Considérations relatives à la sécurité d’App-V pour Windows
S’applique à :
- Windows 10
- Windows 11
Cet article contient une brève vue d’ensemble des comptes et groupes, des fichiers journaux et d’autres considérations relatives à la sécurité pour Microsoft Application Virtualization (App-V).
Important
App-V n’est pas un produit de sécurité et ne fournit aucune garantie pour un environnement sécurisé.
La fonctionnalité PackageStoreAccessControl (PSAC) a été déconseillée
Depuis juin 2014, la fonctionnalité PackageStoreAccessControl (PSAC) introduite dans Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) est déconseillée dans les environnements mono-utilisateur et multi-utilisateur.
Considérations générales relatives à la sécurité
Comprendre les risques de sécurité. Le risque le plus grave pour App-V est que des utilisateurs non autorisés détournent les fonctionnalités d’un client App-V, ce qui donne au pirate la possibilité de reconfigurer les données clés sur les clients App-V. En comparaison, la perte à court terme de fonctionnalités d’App-V suite à une attaque par déni de service ne serait pas aussi catastrophique.
Sécuriser physiquement vos ordinateurs. Une stratégie de sécurité qui ne prend pas en compte la sécurité physique est incomplète. Toute personne disposant d’un accès physique à un serveur App-V peut potentiellement attaquer l’ensemble de la base de clients, de sorte que les attaques physiques ou les vols potentiels doivent être évités à tout prix. Les serveurs App-V doivent être stockés dans une salle de serveurs physiquement sécurisée avec un accès contrôlé. Verrouillez l’ordinateur avec le système d’exploitation ou un économiseur d’écran sécurisé pour sécuriser les ordinateurs lorsque les administrateurs sont absents.
Appliquez les mises à jour de sécurité les plus récentes à tous les ordinateurs.
Utilisez des mots de passe forts ou des phrases de passe. Utilisez toujours des mots de passe forts avec 15 caractères ou plus pour tous les comptes d’administrateur App-V et App-V. N’utilisez jamais de mots de passe vides. Pour plus d’informations sur les concepts de mot de passe, consultez Stratégie de mot de passe et Mots de passe forts.
Comptes et groupes dans App-V
Une bonne pratique pour la gestion des comptes d’utilisateur consiste à créer des groupes globaux de domaine et à y ajouter des comptes d’utilisateur. Ensuite, ajoutez les comptes globaux de domaine aux groupes locaux App-V nécessaires sur les serveurs App-V.
Remarque
Les comptes d’ordinateurs clients App-V qui doivent se connecter au serveur de publication doivent faire partie du groupe local Utilisateurs du serveur de publication. Par défaut, tous les ordinateurs du domaine font partie du groupe Utilisateurs autorisés , qui fait partie du groupe local Utilisateurs .
Sécurité du serveur App-V
Aucun groupe n’est créé automatiquement pendant l’installation d’App-V. Vous devez créer les groupes globaux Des services de domaine Active Directory suivants pour gérer les opérations du serveur App-V.
| Nom du groupe | Détails | Remarques importantes |
|---|---|---|
| Groupe d’administration App-V | Utilisé pour gérer le serveur d’administration App-V. Ce groupe est créé lors de l’installation d’App-V Management Server. | La console de gestion ne peut pas créer de groupe une fois l’installation terminée. |
| Lecture/écriture de base de données pour le compte de service de gestion | Fournit un accès en lecture/écriture à la base de données de gestion. Ce compte doit être créé lors de l’installation de la base de données de gestion App-V. | |
| Compte d’administrateur d’installation du service de gestion App-V | Fournit un accès public à la table de version de schéma dans la base de données de gestion. Ce compte doit être créé lors de l’installation de la base de données de gestion App-V. | Ce compte n’est nécessaire que si la base de données de gestion est installée séparément du service. |
| Compte d’administrateur d’installation App-V Reporting Service | Accès public à la table de version de schéma dans la base de données de création de rapports. Ce compte doit être créé lors de l’installation de la base de données de rapports App-V. | Ce compte n’est nécessaire que si la base de données de création de rapports est installée séparément du service. |
Tenez compte des informations supplémentaires suivantes :
Accès aux partages de package : si un partage existe sur le même ordinateur que le serveur d’administration, le service réseau nécessite un accès en lecture au partage. En outre, chaque ordinateur client App-V doit disposer d’un accès en lecture au partage de package.
Remarque
Dans les versions précédentes d’App-V, le partage de package était appelé partage de contenu.
Inscription de serveurs de publication auprès du serveur d’administration : un serveur de publication doit être inscrit auprès du serveur d’administration. Par exemple, il doit être ajouté à la base de données, afin que les comptes d’ordinateur du serveur de publication puissent appeler l’API du service de gestion.
Sécurité du package App-V
Si un programme d’installation d’application applique une liste de contrôle d’accès (ACL) à un fichier ou un répertoire, cette liste de contrôle d’accès n’est pas conservée dans le package. Si le fichier ou le répertoire est modifié par un utilisateur lors du déploiement du package, le fichier ou répertoire modifié hérite de la liste de contrôle d’accès dans %userprofile% ou hérite de la liste de contrôle d’accès du répertoire de l’ordinateur cible. La première se produit si le fichier ou le répertoire n’existe pas dans un emplacement de système de fichiers virtuel ; ce dernier se produit si le fichier ou le répertoire existe dans un emplacement de système de fichiers virtuel, tel que %windir%.
Fichiers journaux App-V
Pendant l’installation d’App-V, les fichiers journaux d’installation sont créés dans le dossier %temp% de l’utilisateur qui installe.