Compartir a través de

Consideraciones de seguridad para UE-V (Windows 10)

  • Artículo

Este tema contiene una breve introducción a las cuentas y grupos, los archivos de registro y otras consideraciones relacionadas con la seguridad para la virtualización de experiencia de usuario (UE-V). Para obtener más información, siga los vínculos que se proporcionan aquí.

Consideraciones de seguridad para la configuración de UE-V

Importante

Al crear el recurso compartido de almacenamiento de configuración, limite el acceso del recurso compartido a los usuarios que necesiten acceso.

Dado que los paquetes de configuración pueden contener información personal, debe tener cuidado de protegerlos tanto como sea posible. En general, siga estos pasos:

  • Restrinja el recurso compartido solo a aquellos usuarios que requieran acceso. Create un grupo de seguridad para los usuarios que han redirigido carpetas en un recurso compartido determinado y limitan el acceso solo a esos usuarios.
  • Al crear el recurso compartido, oculte el recurso compartido colocando un valor $ después del nombre del recurso compartido. Esta adición oculta el recurso compartido de exploradores casuales y el recurso compartido no está visible en Mi red Places.
  • Solo proporcione a los usuarios el número mínimo de permisos que deben tener. En las tablas siguientes se muestran los permisos necesarios.

  1. Establezca los siguientes permisos SMB de nivel de recurso compartido para la carpeta de ubicación de almacenamiento de configuración.

    Cuenta de usuario Permisos recomendados
    Todos Sin permisos
    Grupo de seguridad de UE-V Control total

  2. Establezca los siguientes permisos del sistema de archivos NTFS para la carpeta de ubicación de almacenamiento de configuración.

    Cuenta de usuario Permisos recomendados Carpeta
    Creador/propietario Sin permisos Sin permisos
    Administradores de dominio Control total Esta carpeta, subcarpetas y archivos
    Grupo de seguridad de usuarios de UE-V Enumerar carpeta/leer datos, crear carpetas o anexar datos Solo esta carpeta
    Todos Quitar todos los permisos Sin permisos

  3. Establezca los siguientes permisos SMB de nivel de recurso compartido para la carpeta de catálogo de plantillas de configuración.

    Cuenta de usuario Recomendar permisos
    Todos Sin permisos
    Equipos de dominio Niveles de permisos de lectura
    Administradores Niveles de permisos de lectura y escritura

  4. Establezca los siguientes permisos NTFS para la carpeta de catálogo de plantillas de configuración.

    Cuenta de usuario Permisos recomendados Aplicar en
    Creador/propietario Control total Esta carpeta, subcarpetas y archivos
    Equipos de dominio Enumerar el contenido de la carpeta y los permisos de lectura Esta carpeta, subcarpetas y archivos
    Todos Sin permisos Sin permisos
    Administradores Control total Esta carpeta, subcarpetas y archivos

Uso de Windows Server a partir de Windows Server 2003 para hospedar recursos compartidos de archivos redirigidos

Los archivos de paquete de configuración de usuario contienen información personal que se transfiere entre el equipo cliente y el servidor que almacena los paquetes de configuración. Debido a este proceso, debe asegurarse de que los datos están protegidos mientras viajan a través de la red.

Los datos de configuración de usuario son vulnerables a estas posibles amenazas: interceptación de los datos a medida que pasan a través de la red, alteración de los datos a medida que pasan a través de la red y suplantación del servidor que hospeda los datos.

A partir de Windows Server 2003, varias características del sistema operativo Windows Server pueden ayudar a proteger los datos de usuario:

  • Kerberos : Kerberos es estándar en todas las versiones de Microsoft Windows 2000 Server y Windows Server a partir de Windows Server 2001. Kerberos garantiza el nivel más alto de seguridad para los recursos de red. NTLM autentica solo el cliente; Kerberos autentica el servidor y el cliente. Cuando se usa NTLM, el cliente no sabe si el servidor es válido. Esta diferencia es importante si el cliente intercambia archivos personales con el servidor, como sucede con los perfiles de usuario móviles. Kerberos proporciona una mejor seguridad que NTLM. Kerberos no está disponible en los sistemas operativos Microsoft Windows NT Server 4.0 o versiones anteriores.

  • IPsec: el protocolo de seguridad de IP (IPsec) proporciona autenticación de nivel de red, integridad de datos y cifrado. IPsec garantiza que:

    • Los datos recorridos están a salvo de la modificación de datos mientras los datos están en ruta.
    • Los datos desenlazados están a salvo de interceptación, visualización o copia.
    • Los datos modificados están a salvo del acceso de las partes no autenticadas.

  • Firma SMB : el protocolo de autenticación de bloque de mensajes del servidor (SMB) admite la autenticación de mensajes, lo que impide los ataques de mensajes activos y "man-in-the-middle". La firma SMB proporciona esta autenticación mediante la colocación de una firma digital en cada SMB. A continuación, el cliente y el servidor comprueban la firma digital. Para usar la firma SMB, primero debe habilitarla, o bien debe requerirla tanto en el cliente SMB como en el servidor SMB. La firma SMB impone una penalización de rendimiento. No consume más ancho de banda de red, pero usa más ciclos de CPU en el lado cliente y servidor.

Use siempre el sistema de archivos NTFS para los volúmenes que contienen datos de usuario.

Para la configuración más segura, configure los servidores que hospedan los archivos de configuración de UE-V para usar el sistema de archivos NTFS. A diferencia del sistema de archivos FAT, NTFS admite listas de control de acceso discrecional (DACL) y listas de control de acceso del sistema (SACL). Las DACL y las SACL controlan quién puede realizar operaciones en un archivo y qué eventos desencadenan el registro de acciones que se realizan en un archivo.

No confíe en EFS para cifrar los archivos de usuario cuando se transmiten a través de la red.

Cuando se usa el sistema de cifrado de archivos (EFS) para cifrar archivos en un servidor remoto, los datos cifrados no se cifran durante el tránsito a través de la red; solo se cifra cuando se almacena en el disco.

Este proceso de cifrado no se aplica cuando el sistema incluye seguridad de protocolo de Internet (IPsec) o creación y control de versiones distribuidos web (WebDAV). IPsec cifra los datos mientras se transportan a través de una red TCP/IP. Si el archivo se cifra antes de copiarlo o moverlo a una carpeta WebDAV en un servidor, permanece cifrado durante la transmisión y mientras se almacena en el servidor.

Permitir que el servicio UE-V cree carpetas para cada usuario

Para asegurarse de que UE-V funciona de forma óptima, cree solo el recurso compartido raíz en el servidor y deje que el servicio UE-V cree las carpetas para cada usuario. UE-V crea estas carpetas de usuario con la seguridad adecuada.

Esta configuración de permisos permite a los usuarios crear carpetas para el almacenamiento de configuración. El servicio UE-V crea y protege una carpeta de paquete de configuración mientras se ejecuta en el contexto del usuario. Los usuarios reciben control total en la carpeta del paquete de configuración. Otros usuarios no heredan el acceso a esta carpeta. No es necesario crear y proteger directorios de usuarios individuales. El servicio UE-V que se ejecuta en el contexto del usuario lo hace automáticamente.

Nota

Se puede configurar una seguridad adicional cuando se usa windows server para el recurso compartido de almacenamiento de configuración. UE-V se puede configurar para comprobar que el grupo administradores local o el usuario actual es el propietario de la carpeta donde se almacenan los paquetes de configuración. Para habilitar la seguridad adicional, use el siguiente comando:

  1. Agregue la clave del Registro REG_DWORD RepositoryOwnerCheckEnabled a HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.
  2. Establezca el valor de la clave del Registro en 1.

Cuando se establece esta configuración, el servicio UE-V comprueba que el grupo de administradores local o el usuario actual es el propietario de la carpeta del paquete de configuración. Si no es así, el servicio UE-V no concede acceso a la carpeta.

Si debe crear carpetas para los usuarios, asegúrese de que tiene establecidos los permisos correctos.

Se recomienda encarecidamente no crear previamente carpetas. En su lugar, deje que el servicio UE-V cree la carpeta para el usuario.

Asegúrese de que los permisos son correctos para almacenar la configuración de UE-V 2 en un directorio principal o un directorio personalizado.

Si redirige la configuración de UE-V al directorio principal de un usuario o a un directorio de Active Directory (AD) personalizado, asegúrese de que los permisos del directorio se establecen correctamente para su organización.

Revise el contenido de las plantillas de ubicación de configuración y controle el acceso a ellas según sea necesario.

Cuando se crea una plantilla de ubicación de configuración, el generador de UE-V usa una consulta de protocolo ligero de acceso a directorios (LDAP) para obtener el nombre de usuario y la dirección de correo electrónico del usuario que ha iniciado sesión actual. Esta información se almacena en la plantilla como el nombre del autor de la plantilla y el correo electrónico del autor de la plantilla. (Ninguna de esta información se envía a Microsoft).

Si tiene previsto compartir plantillas de ubicación de configuración con cualquier persona fuera de su organización, debe revisar todas las ubicaciones de configuración y asegurarse de que las plantillas de ubicación de configuración no contengan información personal o de la empresa. Puede ver el contenido abriendo los archivos de plantilla de ubicación de configuración mediante cualquier visor XML. Las siguientes son formas de ver y quitar cualquier información personal o de la empresa de los archivos de plantilla de ubicación de configuración antes de compartir con cualquier persona ajena a la empresa:

  • Nombre del autor de plantilla: especifique un nombre general que no sea de identificación para el nombre del autor de la plantilla o excluya estos datos de la plantilla.
  • Creación de plantilla Email: especifique un correo electrónico de autor de plantilla general que no sea de identificación o excluya estos datos de la plantilla.

Para quitar el nombre del autor de plantilla o el correo electrónico del autor de la plantilla, puede usar la aplicación generador de UE-V. En el generador, seleccione Editar una plantilla de ubicación de configuración. Seleccione la plantilla de ubicación de configuración que se va a editar desde las plantillas usadas recientemente o Vaya al archivo de plantilla de configuración. Seleccione Siguiente para continuar. En la página Propiedades, quite los datos de los campos Nombre de autor de plantilla o Texto de correo electrónico De autor de plantilla. Guarde la plantilla de ubicación de configuración.

Referencia técnica de UE-V