App-V 5.0 のセキュリティに関する考慮事項
このトピックでは、App-V 5.0 のアカウントとグループ、ログ ファイル、およびその他のセキュリティ関連の考慮事項の概要について説明します。
大事な App-V 5.0 はセキュリティ製品ではなく、セキュリティで保護された環境に対する保証を提供しません。
PackageStoreAccessControl (PSAC) 機能は非推奨になりました
2014 年 6 月より、Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) で導入された PackageStoreAccessControl (PSAC) 機能は、シングル ユーザー環境とマルチユーザー環境の両方で非推奨になりました。
セキュリティに関する一般的な考慮事項
セキュリティ リスクを理解する。 App-V 5.0 の最も深刻なリスクは、App-V 5.0 クライアントでキー データを再構成できる、承認されていないユーザーによって機能が乗っ取られる可能性があるということです。 サービス拒否攻撃による App-V 5.0 機能の短期間の損失は、一般に致命的な影響を与えるものではありません。
コンピューターを物理的にセキュリティで保護します。 物理的なセキュリティなしでは、セキュリティが不完全です。 App-V 5.0 サーバーへの物理的なアクセス権を持つすべてのユーザーが、クライアント ベース全体を攻撃する可能性があります。 潜在的な物理的な攻撃は、高リスクと見なされ、適切に軽減される必要があります。 App-V 5.0 サーバーは、アクセスが制御された物理的にセキュリティで保護されたサーバー ルームに格納する必要があります。 管理者が物理的に存在しない場合は、オペレーティング システムでコンピューターをロックするか、セキュリティで保護されたスクリーン セーバーを使用して、これらのコンピューターをセキュリティで保護します。
最新のセキュリティ更新プログラムをすべてのコンピューターに適用します。 オペレーティング システム、Microsoft SQL Server、App-V 5.0 の最新の更新プログラムに関する最新情報を常に把握するには、セキュリティ通知サービス (https://go.microsoft.com/fwlink/p/?LinkId=28819) をサブスクライブします。
強力なパスワードを使用するか、フレーズを渡します。 すべての App-V 5.0 および App-V 5.0 管理者アカウントでは、常に 15 文字以上の強力なパスワードを使用します。 空白のパスワードは使用しないでください。 パスワードの概念の詳細については、TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009) の「アカウント パスワードとポリシー」ホワイト ペーパーを参照してください。
App-V 5.0 のアカウントとグループ
ユーザー アカウント管理のベスト プラクティスは、ドメイン グローバル グループを作成し、ユーザー アカウントを追加することです。 次に、App-V 5.0 サーバー上の必要な App-V 5.0 ローカル グループにドメイン グローバル アカウントを追加します。
手記 発行サーバーに接続する必要がある App-V クライアント コンピューター アカウントは、発行サーバーの Users ローカル グループの一部である必要があります。 既定では、ドメイン内のすべてのコンピューターは、Users ローカル グループの一部である [承認されたユーザー] グループの一部です。
App-V 5.0 サーバーのセキュリティ
App-V 5.0 のセットアップ中にグループは自動的に作成されません。 App-V 5.0 サーバー操作を管理するには、次の Active Directory Domain Services グローバル グループを作成する必要があります。
| グループ名 | 詳細 |
|---|---|
App-V 管理管理グループ |
App-V 5.0 管理サーバーの管理に使用されます。 このグループは、App-V 5.0 管理サーバーのインストール中に作成されます。
重要
インストールを完了した後、管理コンソールを使用してグループを作成する方法はありません。 |
Management Service アカウントのデータベースの読み取り/書き込み |
管理データベースへの読み取り/書き込みアクセスを提供します。 このアカウントは、App-V 5.0 管理データベースのインストール中に作成する必要があります。 |
App-V Management Service の管理者アカウントのインストール
注
これは、管理データベースがサービスとは別にインストールされている場合にのみ必要です。 |
管理データベース内のスキーマ バージョン テーブルへのパブリック アクセスを提供します。 このアカウントは、App-V 5.0 管理データベースのインストール中に作成する必要があります。 |
App-V Reporting Service の管理者アカウントのインストール
注
これは、レポート データベースがサービスとは別にインストールされている場合にのみ必要です。 |
レポート データベース内のスキーマ バージョン テーブルへのパブリック アクセス。 このアカウントは、App-V 5.0 レポート データベースのインストール中に作成する必要があります。 |
次の追加情報を検討してください。
パッケージ共有へのアクセス - 共有が管理サーバーと同じコンピューターに存在する場合、 ネットワーク サービスは共有への読み取りアクセスを必要とします。 さらに、各 App-V クライアント コンピューターには、パッケージ共有への読み取りアクセス権が必要です。
手記 以前のバージョンの App-V では、パッケージ共有はコンテンツ共有と呼ばれていました。
発行サーバーを管理サーバーに登録する - 発行サーバーを管理サーバーに登録する必要があります。 たとえば、発行サーバー マシン アカウントが Management サービス API を呼び出すことができるように、データベースに追加する必要があります。
App-V 5.0 パッケージのセキュリティ
仮想化されたパッケージがセキュリティで保護されていることを確認する方法を計画するには、次の手順に従います。
- アプリケーション インストーラーがアクセス制御リスト (ACL) をファイルまたはディレクトリに適用する場合、その ACL はパッケージに保持されません。 パッケージが展開されると、ファイルまたはディレクトリがユーザーによって変更された場合、 %userprofile% 内の ACL を継承するか、ターゲット コンピューターのディレクトリの ACL を継承します。 前者のケースは、ファイルまたはディレクトリが仮想ファイル システムの場所に存在しない場合に発生します。後者のケースは、ファイルまたはディレクトリが仮想ファイル システムの場所 ( %windir% など) に存在する場合に発生します。
App-V 5.0 ログ ファイル
App-V 5.0 のセットアップ中に、セットアップ ログ ファイルはインストールしているユーザーの %temp% フォルダーに作成されます。