Considérations relatives à la sécurité d'App-V 5.1
Cette rubrique contient une brève vue d’ensemble des comptes et groupes, des fichiers journaux et d’autres considérations relatives à la sécurité pour Microsoft Application Virtualization (App-V) 5.1.
Important App-V 5.1 n’est pas un produit de sécurité et ne fournit aucune garantie pour un environnement sécurisé.
La fonctionnalité PackageStoreAccessControl (PSAC) a été déconseillée
Depuis juin 2014, la fonctionnalité PackageStoreAccessControl (PSAC) introduite dans Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) est déconseillée dans les environnements mono-utilisateur et multi-utilisateur.
Considérations générales relatives à la sécurité
Comprendre les risques de sécurité. Le risque le plus grave pour App-V 5.1 est que ses fonctionnalités puissent être détournées par un utilisateur non autorisé qui pourrait ensuite reconfigurer les données clés sur les clients App-V 5.1. La perte de fonctionnalités d’App-V 5.1 pendant une courte période en raison d’une attaque par déni de service n’aurait généralement pas d’impact catastrophique.
Sécuriser physiquement vos ordinateurs. La sécurité est incomplète sans sécurité physique. Toute personne disposant d’un accès physique à un serveur App-V 5.1 peut potentiellement attaquer l’ensemble de la base de clients. Toutes les attaques physiques potentielles doivent être considérées comme à haut risque et atténuées de manière appropriée. Les serveurs App-V 5.1 doivent être stockés dans une salle de serveurs physiquement sécurisée avec un accès contrôlé. Sécurisez ces ordinateurs lorsque les administrateurs ne sont pas physiquement présents en demandant au système d’exploitation de verrouiller l’ordinateur ou en utilisant un économiseur d’écran sécurisé.
Appliquez les mises à jour de sécurité les plus récentes à tous les ordinateurs. Pour rester informé des dernières mises à jour pour les systèmes d’exploitation, Microsoft SQL Server et App-V 5.1, abonnez-vous au service de notification de sécurité (https://go.microsoft.com/fwlink/p/?LinkId=28819).
Utilisez des mots de passe forts ou des phrases de passe. Utilisez toujours des mots de passe forts avec 15 caractères ou plus pour tous les comptes d’administrateur App-V 5.1 et App-V 5.1. N’utilisez jamais de mots de passe vides. Pour plus d’informations sur les concepts de mot de passe, consultez le livre blanc « Mots de passe et stratégies de compte » sur TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009).
Comptes et groupes dans App-V 5.1
Une bonne pratique pour la gestion des comptes d’utilisateur consiste à créer des groupes globaux de domaine et à y ajouter des comptes d’utilisateur. Ensuite, ajoutez les comptes globaux de domaine aux groupes locaux App-V 5.1 nécessaires sur les serveurs App-V 5.1.
Note Les comptes d’ordinateurs clients App-V qui doivent se connecter au serveur de publication doivent faire partie du groupe local Utilisateurs du serveur de publication. Par défaut, tous les ordinateurs du domaine font partie du groupe Utilisateurs autorisés , qui fait partie du groupe local Utilisateurs .
Sécurité du serveur App-V 5.1
Aucun groupe n’est créé automatiquement pendant l’installation d’App-V 5.1. Vous devez créer les groupes globaux Des services de domaine Active Directory suivants pour gérer les opérations de serveur App-V 5.1.
| Nom du groupe | Détails |
|---|---|
Groupe d’administration App-V |
Utilisé pour gérer le serveur d’administration App-V 5.1. Ce groupe est créé pendant l’installation d’App-V 5.1 Management Server.
Important
Il n’existe aucune méthode permettant de créer le groupe à l’aide de la console de gestion une fois l’installation terminée. |
Lecture/écriture de base de données pour le compte de service de gestion |
Fournit un accès en lecture/écriture à la base de données de gestion. Ce compte doit être créé lors de l’installation de la base de données de gestion App-V 5.1. |
Compte d’administrateur d’installation du service de gestion App-V
Remarque
Cela n’est nécessaire que si la base de données de gestion est installée séparément du service. |
Fournit un accès public à la table de version de schéma dans la base de données de gestion. Ce compte doit être créé lors de l’installation de la base de données de gestion App-V 5.1. |
Compte d’administrateur d’installation App-V Reporting Service
Remarque
Cela n’est nécessaire que si la base de données de création de rapports est installée séparément du service. |
Accès public à la table de version de schéma dans la base de données de création de rapports. Ce compte doit être créé lors de l’installation de la base de données de création de rapports App-V 5.1. |
Tenez compte des informations supplémentaires suivantes :
Accès aux partages de package : si un partage existe sur le même ordinateur que le serveur d’administration, le service réseau nécessite un accès en lecture au partage. En outre, chaque ordinateur client App-V doit disposer d’un accès en lecture au partage de package.
Note Dans les versions précédentes d’App-V, le partage de package était appelé partage de contenu.
Inscription de serveurs de publication auprès du serveur d’administration : un serveur de publication doit être inscrit auprès du serveur d’administration. Par exemple, il doit être ajouté à la base de données, afin que les comptes d’ordinateur du serveur de publication puissent appeler l’API du service de gestion.
Sécurité du package App-V 5.1
Les éléments suivants vous aideront à planifier la sécurisation des packages virtualisés.
- Si un programme d’installation d’application applique une liste de contrôle d’accès (ACL) à un fichier ou un répertoire, cette liste de contrôle d’accès n’est pas conservée dans le package. Lorsque le package est déployé, si le fichier ou le répertoire est modifié par un utilisateur, il hérite de la liste de contrôle d’accès dans %userprofile% ou hérite de la liste de contrôle d’accès du répertoire de l’ordinateur cible. Le premier cas se produit si le fichier ou le répertoire n’existe pas dans un emplacement de système de fichiers virtuel ; ce dernier cas se produit si le fichier ou le répertoire existe dans un emplacement de système de fichiers virtuel, par exemple %windir%.
Fichiers journaux App-V 5.1
Pendant l’installation d’App-V 5.1, les fichiers journaux d’installation sont créés dans le dossier %temp% de l’utilisateur qui installe.