Condividi tramite

Procedure consigliate relative alla sicurezza per operazioni MED-V

  • Articolo

Aggiornamento: novembre 2013

Si applica a: Microsoft Enterprise Desktop Virtualization 2.0

Un amministratore autorizzato è responsabile della protezione delle informazioni degli utenti e della gestione della sicurezza dell'organizzazione durante e dopo la distribuzione di aree di lavoro MED-V. Si considerino in particolare i problemi seguenti.

  • Personalizzazione di Internet Explorer nell'Area di lavoro MED-V. La sicurezza nelle versioni precedenti del sistema operativo Windows e di Internet Explorer non è elevata come nelle versioni correnti. Internet Explorer nell'Area di lavoro MED-V è pertanto configurato in modo da impedire l'esplorazione e altre attività che possono comportare rischi per la sicurezza. Inoltre, l'impostazione dell'area di sicurezza Internet per Internet Explorer nell'Area di lavoro MED-V è impostata sul livello più alto. Per impostazione predefinita, entrambe le configurazioni vengono impostate in Packager area di lavoro MED-V quando si crea il pacchetto Area di lavoro MED-V.

    È possibile personalizzare Internet Explorer nell'Area di lavoro MED-V utilizzando Internet Explorer Administration Kit (IEAK) oppure modificando le impostazioni predefinite in Packager area di lavoro MED-V. Tuttavia, personalizzando Internet Explorer nell'Area di lavoro MED-V in modo da ridurne la protezione, l'organizzazione potrebbe essere esposta ai rischi per la protezione associati alle versioni precedenti di Internet Explorer.

    Dal punto di vista della sicurezza, le procedure consigliate per la gestione di Internet Explorer nell'Area di lavoro MED-V sono le seguenti:

    • Quando si crea il pacchetto Area di lavoro MED-V, mantenere le impostazioni predefinite in modo che Internet Explorer nell'Area di lavoro MED-V sia configurato per impedire l'esplorazione e altre attività che possono comportare rischi per la sicurezza.

    • Quando si crea il pacchetto Area di lavoro MED-V, mantenere le impostazioni predefinite in modo che l'impostazione della sicurezza per l'area di sicurezza Internet rimanga al livello più alto.

    • Configurare il proxy aziendale o Contenuto verificato di Internet Explorer in modo da bloccare i domini esterni alla Intranet aziendale.

  • Configurazione di un'Area di lavoro MED-V per tutti gli utenti su un computer condiviso. Quando si configura un'Area di lavoro MED-V in modo che sia accessibile a tutti gli utenti su un computer condiviso, la macchina virtuale guest (VHD) viene inserita in un percorso che concede l'accesso in lettura e scrittura a tutti gli utenti di tale sistema.

  • Configurazione di un account proxy per l'aggiunta al dominio. Quando si configura un account proxy per aggiungere macchine virtuali al dominio, tenere presente che per un utente finale è possibile ottenere le credenziali dell'account proxy. Devono pertanto essere prese le precauzioni necessarie, ad esempio limitare i diritti utente dell'account, per impedire a un utente finale di utilizzare le credenziali per provocare danni.

  • Configurazione di Sysprep. Sebbene il file Sysprep.inf sia crittografato per impostazione predefinita, il contenuto può essere decrittografato e letto da un utente finale che può così accedere alla macchina virtuale. Ne derivano problemi di sicurezza perché il file Sysprep.inf può contenere credenziali oltre a un codice "Product Key" di Windows.

    È possibile ridurre questo rischio configurando un account limitato per aggiungere macchine virtuali al dominio e specificando le credenziali per tale account quando si configura Sysprep. In alternativa, è inoltre possibile configurare Sysprep e la configurazione iniziale per l'esecuzione in modalità Con intervento dell'utente e richiedere agli utenti finali di immettere le credenziali per aggiungere la macchina virtuale al dominio.

    Una procedura consigliata per MED-V prevede di specificare che FtsCompletion.exe venga eseguito con un account che concede all'utente finale i diritti per connettersi al guest tramite il client di Connessione Desktop remoto.

  • Autenticazione dell'utente finale. Abilitando la memorizzazione nella cache delle credenziali dell'utente finale, si garantisce la migliore esperienza utente di MED-V, ma si creano anche le condizioni perché qualcuno ottenga l'accesso alle credenziali dell'utente finale. L'unico modo per ridurre questo rischio è di specificare in Packager area di lavoro MED-V che le credenziali dell'utente finale non vengano memorizzate. Per ulteriori informazioni sull'autenticazione degli utenti finali, vedere Autenticazione di utenti finali MED-V.

Vedere anche

Attività

Risoluzione dei problemi relativi alle operazioni

Altre risorse

Microsoft Enterprise Desktop Virtualization 2.0

Le informazioni sono state utili? Inviare suggerimenti e commenti sulla documentazione relativa a MED-V a medvdocs@microsoft.com.