Freigeben über

Überlegungen zur Sicherheit für UE-V 2.x

  • Artikel

Letzte Aktualisierung: August 2015

Betrifft: User Experience Virtualization 2.0, User Experience Virtualization 2.1

Dieses Thema enthält einen kurzen Überblick über Konten und Gruppen, Protokolldateien und andere sicherheitsrelevante Überlegungen für Virtualisierung der Benutzerfreundlichkeit von Microsoft (UE-V) 2.0, 2.1 und 2.1 SP1. Weitere Informationen erhalten Sie über die bereitgestellten Links.

Sicherheitsüberlegungen für die Konfiguration von UE-V

Wichtig

Begrenzen Sie beim Erstellen der Freigabe für den Einstellungsspeicher den Zugriff auf die Freigabe auf die Benutzer, die den Zugriff wirklich benötigen.

Da Einstellungspakete persönliche Informationen enthalten können, sollten Sie sie so gut wie möglich schützen. Beachten Sie grundsätzlich Folgendes:

  • Beschränken Sie den Zugriff auf die Freigabe auf die Benutzer, die ihn benötigen. Erstellen Sie eine Sicherheitsgruppe für Benutzer, die umgeleitete Ordner in einer bestimmten Freigabe haben, und beschränken Sie den Zugriff nur für diese Benutzer.

  • Wenn Sie eine Freigabe erstellen, blenden Sie die Freigabe aus, indem Sie ein $ an den Freigabenamen anhängen. Auf diese Weise wird die Freigabe in den üblichen Browsern und in der Netzwerkumgebung nicht angezeigt.

  • Gewähren Sie Benutzern nur die minimal erforderlichen Berechtigungen. Die folgende Tabelle enthält die erforderlichen Berechtigungen.

    1. Legen Sie für den Ordner mit dem Einstellungsspeicherort die folgenden SMB-Berechtigungen auf Freigabeebene fest:

      Benutzerkonto Empfohlene Berechtigungen

      Jeder

      Keine Berechtigungen

      Sicherheitsgruppe von UE-V

      Vollzugriff

    2. Legen Sie die folgenden NTFS-Dateisystemberechtigungen für den Ordner mit dem Einstellungsspeicherort fest:

      Benutzerkonto Empfohlene Berechtigungen Ordner

      Ersteller/Besitzer

      Keine Berechtigungen

      Keine Berechtigungen

      Domänen-Admins

      Vollzugriff

      Dieser Ordner, Unterordner und Dateien

      Sicherheitsgruppe von UE-V-Benutzern

      Ordner auflisten/Daten lesen, Ordner erstellen/Daten anhängen

      Nur dieser Ordner

      Jeder

      Alle Berechtigungen entfernen

      Keine Berechtigungen

    3. Legen Sie für den Ordner mit dem Einstellungsvorlagenkatalog die folgenden SMB-Berechtigungen auf Freigabeebene fest.

      Benutzerkonto Empfohlene Berechtigungen

      Jeder

      Keine Berechtigungen

      Domänencomputer

      Leseberechtigungsstufen

      Administratoren

      Lese-/Schreibberechtigungsstufen

    4. Legen Sie die folgenden NTFS-Berechtigungen für den Ordner mit dem Einstellungsvorlagenkatalog fest:

      Benutzerkonto Empfohlene Berechtigungen Anwenden auf

      Ersteller/Besitzer

      Vollzugriff

      Dieser Ordner, Unterordner und Dateien

      Domänencomputer

      Berechtigung für Ordnerinhalt auflisten und Lesen

      Dieser Ordner, Unterordner und Dateien

      Jeder

      Keine Berechtigungen

      Keine Berechtigungen

      Administratoren

      Vollzugriff

      Dieser Ordner, Unterordner und Dateien

Verwenden von Windows Server ab Windows Server 2003 zum Hosten umgeleiteter Dateifreigaben

Paketdateien mit Benutzereinstellungen enthalten persönliche Information, die zwischen dem Clientcomputer und dem Server, auf dem die Einstellungspakete gespeichert werden, übertragen werden. Daher müssen Sie sicherstellen, dass die Daten bei der Übertragung im Netzwerk geschützt sind.

Benutzereinstellungsdaten sind anfällig für die folgenden potenziellen Sicherheitsbedrohungen: Abfangen der Daten beim Transport über das Netzwerk, Manipulation der Daten beim Transport über das Netzwerk und Spoofing des Servers, auf dem die Daten gehostet werden.

Einige Betriebssystemfeatures ab Windows Server 2003 können beim Schützen von Benutzerdaten helfen:

  • Kerberos – Kerberos ist standardmäßig auf allen Versionen von Microsoft Windows 2000 Server und Windows Server ab Windows Server 2003 vorhanden. Kerberos garantiert die höchste Sicherheitsstufe für Netzwerkressourcen. Mit NTLM wird nur der Client authentifiziert; Von Kerberos werden Server und Client authentifiziert. Bei Verwendung von NTLM ist für den Client nicht ersichtlich, ob der Server gültig ist. Dieser Unterschied ist insbesondere dann wichtig, wenn vom Client persönliche Daten mit dem Server ausgetauscht werden, wie es bei servergespeicherten Benutzerprofilen der Fall ist. Kerberos bietet eine höhere Sicherheit als NTLM. Kerberos steht bei Microsoft Windows NT Server 4.0 oder älteren Betriebssystemen nicht zur Verfügung.

  • IPsec: Das IPsec-Protokoll (IP Security Protocol) bietet Authentifizierung, Datenintegrität und Verschlüsselung auf Netzwerkebene. Von IPsec wird Folgendes garantiert:

    • Per Roaming übertragene Daten sind während der Übermittlung vor Datenmanipulationen geschützt.

    • Per Roaming übertragenen Daten können nicht abgefangen, angezeigt oder kopiert werden.

    • Per Roaming übertragene Daten sind vor dem Zugriff durch Unbefugte geschützt.

  • SMB-Signatur: Das Server Message Block-Authentifizierungsprotokoll unterstützt die Nachrichtenauthentifizierung. Dadurch werden Angriffe mithilfe aktiver Nachrichten sowie „Man-in-the-Middle“-Angriffe verhindert. Die SMB-Signatur bietet diese Authentifizierung, indem in jedes SMB-Paket eine digitale Signatur eingefügt wird. Die digitale Signatur wird dann vom Client und dem Server überprüft. Zur Verwendung der SMB-Signatur müssen Sie diese entweder zuerst aktivieren oder auf dem SMB-Client und dem SMB-Server anfordern. Beachten Sie, dass SMB-Signaturen zu Leistungseinbußen führen. Sie beanspruchen zwar nicht mehr Netzwerkbandbreite, erfordern aber mehr CPU-Zyklen auf dem Client und dem Server.

Verwenden Sie für Volumes mit Benutzerdaten immer das NTFS-Dateisystem

Konfigurieren Sie Server, auf denen sich die UE-V-Einstellungsdateien befinden, mit dem NTFS-Dateisystem, um eine besonders sichere Konfiguration zu erzielen. Im Gegensatz zum Dateisystem FAT unterstützt NTFS besitzerverwaltete Zugriffssteuerungslisten (DACL, Discretionary Access Control List) und System-Zugriffssteuerungslisten (SACL, System Access Control List). Über DACLs und SACLs wird gesteuert, wer Vorgänge für eine Datei ausführen kann und welche Ereignisse das Protokollieren von Dateiaktionen auslösen.

Verlassen Sie sich beim Verschlüsseln von Benutzerdateien bei der Übertragung über das Netzwerk nicht auf EFS

Wenn Sie EFS (Encrypting File System, verschlüsselndes Dateisystem) zum Verschlüsseln von Dateien auf einem Remoteserver verwenden, sind die verschlüsselten Daten während der Übertragung über das Netzwerk nicht verschlüsselt. Sie werden erst wieder verschlüsselt, wenn sie auf dem Datenträger gespeichert werden.

Dies gilt nicht für Systeme, in denen IPsec (Internet Protocol Security, Internetprotokollsicherheit) oder WebDAV (Web Distributed Authoring and Versioning) verwendet wird. Bei IPsec werden Daten bei der Übertragung über ein TCP/IP-Netzwerk verschlüsselt. Wenn eine Datei verschlüsselt wird, bevor sie in einen WebDAV-Ordner auf einem Server kopiert oder verschoben wird, ist sie auch während der Übertragung und bei der Speicherung auf dem Server verschlüsselt.

Konfigurieren Sie den UE-V-Agenten so, dass für jeden Benutzer Ordner erstellt werden

Erstellen Sie zum Sicherstellen der optimalen Funktion von UE-V nur die Stammfreigabe auf dem Server, und überlassen Sie das Anlegen der Ordner für die einzelnen Benutzer dem UE-V-Agent. Die Benutzerordner werden von UE-V mit der entsprechenden Sicherheit erstellt.

Diese Berechtigungskonfiguration ermöglicht es Benutzern, Ordner für die Speicherung von Einstellungen zu erstellen. Bei Ausführung im Benutzerkontext wird vom UE-V-Agent ein Einstellungspaketordner erstellt und geschützt. Benutzer erhalten Vollzugriff auf ihren Einstellungspaketordner. Andere Benutzer erben den Zugriff auf diesen Ordner nicht. Sie müssen keine einzelnen Benutzerverzeichnisse anlegen und schützen. Dies wird automatisch von dem Agent, der im Kontext des Benutzers ausgeführt wird, erledigt.

Hinweis

Zusätzliche Sicherheitsmaßnahmen können konfiguriert werden, wenn ein Windows Server-Computer für die Einstellungsspeicherfreigabe verwendet wird. UE-V kann so konfiguriert werden, dass es überprüft, ob die lokale Administratorgruppe oder der aktuelle Benutzer Besitzer des Einstellungspaketordners ist. Zum Aktivieren der zusätzlichen Sicherheit verwenden Sie den folgenden Befehl:

  1. Fügen Sie HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration den REG_DWORD-Registrierungsschlüssel „RepositoryOwnerCheckEnabled“ hinzu.

  2. Legen Sie Wert des Registrierungsschlüssels auf 1 fest.

Wenn diese Konfigurationseinstellung vorgenommen wurde, wird vom UE-V-Agent überprüft, ob die lokale Administratorgruppe oder der aktuelle Benutzer Besitzer des Einstellungspaketordners ist. Ist dies nicht der Fall, wird der Zugriff auf den Ordner vom UE-V-Agent verhindert.

Wenn Sie Ordner für die Benutzer erstellen müssen, stellen Sie sicher, dass Sie die richtigen Berechtigungen festgelegt haben.

Es wird dringend von einer Voraberstellung von Ordnern abgeraten. Überlassen Sie stattdessen die Ordnererstellung dem UE-V-Agent.

Stellen Sie sicher, dass für die Speicherung von UE-V 2-Einstellungen in einem Basisverzeichnis oder benutzerdefinierten Verzeichnis die richtigen Berechtigungen vorliegen

Wenn Sie UE-V-Einstellungen in das Basisverzeichnis eines Benutzers oder ein benutzerdefiniertes Active Directory-Verzeichnis umleiten, müssen Sie sicherstellen, dass die Berechtigungen für dieses Verzeichnis gemäß den Richtlinien Ihrer Organisation richtig festgelegt sind.

Haben Sie einen Vorschlag für UE-V?

Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit UE-V das UE-V-TechNet-Forum.

Siehe auch

Weitere Ressourcen

Technische Referenz zu UE-V 2.x