次の方法で共有


App-V 5.1 のセキュリティに関する考慮事項

この記事では、Microsoft Application Virtualization (App-V) 5.1 のアカウントとグループ、ログ ファイル、およびその他のセキュリティ関連の考慮事項の概要について説明します。

重要

App-V 5.1 はセキュリティ製品ではなく、セキュリティで保護された環境に対する保証を提供しません。

PackageStoreAccessControl (PSAC) 機能は非推奨になりました

2014 年 6 月より、Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) で導入された PackageStoreAccessControl (PSAC) 機能は、シングル ユーザー環境とマルチユーザー環境の両方で非推奨になりました。

セキュリティに関する一般的な考慮事項

セキュリティ リスクを理解する。 App-V 5.1 の最も深刻なリスクは、App-V 5.1 クライアントのキー データを再構成できる、承認されていないユーザーによって機能が乗っ取られる可能性があるということです。 サービス拒否攻撃による App-V 5.1 機能の短期間の損失は、一般に致命的な影響を与えるものではありません。

コンピューターを物理的にセキュリティで保護します。 物理的なセキュリティなしでは、セキュリティが不完全です。 App-V 5.1 サーバーへの物理的なアクセス権を持つすべてのユーザーが、クライアント ベース全体を攻撃する可能性があります。 潜在的な物理的な攻撃は、高リスクと見なされ、適切に軽減される必要があります。 App-V 5.1 サーバーは、アクセスを制御する物理的にセキュリティで保護されたサーバー ルームに格納する必要があります。 管理者が物理的に存在しない場合は、オペレーティング システムでコンピューターをロックするか、セキュリティで保護されたスクリーン セーバーを使用して、これらのコンピューターをセキュリティで保護します。

最新のセキュリティ更新プログラムをすべてのコンピューターに適用します

強力なパスワードを使用するか、フレーズを渡します。 すべての App-V 5.1 および App-V 5.1 管理者アカウントでは、常に 15 文字以上の強力なパスワードを使用します。 空白のパスワードは使用しないでください。 パスワードの概念の詳細については、「 アカウント パスワードとポリシー」を参照してください。

App-V 5.1 のアカウントとグループ

ユーザー アカウント管理のベスト プラクティスは、ドメイン グローバル グループを作成し、ユーザー アカウントを追加することです。 次に、ドメイン グローバル アカウントを、App-V 5.1 サーバー上の必要な App-V 5.1 ローカル グループに追加します。

発行サーバーに接続する必要がある App-V クライアント コンピューター アカウントは、発行サーバーの Users ローカル グループの一部である必要があります。 既定では、ドメイン内のすべてのコンピューターは、Users ローカル グループの一部である [承認されたユーザー] グループの一部です。

App-V 5.1 サーバーのセキュリティ

App-V 5.1 のセットアップ中にグループは自動的に作成されません。 App-V 5.1 サーバー操作を管理するには、次の Active Directory Domain Services グローバル グループを作成する必要があります。

グループ名 詳細
App-V 管理管理グループ App-V 5.1 管理サーバーを管理するために使用されます。 このグループは、App-V 5.1 管理サーバーのインストール中に作成されます。
大事な: インストールを完了した後、管理コンソールを使用してグループを作成する方法はありません。
Management Service アカウントのデータベースの読み取り/書き込み 管理データベースへの読み取り/書き込みアクセスを提供します。 このアカウントは、App-V 5.1 管理データベースのインストール中に作成する必要があります。
App-V Management Service の管理者アカウントのインストール 管理データベース内のスキーマ バージョン テーブルへのパブリック アクセスを提供します。 このアカウントは、App-V 5.1 管理データベースのインストール中に作成する必要があります。
手記: これは、管理データベースがサービスとは別にインストールされている場合にのみ必要です。
App-V Reporting Service の管理者アカウントのインストール レポート データベース内のスキーマ バージョン テーブルへのパブリック アクセス。 このアカウントは、App-V 5.1 レポート データベースのインストール中に作成する必要があります。
手記: これは、レポート データベースがサービスとは別にインストールされている場合にのみ必要です。

次の追加情報を検討してください。

  • パッケージ共有へのアクセス - 共有が管理サーバーと同じコンピューターに存在する場合、 ネットワーク サービスは共有への読み取りアクセスを必要とします。 さらに、各 App-V クライアント コンピューターには、パッケージ共有への読み取りアクセス権が必要です。

    以前のバージョンの App-V では、パッケージ共有はコンテンツ共有と呼ばれていました。

  • 発行サーバーを管理サーバーに登録する - 発行サーバーを管理サーバーに登録する必要があります。 たとえば、発行サーバー マシン アカウントが Management サービス API を呼び出すことができるように、データベースに追加する必要があります。

App-V 5.1 パッケージのセキュリティ

仮想化されたパッケージがセキュリティで保護されていることを確認する方法を計画するには、次の手順に従います。

  • アプリケーション インストーラーがアクセス制御リスト (ACL) をファイルまたはディレクトリに適用する場合、その ACL はパッケージに保持されません。 パッケージが展開されると、ファイルまたはディレクトリがユーザーによって変更された場合、 %userprofile% 内の ACL を継承するか、ターゲット コンピューターのディレクトリの ACL を継承します。 前者のケースは、ファイルまたはディレクトリが仮想ファイル システムの場所に存在しない場合に発生します。後者のケースは、ファイルまたはディレクトリが仮想ファイル システムの場所 ( %windir% など) に存在する場合に発生します。

App-V 5.1 ログ ファイル

App-V 5.1 のセットアップ中に、セットアップ ログ ファイルはインストールしているユーザーの %temp% フォルダーに作成されます。