Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo contiene una breve panoramica di account e gruppi, file di log e altre considerazioni correlate alla sicurezza per Microsoft User Experience Virtualization (UE-V) 2.1 SP1.
Considerazioni sulla sicurezza per la configurazione UE-V
Importante
Quando si crea la condivisione di archiviazione delle impostazioni, limitare l'accesso alla condivisione agli utenti che richiedono l'accesso.
Poiché i pacchetti di impostazioni possono contenere informazioni personali, è necessario prestare attenzione a proteggerli e possibili. In generale, eseguire le azioni seguenti:
Limitare la condivisione solo agli utenti che richiedono l'accesso. Creare un gruppo di sicurezza per gli utenti che hanno cartelle reindirizzate in una condivisione specifica e limitare l'accesso solo a tali utenti.
Quando si crea la condivisione, nascondere la condivisione inserendo un $ dopo il nome della condivisione. Questa aggiunta nasconde la condivisione ai browser occasionali e la condivisione non è visibile in My Network Places.
Concedere agli utenti solo le autorizzazioni minime che devono avere. Le tabelle seguenti mostrano le autorizzazioni necessarie.
Impostare le autorizzazioni SMB a livello di condivisione seguenti per l'impostazione della cartella del percorso di archiviazione.
Account utente Autorizzazioni consigliate Tutti Nessuna autorizzazione Gruppo di sicurezza di UE-V Controllo completo Impostare le autorizzazioni del file system NTFS seguenti per la cartella del percorso di archiviazione delle impostazioni.
Account utente Autorizzazioni consigliate Cartella Creatore/Proprietario Controllo completo Solo sottocartelle e file Domain Admins Controllo completo Questa cartella, sottocartelle e file Gruppo di sicurezza di utenti UE-V Elencare i dati di cartella/lettura, creare cartelle/accodare dati Solo questa cartella Tutti Rimuovere tutte le autorizzazioni Nessuna autorizzazione Impostare le autorizzazioni SMB a livello di condivisione seguenti per la cartella del catalogo del modello di impostazioni.
Account utente Autorizzazioni consigliate Tutti Nessuna autorizzazione Computer di dominio Livelli di autorizzazione di lettura Administrators Livelli di autorizzazione di lettura/scrittura Impostare le autorizzazioni NTFS seguenti per la cartella del catalogo dei modelli di impostazioni.
Account utente Autorizzazioni consigliate Applica a Creatore/Proprietario Controllo completo Questa cartella, sottocartelle e file Computer di dominio Elencare il contenuto della cartella e le autorizzazioni di lettura Questa cartella, sottocartelle e file Tutti Nessuna autorizzazione Nessuna autorizzazione Administrators Controllo completo Questa cartella, sottocartelle e file
Usare Windows Server a partire da Windows Server 2003 per ospitare condivisioni file reindirizzate
I file del pacchetto delle impostazioni utente contengono informazioni personali trasferite tra il computer client e il server che archivia i pacchetti di impostazioni. A causa di questo processo, è necessario assicurarsi che i dati siano protetti mentre viaggiano in rete.
I dati delle impostazioni utente sono vulnerabili a queste potenziali minacce: intercettazione dei dati durante il passaggio in rete, manomissione dei dati durante il passaggio in rete e spoofing del server che ospita i dati.
A partire dal Windows Server 2003, diverse funzionalità del sistema operativo Windows Server consentono di proteggere i dati degli utenti:
Kerberos: Kerberos è standard in tutte le versioni di Microsoft Windows 2000 Server e Windows Server a partire da Windows Server 2003. Kerberos garantisce il massimo livello di sicurezza per le risorse di rete. NTLM autentica solo il client; Kerberos autentica il server e il client. Quando viene usato NTLM, il client non sa se il server è valido. Questa differenza è importante se il client scambia i file personali con il server, come nel caso dei profili utente mobili. Kerberos offre una sicurezza migliore rispetto a NTLM. Kerberos non è disponibile nei sistemi operativi Microsoft Windows NT Server 4.0 o versioni precedenti.
IPsec : il protocollo IP Security Protocol (IPsec) fornisce l'autenticazione a livello di rete, l'integrità dei dati e la crittografia. IPsec garantisce quanto segue:
I dati sottoposti a roaming sono al sicuro dalla modifica dei dati mentre i dati sono in viaggio.
I dati in roaming sono al sicuro dall'intercettazione, dalla visualizzazione o dalla copia.
I dati in roaming sono al sicuro dall'accesso da parte di parti non autenticate.
Firma SMB : il protocollo di autenticazione SMB (Server Message Block) supporta l'autenticazione dei messaggi, che impedisce gli attacchi di messaggi attivi e "man-in-the-middle". La firma SMB fornisce questa autenticazione inserendo una firma digitale in ogni SMB. Sia il client che il server verificano quindi la firma digitale. Per usare la firma SMB, è prima necessario abilitarla oppure è necessario richiederla sia nel client SMB che nel server SMB.
Nota
La firma SMB impone una riduzione delle prestazioni. Non usa più larghezza di banda di rete, ma usa più cicli di CPU sul lato client e sul lato server.
Usare sempre il file system NTFS per i volumi che contengono dati utente
Per la configurazione più sicura, configurare i server che ospitano i file di impostazioni UE-V per l'uso del file system NTFS. A differenza del file system FAT, NTFS supporta elenchi di controllo di accesso discrezionali (DACL) e elenchi di controllo di accesso di sistema (SCL). Gli elenchi DACL e ICL controllano chi può eseguire operazioni su un file e quali eventi attivano la registrazione delle azioni eseguite su un file.
Non fare affidamento su EFS per crittografare i file utente quando vengono trasmessi in rete
Quando si usa Encrypting File System (EFS) per crittografare i file in un server remoto, i dati crittografati non vengono crittografati durante il transito in rete; viene crittografato solo quando viene archiviato su disco.
Questo processo di crittografia non si applica quando il sistema include Internet Protocol Security (IPsec) o Web Distributed Authoring and Versioning (WebDAV). IPsec crittografa i dati mentre vengono trasportati su una rete TCP/IP. Se il file viene crittografato prima di essere copiato o spostato in una cartella WebDAV in un server, rimane crittografato durante la trasmissione e mentre è archiviato nel server.
Consentire all'agente UE-V di creare cartelle per ogni utente
Per garantire il funzionamento ottimale di UE-V, creare solo la condivisione radice nel server e consentire all'agente UE-V di creare le cartelle per ogni utente. UE-V crea queste cartelle utente con la sicurezza appropriata.
Questa configurazione delle autorizzazioni consente agli utenti di creare cartelle per l'archiviazione delle impostazioni. L'agente UE-V crea e protegge una cartella del pacchetto di impostazioni durante l'esecuzione nel contesto dell'utente. Gli utenti ricevono il controllo completo nella cartella del pacchetto delle impostazioni. Gli altri utenti non ereditano l'accesso a questa cartella. Non è necessario creare e proteggere singole directory utente. L'agente eseguito nel contesto dell'utente lo esegue automaticamente.
Nota
Quando si usa un Windows Server per la condivisione di archiviazione delle impostazioni, è possibile configurare una maggiore sicurezza. È possibile configurare UE-V per verificare che il gruppo Administrators locale o l'utente corrente sia il proprietario della cartella in cui vengono archiviati i pacchetti di impostazioni. Per abilitare la sicurezza aggiuntiva, usare il comando seguente:
Aggiungere la chiave
RepositoryOwnerCheckEnableddel Registro di sistema REG_DWORD aHKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.Impostare il valore della chiave del Registro di sistema su
1.
Quando questa impostazione di configurazione è impostata, l'agente UE-V verifica che il gruppo Administrators locale o l'utente corrente sia il proprietario della cartella del pacchetto delle impostazioni. In caso contrario, l'agente UE-V non concede l'accesso alla cartella.
Se è necessario creare cartelle per gli utenti, assicurarsi di avere le autorizzazioni corrette impostate.
Non precreare cartelle. Lasciare invece che l'agente UE-V crei la cartella per l'utente.
Verificare le autorizzazioni corrette per archiviare le impostazioni UE-V 2 in una home directory o in una directory personalizzata
Se si reindirizzano le impostazioni UE-V alla home directory di un utente o a una directory di Active Directory (AD) personalizzata, assicurarsi che le autorizzazioni nella directory siano impostate in modo appropriato per l'organizzazione.