App-V 5.0 のセキュリティに関する考慮事項
このトピックでは、App-V 5.0 のアカウントとグループ、ログ ファイル、その他のセキュリティ関連の考慮事項の簡単な概要について説明します。
重要
App-V 5.0 はセキュリティ製品ではなく、セキュリティで保護された環境に対する保証を提供しません。
PackageStoreAccessControl (PSAC) 機能は非推奨になりました
2014 年 6 月の時点で、Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) で導入された PackageStoreAccessControl (PSAC) 機能は、シングルユーザー環境とマルチユーザー環境の両方で非推奨になりました。
一般的なセキュリティに関する考慮事項
セキュリティ リスクを理解する。 App-V 5.0 の最も重大なリスクは、承認されていないユーザーが App-V 5.0 クライアントでキー データを再構成することで、その機能が乗っ取られる可能性があるということです。 サービス拒否攻撃による短時間の App-V 5.0 機能の喪失は、一般に致命的な影響を与えるわけではありません。
コンピューターを物理的にセキュリティで保護します。 物理的なセキュリティがない場合、セキュリティは不完全です。 App-V 5.0 サーバーに物理的にアクセスできるユーザーは、クライアント ベース全体を攻撃する可能性があります。 潜在的な物理的攻撃は、リスクが高いと見なされ、適切に軽減される必要があります。 App-V 5.0 サーバーは、アクセスが制御された物理的にセキュリティで保護されたサーバー ルームに格納する必要があります。 オペレーティング システムでコンピューターをロックするか、セキュリティで保護されたスクリーン セーバーを使用して、管理者が物理的に存在しない場合は、これらのコンピューターをセキュリティで保護します。
最新のセキュリティ更新プログラムをすべてのコンピューターに適用します。 オペレーティング システム、Microsoft SQL Server、App-V 5.0 の最新の更新プログラムに関する情報を得るには、セキュリティ通知サービス ()https://go.microsoft.com/fwlink/p/?LinkId=28819 をサブスクライブします。
強力なパスワードまたはパス フレーズを使用します。 すべての App-V 5.0 および App-V 5.0 管理者アカウントには、常に 15 文字以上の強力なパスワードを使用します。 空白のパスワードは使用しないでください。 パスワードの概念の詳細については、TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009) の「アカウント パスワードとポリシー」ホワイト ペーパーを参照してください。
App-V 5.0 のアカウントとグループ
ユーザー アカウント管理のベスト プラクティスは、ドメイン グローバル グループを作成し、ユーザー アカウントを追加することです。 次に、App-V 5.0 サーバー上の必要な App-V 5.0 ローカル グループにドメイン グローバル アカウントを追加します。
注
発行サーバーに接続する必要がある App-V クライアント コンピューター アカウントは、発行サーバーの Users ローカル グループの一部である必要があります。 既定では、ドメイン内のすべてのコンピューターは 、承認されたユーザー グループの一部であり、 ユーザー ローカル グループの一部です。
App-V 5.0 サーバーのセキュリティ
App-V 5.0 のセットアップ中にグループは自動的に作成されません。 App-V 5.0 サーバー操作を管理するには、次のActive Directory Domain Servicesグローバル グループを作成する必要があります。
| グループ名 | 詳細 |
|---|---|
App-V Management 管理 グループ |
App-V 5.0 管理サーバーの管理に使用されます。 このグループは、App-V 5.0 Management Server のインストール中に作成されます。
重要
インストールを完了した後、管理コンソールを使用してグループを作成する方法はありません。 |
Management Service アカウントのデータベースの読み取り/書き込み |
管理データベースへの読み取り/書き込みアクセスを提供します。 このアカウントは、App-V 5.0 管理データベースのインストール中に作成する必要があります。 |
App-V Management Service インストール管理者アカウント
注
これは、管理データベースがサービスとは別にインストールされている場合にのみ必要です。 |
管理データベース内のスキーマ バージョン テーブルへのパブリック アクセスを提供します。 このアカウントは、App-V 5.0 管理データベースのインストール中に作成する必要があります。 |
App-V Reporting Service インストール管理者アカウント
注
これは、レポート データベースがサービスとは別にインストールされている場合にのみ必要です。 |
レポート データベース内のスキーマ バージョン テーブルへのパブリック アクセス。 このアカウントは、App-V 5.0 レポート データベースのインストール中に作成する必要があります。 |
次の追加情報を検討してください。
パッケージ共有へのアクセス - 共有が管理サーバーと同じコンピューターに存在する場合、 ネットワーク サービスには共有への読み取りアクセスが必要です。 さらに、各 App-V クライアント コンピューターには、パッケージ共有への読み取りアクセス権が必要です。
注
以前のバージョンの App-V では、パッケージ共有はコンテンツ共有と呼ばれていました。発行サーバーを管理サーバーに登録する - 発行サーバーを管理サーバーに登録する必要があります。 たとえば、発行サーバー コンピューター アカウントが Management サービス API を呼び出すことができるように、データベースに追加する必要があります。
App-V 5.0 パッケージのセキュリティ
次は、仮想化されたパッケージがセキュリティで保護されていることを確認する方法を計画するのに役立ちます。
- アプリケーション インストーラーがファイルまたはディレクトリにアクセス制御リスト (ACL) を適用する場合、その ACL はパッケージに保持されません。 パッケージが展開されると、ファイルまたはディレクトリがユーザーによって変更された場合、 %userprofile% の ACL を継承するか、ターゲット コンピューターのディレクトリの ACL を継承します。 前者のケースは、ファイルまたはディレクトリが仮想ファイル システムの場所に存在しない場合に発生します。後者のケースは、ファイルまたはディレクトリが仮想ファイル システムの場所 ( %windir% など) に存在する場合に発生します。
App-V 5.0 ログ ファイル
App-V 5.0 のセットアップ中、セットアップ ログ ファイルはインストールユーザーの %temp% フォルダーに作成されます。