Sicherheitsüberlegungen für UE-V
Dieses Thema enthält eine kurze Übersicht über Konten und Gruppen, Protokolldateien und andere sicherheitsbezogene Überlegungen zur Benutzerfreundlichkeitsvirtualisierung (User Experience Virtualization, UE-V). Weitere Informationen finden Sie unter den links, die hier bereitgestellt werden.
Sicherheitsüberlegungen für die UE-V-Konfiguration
Wichtig
Wenn Sie die Speicherfreigabe für Einstellungen erstellen, beschränken Sie den Freigabezugriff auf Benutzer, die Zugriff benötigen.
Da Einstellungspakete möglicherweise personenbezogene Informationen enthalten, sollten Sie darauf achten, sie so weit wie möglich zu schützen. Führen Sie im Allgemeinen die folgenden Schritte aus:
- Beschränken Sie die Freigabe auf die Benutzer, die Zugriff benötigen. Erstellen Sie eine Sicherheitsgruppe für Benutzer, die Ordner auf einer bestimmten Freigabe umgeleitet haben, und beschränken Sie den Zugriff auf diese Benutzer.
- Wenn Sie die Freigabe erstellen, blenden Sie die Freigabe aus, indem Sie ein $ hinter dem Freigabenamen setzen. Diese Ergänzung blendet die Freigabe vor gelegenheitslosen Browsern aus, und die Freigabe ist nicht in "Mein Netzwerk" Places sichtbar.
- Erteilen Sie Benutzern nur die Mindestanzahl von Berechtigungen, die sie benötigen. In den folgenden Tabellen sind die erforderlichen Berechtigungen aufgeführt.
Legen Sie die folgenden SMB-Berechtigungen auf Freigabeebene für den Einstellungsspeicherortordner fest.
Benutzerkonto Empfohlene Berechtigungen Jeder Keine Berechtigungen Sicherheitsgruppe von UE-V Vollzugriff Legen Sie die folgenden NTFS-Dateisystemberechtigungen für den Speicherortordner für Einstellungen fest.
Benutzerkonto Empfohlene Berechtigungen Ordner Ersteller/Besitzer Keine Berechtigungen Keine Berechtigungen Domänenadministratoren Vollzugriff Dieser Ordner, Unterordner und Dateien Sicherheitsgruppe von UE-V-Benutzern Ordner auflisten/Daten lesen, Ordner erstellen/Daten anfügen Nur dieser Ordner Jeder Entfernen aller Berechtigungen Keine Berechtigungen Legen Sie die folgenden SMB-Berechtigungen auf Freigabeebene für den Einstellungsvorlagenkatalogordner fest.
Benutzerkonto Empfehlen von Berechtigungen Jeder Keine Berechtigungen Domänencomputer Leseberechtigungsstufen Administratoren Lese-/Schreibberechtigungsstufen Legen Sie die folgenden NTFS-Berechtigungen für den Katalogordner der Einstellungsvorlage fest.
Benutzerkonto Empfohlene Berechtigungen Anwenden auf Ersteller/Besitzer Vollzugriff Dieser Ordner, Unterordner und Dateien Domänencomputer Auflisten von Ordnerinhalten und Leseberechtigungen Dieser Ordner, Unterordner und Dateien Jeder Keine Berechtigungen Keine Berechtigungen Administratoren Vollzugriff Dieser Ordner, Unterordner und Dateien
Verwenden von Windows Server ab Windows Server 2003 zum Hosten umgeleiteter Dateifreigaben
Paketdateien für Benutzereinstellungen enthalten persönliche Informationen, die zwischen dem Clientcomputer und dem Server übertragen werden, auf dem die Einstellungspakete gespeichert sind. Aufgrund dieses Prozesses sollten Sie sicherstellen, dass die Daten geschützt sind, während sie über das Netzwerk übertragen werden.
Benutzereinstellungsdaten sind anfällig für diese potenziellen Bedrohungen: Abfangen der Daten, während sie über das Netzwerk übertragen werden, Manipulation der Daten, während sie über das Netzwerk übertragen werden, und Spoofing des Servers, auf dem die Daten gehostet werden.
Ab Windows Server 2003 können verschiedene Features des Windows Server-Betriebssystems zum Schutz von Benutzerdaten beitragen:
Kerberos : Kerberos ist standard für alle Versionen von Microsoft Windows 2000 Server und Windows Server ab Windows Server 2001. Kerberos stellt das höchste Maß an Sicherheit für Netzwerkressourcen sicher. NTLM authentifiziert nur den Client. Kerberos authentifiziert den Server und den Client. Wenn NTLM verwendet wird, weiß der Client nicht, ob der Server gültig ist. Dieser Unterschied ist wichtig, wenn der Client persönliche Dateien mit dem Server austauscht, wie dies bei Roamingbenutzerprofilen der Fall ist. Kerberos bietet eine bessere Sicherheit als NTLM. Kerberos ist unter Microsoft Windows NT Server 4.0 oder früheren Betriebssystemen nicht verfügbar.
IPsec : Das IP-Sicherheitsprotokoll (IP Security Protocol, IPsec) bietet Authentifizierung, Datenintegrität und Verschlüsselung auf Netzwerkebene. IPsec stellt folgendes sicher:
- Roamingdaten sind sicher vor Datenänderungen, während daten unterwegs sind.
- Roamingdaten sind sicher vor Abfangen, Anzeigen oder Kopieren.
- Übertragene Daten sind vor dem Zugriff durch nicht authentifizierte Parteien sicher.
SMB-Signatur : Das SMB-Authentifizierungsprotokoll (Server Message Block) unterstützt die Nachrichtenauthentifizierung, die aktive Nachrichten und Man-in-the-Middle-Angriffe verhindert. Die SMB-Signatur ermöglicht diese Authentifizierung, indem in jedem SMB eine digitale Signatur platziert wird. Die digitale Signatur wird dann sowohl vom Client als auch vom Server überprüft. Um die SMB-Signatur verwenden zu können, müssen Sie sie entweder entweder aktivieren oder sowohl auf dem SMB-Client als auch auf dem SMB-Server anfordern. Die SMB-Signatur führt zu leistungseinbußen. Die Netzwerkbandbreite wird nicht mehr beansprucht, es werden jedoch mehr CPU-Zyklen auf Client- und Serverseite verwendet.
Verwenden Sie immer das NTFS-Dateisystem für Volumes, die Benutzerdaten enthalten.
Um die sicherste Konfiguration zu gewährleisten, konfigurieren Sie Server, die die UE-V-Einstellungsdateien hosten, um das NTFS-Dateisystem zu verwenden. Im Gegensatz zum FAT-Dateisystem unterstützt NTFS DACLs (Discretionary Access Control Lists) und Systemzugriffssteuerungslisten (SACLs). DACLs und SACLs steuern, wer Vorgänge für eine Datei ausführen kann und welche Ereignisse die Protokollierung von Aktionen auslösen, die für eine Datei ausgeführt werden.
Verlassen Sie sich nicht auf EFS, um Benutzerdateien zu verschlüsseln, wenn sie über das Netzwerk übertragen werden.
Wenn Sie das verschlüsselnde Dateisystem (Encrypting File System, EFS) verwenden, um Dateien auf einem Remoteserver zu verschlüsseln, werden die verschlüsselten Daten während der Übertragung über das Netzwerk nicht verschlüsselt. sie wird nur verschlüsselt, wenn sie auf dem Datenträger gespeichert ist.
Dieser Verschlüsselungsprozess gilt nicht, wenn Ihr System internetprotokollsicherheit (Internet Protocol Security, IPsec) oder Web Distributed Authoring and Versioning (WebDAV) umfasst. IPsec verschlüsselt Daten, während sie über ein TCP/IP-Netzwerk übertragen werden. Wenn die Datei verschlüsselt wird, bevor sie kopiert oder in einen WebDAV-Ordner auf einem Server verschoben wird, bleibt sie während der Übertragung verschlüsselt und wird auf dem Server gespeichert.
Erstellen von Ordnern für jeden Benutzer durch den UE-V-Dienst
Um sicherzustellen, dass UE-V optimal funktioniert, erstellen Sie nur die Stammfreigabe auf dem Server, und lassen Sie den UE-V-Dienst die Ordner für jeden Benutzer erstellen. UE-V erstellt diese Benutzerordner mit der entsprechenden Sicherheit.
Mit dieser Berechtigungskonfiguration können Benutzer Ordner für die Einstellungsspeicherung erstellen. Der UE-V-Dienst erstellt und sichert einen Einstellungspaketordner, während er im Kontext des Benutzers ausgeführt wird. Benutzer erhalten vollständige Kontrolle über ihren Einstellungspaketordner. Andere Benutzer erben keinen Zugriff auf diesen Ordner. Sie müssen keine einzelnen Benutzerverzeichnisse erstellen und schützen. Der UE-V-Dienst, der im Kontext des Benutzers ausgeführt wird, führt dies automatisch aus.
Hinweis
Zusätzliche Sicherheit kann konfiguriert werden, wenn ein Windows Server für die Einstellungsspeicherfreigabe verwendet wird. UE-V kann so konfiguriert werden, dass überprüft wird, ob die lokale Administratorgruppe oder der aktuelle Benutzer der Besitzer des Ordners ist, in dem Einstellungspakete gespeichert sind. Verwenden Sie den folgenden Befehl, um zusätzliche Sicherheit zu aktivieren:
- Fügen Sie den REG_DWORD Registrierungsschlüssel RepositoryOwnerCheckEnabled zu hinzu
HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration. - Legen Sie den Registrierungsschlüsselwert auf 1 fest.
Wenn diese Konfigurationseinstellung vorhanden ist, überprüft der UE-V-Dienst, ob die lokale Administratorgruppe oder der aktuelle Benutzer der Besitzer des Einstellungspaketordners ist. Andernfalls gewährt der UE-V-Dienst keinen Zugriff auf den Ordner.
Wenn Sie Ordner für die Benutzer erstellen müssen, stellen Sie sicher, dass Sie über die richtigen Berechtigungen verfügen.
Es wird dringend empfohlen, keine Ordner vorab zu erstellen. Lassen Sie stattdessen den UE-V-Dienst den Ordner für den Benutzer erstellen.
Sicherstellen der richtigen Berechtigungen zum Speichern von UE-V 2-Einstellungen in einem Basisverzeichnis oder einem benutzerdefinierten Verzeichnis
Wenn Sie UE-V-Einstellungen an das Basisverzeichnis eines Benutzers oder ein benutzerdefiniertes Active Directory-Verzeichnis (AD) umleiten, stellen Sie sicher, dass die Berechtigungen für das Verzeichnis entsprechend Für Ihre organization festgelegt sind.
Überprüfen Sie den Inhalt von Einstellungsspeicherortvorlagen, und steuern Sie den Zugriff auf diese nach Bedarf.
Wenn eine Einstellungsspeicherortvorlage erstellt wird, verwendet der UE-V-Generator eine LDAP-Abfrage (Lightweight Directory Access Protocol), um den Benutzernamen und die E-Mail-Adresse des aktuell angemeldeten Benutzers abzurufen. Diese Informationen werden in der Vorlage als Name des Vorlagenautors und als E-Mail-Adresse des Vorlagenautors gespeichert. (Keine dieser Informationen wird an Microsoft gesendet.)
Wenn Sie Standortvorlagen für Einstellungen für personen außerhalb Ihres organization freigeben möchten, sollten Sie alle Einstellungsspeicherorte überprüfen und sicherstellen, dass die Vorlagen für Den Einstellungsort keine persönlichen oder Unternehmensinformationen enthalten. Sie können den Inhalt anzeigen, indem Sie die Vorlagendateien für den Einstellungsspeicherort mit einem beliebigen XML-Viewer öffnen. Im Folgenden finden Sie Möglichkeiten zum Anzeigen und Entfernen von persönlichen oder Unternehmensinformationen aus den Vorlagendateien für den Einstellungsspeicherort, bevor Sie sie für personen außerhalb Ihres Unternehmens freigeben:
- Name des Vorlagenautors : Geben Sie einen allgemeinen, nicht identifizierenden Namen für den Namen des Vorlagenautors an, oder schließen Sie diese Daten aus der Vorlage aus.
- Template Author Email : Geben Sie eine allgemeine, nicht identifizierende E-Mail-Adresse des Vorlagenautors an, oder schließen Sie diese Daten aus der Vorlage aus.
Um den Namen des Vorlagenautors oder die E-Mail-Adresse des Vorlagenautors zu entfernen, können Sie die UE-V-Generatoranwendung verwenden. Wählen Sie im Generator Die Option Einstellungsspeicherortvorlage bearbeiten aus. Wählen Sie aus den zuletzt verwendeten Vorlagen die Vorlage für den Einstellungsspeicherort aus, um sie zu bearbeiten, oder navigieren Sie zur Einstellungsvorlagendatei. Wählen Sie Weiter aus, um fortzufahren. Entfernen Sie auf der Seite Eigenschaften die Daten aus den Textfeldern Vorlagenautorname oder E-Mail-Adresse des Vorlagenautors. Speichern Sie die Einstellungsspeicherortvorlage.