Partager via

Considérations relatives à la sécurité pour UE-V (Windows 10)

  • Article

Cette rubrique contient une brève vue d’ensemble des comptes et groupes, des fichiers journaux et d’autres considérations relatives à la sécurité pour la virtualisation de l’expérience utilisateur (UE-V). Pour plus d’informations, suivez les liens fournis ici.

Considérations relatives à la sécurité pour la configuration UE-V

Important

Lorsque vous créez le partage de stockage des paramètres, limitez l’accès au partage aux utilisateurs qui en ont besoin.

Étant donné que les packages de paramètres peuvent contenir des informations personnelles, vous devez veiller à les protéger autant que possible. En général, procédez comme suit :

  • Limitez le partage aux seuls utilisateurs qui ont besoin d’un accès. Create un groupe de sécurité pour les utilisateurs qui ont redirigé des dossiers sur un partage particulier et limiter l’accès à ces utilisateurs uniquement.
  • Lorsque vous créez le partage, masquez-le en plaçant un $ après le nom du partage. Cet ajout masque le partage des navigateurs occasionnels, et le partage n’est pas visible dans Mon réseau Places.
  • Accordez uniquement aux utilisateurs le nombre minimal d’autorisations dont ils doivent disposer. Les tableaux suivants indiquent les autorisations requises.

  1. Définissez les autorisations SMB suivantes au niveau du partage pour le dossier de définition de l’emplacement de stockage.

    Compte d’utilisateur Autorisations recommandées
    Tout le monde Aucune autorisation
    Groupe de sécurité d’UE-V Contrôle total

  2. Définissez les autorisations de système de fichiers NTFS suivantes pour le dossier d’emplacement de stockage des paramètres.

    Compte d’utilisateur Autorisations recommandées Folder
    Créateur/Propriétaire Aucune autorisation Aucune autorisation
    Administrateurs de domaine Contrôle total Ce dossier, sous-dossiers et fichiers
    Groupe de sécurité des utilisateurs UE-V Répertorier des dossiers/lire des données, créer des dossiers/ajouter des données Ce dossier uniquement
    Tout le monde Supprimer toutes les autorisations Aucune autorisation

  3. Définissez les autorisations SMB suivantes au niveau du partage pour le dossier de catalogue de modèles de paramètres.

    Compte d’utilisateur Recommander des autorisations
    Tout le monde Aucune autorisation
    Ordinateurs de domaine Niveaux d’autorisation de lecture
    Administrateurs Niveaux d’autorisation de lecture/écriture

  4. Définissez les autorisations NTFS suivantes pour le dossier de catalogue de modèles de paramètres.

    Compte d’utilisateur Autorisations recommandées Appliquer à
    Créateur/Propriétaire Contrôle total Ce dossier, sous-dossiers et fichiers
    Ordinateurs de domaine Répertorier le contenu des dossiers et les autorisations de lecture Ce dossier, sous-dossiers et fichiers
    Tout le monde Aucune autorisation Aucune autorisation
    Administrateurs Contrôle total Ce dossier, sous-dossiers et fichiers

Utiliser Windows Server à partir de Windows Server 2003 pour héberger des partages de fichiers redirigés

Les fichiers de package de paramètres utilisateur contiennent des informations personnelles qui sont transférées entre l’ordinateur client et le serveur qui stocke les packages de paramètres. En raison de ce processus, vous devez vous assurer que les données sont protégées pendant qu’elles transitent sur le réseau.

Les données des paramètres utilisateur sont vulnérables à ces menaces potentielles : interception des données à mesure qu’elles passent sur le réseau, falsification des données quand elles passent sur le réseau et usurpation du serveur qui héberge les données.

Depuis Windows Server 2003, plusieurs fonctionnalités du système d’exploitation Windows Server peuvent aider à sécuriser les données utilisateur :

  • Kerberos : Kerberos est standard sur toutes les versions de Microsoft Windows 2000 Server et Windows Server à compter de Windows Server 2001. Kerberos garantit le niveau de sécurité le plus élevé pour les ressources réseau. NTLM authentifie uniquement le client ; Kerberos authentifie le serveur et le client. Lorsque NTLM est utilisé, le client ne sait pas si le serveur est valide. Cette différence est importante si le client échange des fichiers personnels avec le serveur, comme c’est le cas avec les profils utilisateur itinérants. Kerberos offre une meilleure sécurité que NTLM. Kerberos n’est pas disponible sur les systèmes d’exploitation Microsoft Windows NT Server 4.0 ou antérieurs.

  • IPsec : le protocole IPsec (IP Security Protocol) fournit l’authentification au niveau du réseau, l’intégrité des données et le chiffrement. IPsec garantit que :

    • Les données itinérantes sont protégées contre la modification des données pendant que les données sont en route.
    • Les données itinérantes sont protégées contre l’interception, l’affichage ou la copie.
    • Les données itinérantes sont protégées contre l’accès par les parties non authentifiées.

  • Signature SMB : le protocole d’authentification SMB (Server Message Block) prend en charge l’authentification des messages, ce qui empêche les attaques de message actif et de type « man-in-the-middle ». La signature SMB fournit cette authentification en plaçant une signature numérique dans chaque SMB. La signature numérique est ensuite vérifiée par le client et le serveur. Pour utiliser la signature SMB, vous devez d’abord l’activer ou l’exiger sur le client SMB et le serveur SMB. La signature SMB impose une pénalité de performances. Il ne consomme plus de bande passante réseau, mais il utilise davantage de cycles processeur côté client et serveur.

Toujours utiliser le système de fichiers NTFS pour les volumes qui contiennent des données utilisateur

Pour la configuration la plus sécurisée, configurez les serveurs qui hébergent les fichiers de paramètres UE-V afin d’utiliser le système de fichiers NTFS. Contrairement au système de fichiers FAT, NTFS prend en charge les listes de contrôle d’accès discrétionnaire (DACL) et les listes de contrôle d’accès système (SACL). Les dll DACL et les listes DECL contrôlent qui peut effectuer des opérations sur un fichier et quels événements déclenchent la journalisation des actions effectuées sur un fichier.

Ne vous fiez pas à EFS pour chiffrer les fichiers utilisateur lorsqu’ils sont transmis sur le réseau

Lorsque vous utilisez le système de fichiers EFS (Encrypting File System) pour chiffrer des fichiers sur un serveur distant, les données chiffrées ne sont pas chiffrées pendant le transit sur le réseau ; il ne devient chiffré que lorsqu’il est stocké sur le disque.

Ce processus de chiffrement ne s’applique pas lorsque votre système inclut la sécurité IPsec (Internet Protocol Security) ou web distributed authoring and versioning (WebDAV). IPsec chiffre les données pendant leur transport sur un réseau TCP/IP. Si le fichier est chiffré avant d’être copié ou déplacé vers un dossier WebDAV sur un serveur, il reste chiffré pendant la transmission et pendant qu’il est stocké sur le serveur.

Laisser le service UE-V créer des dossiers pour chaque utilisateur

Pour vous assurer que UE-V fonctionne de manière optimale, créez uniquement le partage racine sur le serveur et laissez le service UE-V créer les dossiers pour chaque utilisateur. UE-V crée ces dossiers utilisateur avec la sécurité appropriée.

Cette configuration d’autorisation permet aux utilisateurs de créer des dossiers pour le stockage des paramètres. Le service UE-V crée et sécurise un dossier de package de paramètres pendant qu’il s’exécute dans le contexte de l’utilisateur. Les utilisateurs bénéficient d’un contrôle total sur leur dossier de package de paramètres. Les autres utilisateurs n’héritent pas de l’accès à ce dossier. Vous n’avez pas besoin de créer et de sécuriser des répertoires d’utilisateurs individuels. Le service UE-V qui s’exécute dans le contexte de l’utilisateur le fait automatiquement.

Remarque

Une sécurité supplémentaire peut être configurée lorsqu’un serveur Windows Server est utilisé pour le partage de stockage des paramètres. UE-V peut être configuré pour vérifier que le groupe Administrateurs local ou l’utilisateur actuel est le propriétaire du dossier dans lequel les packages de paramètres sont stockés. Pour activer une sécurité supplémentaire, utilisez la commande suivante :

  1. Ajoutez la clé de Registre REG_DWORD RepositoryOwnerCheckEnabled à HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.
  2. Définissez la valeur de la clé de Registre sur 1.

Lorsque ce paramètre de configuration est en place, le service UE-V vérifie que le groupe Administrateurs local ou l’utilisateur actuel est le propriétaire du dossier du package de paramètres. Si ce n’est pas le cas, le service UE-V n’accorde pas l’accès au dossier.

Si vous devez créer des dossiers pour les utilisateurs, vérifiez que les autorisations appropriées sont définies.

Nous vous recommandons vivement de ne pas précréer les dossiers. Au lieu de cela, laissez le service UE-V créer le dossier pour l’utilisateur.

Vérifiez les autorisations correctes pour stocker les paramètres UE-V 2 dans un répertoire de base ou un répertoire personnalisé

Si vous redirigez les paramètres UE-V vers le répertoire de base d’un utilisateur ou un répertoire Active Directory (AD) personnalisé, vérifiez que les autorisations sur l’annuaire sont définies de manière appropriée pour votre organization.

Passer en revue le contenu des modèles d’emplacement des paramètres et contrôler l’accès à ceux-ci en fonction des besoins

Lorsqu’un modèle d’emplacement de paramètres est créé, le générateur UE-V utilise une requête LDAP (Lightweight Directory Access Protocol) pour obtenir le nom d’utilisateur et l’adresse e-mail de l’utilisateur actuellement connecté. Ces informations sont stockées dans le modèle sous la forme du nom de l’auteur du modèle et de l’e-mail de l’auteur du modèle. (Aucune de ces informations n’est envoyée à Microsoft.)

Si vous envisagez de partager des modèles d’emplacement de paramètres avec une personne extérieure à votre organization, vous devez passer en revue tous les emplacements des paramètres et vous assurer que les modèles d’emplacement des paramètres ne contiennent pas d’informations personnelles ou d’entreprise. Vous pouvez afficher le contenu en ouvrant les fichiers de modèle d’emplacement des paramètres à l’aide de n’importe quelle visionneuse XML. Les méthodes suivantes vous permettent d’afficher et de supprimer toutes les informations personnelles ou d’entreprise des fichiers de modèle d’emplacement des paramètres avant de les partager avec toute personne extérieure à votre entreprise :

  • Nom de l’auteur du modèle : spécifiez un nom général et non identifiant pour le nom de l’auteur du modèle ou excluez ces données du modèle.
  • Email de l’auteur du modèle : spécifiez un e-mail d’auteur de modèle général et non identifiant ou excluez ces données du modèle.

Pour supprimer le nom de l’auteur du modèle ou l’e-mail de l’auteur du modèle, vous pouvez utiliser l’application de générateur UE-V. Dans le générateur, sélectionnez Modifier un modèle d’emplacement des paramètres. Sélectionnez le modèle d’emplacement des paramètres à modifier à partir des modèles récemment utilisés ou Accédez au fichier de modèle de paramètres. Sélectionnez Suivant pour continuer. Dans la page Propriétés, supprimez les données des champs de texte Nom de l’auteur du modèle ou De l’e-mail de l’auteur du modèle. Enregistrez le modèle d’emplacement des paramètres.

Informations techniques de référence sur UE-V