Consideraciones de seguridad de App-V para Windows
Se aplica a:
- Windows 10
- Windows 11
Este artículo contiene una breve introducción a las cuentas y grupos, los archivos de registro y otras consideraciones relacionadas con la seguridad para Microsoft Application Virtualization (App-V).
Importante
App-V no es un producto de seguridad y no proporciona ninguna garantía para un entorno seguro.
La característica PackageStoreAccessControl (PSAC) ha quedado en desuso
A partir de junio de 2014, la característica PackageStoreAccessControl (PSAC) introducida en Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) ha quedado en desuso en entornos de usuario único y multiusuario.
Consideraciones generales de seguridad
Comprenda los riesgos de seguridad. El riesgo más grave para App-V es que los usuarios no autorizados secuestran la funcionalidad de un cliente de App-V, lo que proporciona al hacker la capacidad de volver a configurar los datos clave en los clientes de App-V. En comparación, la pérdida a corto plazo de la funcionalidad de App-V por un ataque por denegación de servicio no sería tan catastrófica.
Proteja físicamente los equipos. Una estrategia de seguridad que no considera la seguridad física está incompleta. Cualquier persona con acceso físico a un servidor de App-V podría atacar potencialmente toda la base de clientes, por lo que se deben evitar posibles ataques físicos o robos a toda costa. Los servidores de App-V deben almacenarse en una sala de servidores físicamente segura con acceso controlado. Bloquee el equipo con el sistema operativo o un protector de pantalla protegido para proteger los equipos cuando los administradores estén ausentes.
Aplique las actualizaciones de seguridad más recientes a todos los equipos.
Use contraseñas seguras o frases de paso. Use siempre contraseñas seguras con 15 o más caracteres para todas las cuentas de administrador de App-V y App-V. Nunca use contraseñas en blanco. Para obtener más información sobre los conceptos de contraseña, consulte Directiva de contraseñas y contraseñas seguras.
Cuentas y grupos en App-V
Un procedimiento recomendado para la administración de cuentas de usuario es crear grupos globales de dominio y agregarles cuentas de usuario. Después, agregue las cuentas globales de dominio a los grupos locales de App-V necesarios en los servidores de App-V.
Nota
Las cuentas de equipo cliente de App-V que necesitan conectarse al servidor de publicación deben formar parte del grupo local Usuarios del servidor de publicación. De forma predeterminada, todos los equipos del dominio forman parte del grupo Usuarios autorizados , que forma parte del grupo local Usuarios .
Seguridad del servidor de App-V
No se crean grupos automáticamente durante la configuración de App-V. Debe crear los siguientes grupos globales de Active Directory Domain Services para administrar las operaciones del servidor de App-V.
Nombre de grupo | Detalles | Notas importantes |
---|---|---|
Grupo de administradores de administración de App-V | Se usa para administrar el servidor de administración de App-V. Este grupo se crea durante la instalación del servidor de administración de App-V. | La consola de administración no puede crear un nuevo grupo una vez completada la instalación. |
Lectura y escritura de la base de datos para la cuenta del servicio de administración | Proporciona acceso de lectura y escritura a la base de datos de administración. Esta cuenta debe crearse durante la instalación de la base de datos de administración de App-V. | |
Cuenta de administrador de instalación del servicio de administración de App-V | Proporciona acceso público a la tabla de versión de esquema en la base de datos de administración. Esta cuenta debe crearse durante la instalación de la base de datos de administración de App-V. | Esta cuenta solo es necesaria si la base de datos de administración se instala por separado del servicio. |
Cuenta de administrador de instalación de App-V Reporting Service | Acceso público a la tabla de versión de esquema en la base de datos de informes. Esta cuenta debe crearse durante la instalación de la base de datos de informes de App-V. | Esta cuenta solo es necesaria si la base de datos de informes se instala por separado del servicio. |
Tenga en cuenta la siguiente información adicional:
Acceso a los recursos compartidos de paquetes: si existe un recurso compartido en el mismo equipo que el servidor de administración, el servicio red requiere acceso de lectura al recurso compartido. Además, cada equipo cliente de App-V debe tener acceso de lectura al recurso compartido de paquetes.
Nota
En versiones anteriores de App-V, el recurso compartido de paquetes se denominaba recurso compartido de contenido.
Registro de servidores de publicación con el servidor de administración: debe registrarse un servidor de publicación en el servidor de administración. Por ejemplo, se debe agregar a la base de datos para que las cuentas de máquina del servidor de publicación puedan llamar a la API del servicio de administración.
Seguridad del paquete de App-V
Si un instalador de aplicación aplica una lista de control de acceso (ACL) a un archivo o directorio, esa ACL no se conserva en el paquete. Si un usuario modifica el archivo o directorio cuando se implementa el paquete, el archivo o directorio modificado heredará la ACL en % userprofile% o heredará la ACL del directorio del equipo de destino. El primero se produce si el archivo o directorio no existe en una ubicación del sistema de archivos virtual; este último se produce si el archivo o directorio existe en una ubicación del sistema de archivos virtual, como %windir%.
Archivos de registro de App-V
Durante la instalación de App-V, los archivos de registro de instalación se crean en la carpeta %temp% del usuario de instalación.