App-V のセキュリティに関する考慮事項
適用対象:
- Windows 10
- Windows 11
この記事では、Microsoft Application Virtualization (App-V) のアカウントとグループ、ログ ファイル、およびその他のセキュリティ関連の考慮事項の概要について説明します。
重要
App-V はセキュリティ製品ではなく、セキュリティで保護された環境に対して保証を提供しません。
PackageStoreAccessControl (PSAC) 機能は非推奨になりました
2014 年 6 月より、Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) で導入された PackageStoreAccessControl (PSAC) 機能は、シングル ユーザー環境とマルチユーザー環境の両方で非推奨になりました。
セキュリティに関する一般的な考慮事項
セキュリティ リスクを理解する。 App-V に対する最も深刻なリスクは、承認されていないユーザーが App-V クライアントの機能を乗っ取り、ハッカーに App-V クライアントのキー データを再構成できることです。 これに対し、サービス拒否攻撃による App-V 機能の短期的な損失は、致命的なものではないでしょう。
コンピューターを物理的にセキュリティで保護します。 物理的なセキュリティを考慮しないセキュリティ戦略は不完全です。 App-V サーバーへの物理的なアクセス権を持つすべてのユーザーが、クライアント ベース全体を攻撃する可能性があるため、潜在的な物理的な攻撃や盗難は、すべてのコストで防止する必要があります。 App-V サーバーは、アクセスが制御された物理的にセキュリティで保護されたサーバー ルームに格納する必要があります。 オペレーティング システムまたはセキュリティで保護されたスクリーン セーバーを使用してコンピューターをロックし、管理者が離れているときにコンピューターをセキュリティで保護します。
最新のセキュリティ更新プログラムをすべてのコンピューターに適用します。 オペレーティング システム、Microsoft SQL Server、App-V の最新の更新プログラムについては、Microsoft Security TechCenter を参照してください。 (このリンクは更新する必要があります)
強力なパスワードを使用するか、フレーズを渡します。 すべての App-V および App-V 管理者アカウントには、常に 15 文字以上の強力なパスワードを使用します。 空白のパスワードは使用しないでください。 パスワードの概念の詳細については、「 パスワード ポリシー と 強力なパスワード」を参照してください。 (このリンクは更新する必要があります)
App-V のアカウントとグループ
ユーザー アカウント管理のベスト プラクティスは、ドメイン グローバル グループを作成し、ユーザー アカウントを追加することです。 その後、ドメイン グローバル アカウントを App-V サーバー上の必要な App-V ローカル グループに追加します。
注
発行サーバーに接続する必要がある App-V クライアント コンピューター アカウントは、発行サーバーの Users ローカル グループの一部である必要があります。 既定では、ドメイン内のすべてのコンピューターは、Users ローカル グループの一部である [承認されたユーザー] グループの一部です。
App-V サーバーのセキュリティ
App-V のセットアップ中にグループは自動的に作成されません。 App-V サーバー操作を管理するには、次のActive Directory Domain Servicesグローバル グループを作成する必要があります。
| グループ名 | 詳細 | 重要な注意 |
|---|---|---|
| App-V Management 管理 グループ | App-V 管理サーバーを管理するために使用されます。 このグループは、App-V 管理サーバーのインストール中に作成されます。 | インストールが完了した後、管理コンソールは新しいグループを作成できません。 |
| Management Service アカウントのデータベースの読み取り/書き込み | 管理データベースへの読み取り/書き込みアクセスを提供します。 このアカウントは、App-V 管理データベースのインストール中に作成する必要があります。 | |
| App-V Management Service の管理者アカウントのインストール | 管理データベース内のスキーマ バージョン テーブルへのパブリック アクセスを提供します。 このアカウントは、App-V 管理データベースのインストール中に作成する必要があります。 | このアカウントは、管理データベースがサービスとは別にインストールされている場合にのみ必要です。 |
| App-V Reporting Service の管理者アカウントのインストール | レポート データベース内のスキーマ バージョン テーブルへのパブリック アクセス。 このアカウントは、App-V レポート データベースのインストール中に作成する必要があります。 | このアカウントは、レポート データベースがサービスとは別にインストールされている場合にのみ必要です。 |
次の追加情報を検討してください。
- パッケージ共有へのアクセス: 共有が管理サーバーと同じコンピューター上に存在する場合、 ネットワーク サービスは共有への読み取りアクセスを必要とします。 さらに、各 App-V クライアント コンピューターには、パッケージ共有への読み取りアクセス権が必要です。
注
以前のバージョンの App-V では、パッケージ共有はコンテンツ共有と呼ばれていました。
- 発行サーバーを管理サーバーに登録する: 発行サーバーを管理サーバーに登録する必要があります。 たとえば、発行サーバー マシン アカウントが Management サービス API を呼び出すことができるように、データベースに追加する必要があります。
App-V パッケージのセキュリティ
次の情報は、仮想化されたパッケージがセキュリティで保護されていることを確認する方法を計画するのに役立ちます。
- アプリケーション インストーラーがアクセス制御リスト (ACL) をファイルまたはディレクトリに適用する場合、その ACL はパッケージに保持されません。 パッケージの展開時にファイルまたはディレクトリがユーザーによって変更された場合、変更されたファイルまたはディレクトリは %userprofile% 内の ACL を継承するか、ターゲット コンピューターのディレクトリの ACL を継承します。 前者は、ファイルまたはディレクトリが仮想ファイル システムの場所に存在しない場合に発生します。後者は、ファイルまたはディレクトリが仮想ファイル システムの場所 ( %windir% など) に存在する場合に発生します。
App-V ログ ファイル
App-V のセットアップ中に、セットアップ ログ ファイルは、インストールしているユーザーの %temp% フォルダーに作成されます。