der Datenbank hinzugefügt werden, damit die Computerkonten des Veröffentlichungsservers die Verwaltungsdienst-API aufrufen können.
App-V 5.1-Paketsicherheit
Im Folgenden erfahren Sie, wie Sie sicherstellen können, dass virtualisierte Pakete sicher sind.
- Wenn ein Anwendungsinstallationsprogramm eine Zugriffssteuerungsliste (Access Control List, ACL) auf eine Datei oder ein Verzeichnis anwendet, wird diese ACL nicht im Paket beibehalten. Wenn das Paket bereitgestellt wird und die Datei oder das Verzeichnis von einem Benutzer geändert wird, erbt es entweder die ACL in %userprofile% oder erbt die ACL des Verzeichnisses des Zielcomputers. Der erste Fall tritt auf, wenn die Datei oder das Verzeichnis nicht an einem speicherort des virtuellen Dateisystems vorhanden ist. Der letztere Fall tritt auf, wenn die Datei oder das Verzeichnis an einem virtuellen Dateisystemspeicherort vorhanden ist, z. B. %windir%.
App-V 5.1-Protokolldateien
Während des App-V 5.1-Setups werden Setupprotokolldateien im Ordner %temp% des installierenden Benutzers erstellt.