次の方法で共有

UE-V 1.0 のセキュリティに関する考慮事項

  • [アーティクル]

適用対象: User Experience Virtualization 1.0

ここでは、Microsoft User Experience Virtualization (UE-V) のアカウントとグループ、ログ ファイル、その他のセキュリティ関連の考慮事項の概要について説明します。 詳細については、記載されているリンクをクリックしてください。

UE-V 構成のセキュリティに関する考慮事項

設定の保存共有を作成するときは、アクセスを必要とするユーザーにのみ、共有のアクセスを制限します。

設定パッケージには個人情報が含まれる場合があるため、可能な限り情報の保護を考慮する必要があります。 一般的には、次を実行します。

  • アクセスを必要とするユーザーにのみ、共有を制限します。 特定の共有上にリダイレクトされたフォルダーを持つユーザー用にセキュリティ グループを作成し、そのユーザーにのみアクセスを制限します。

  • 共有を作成するときに、共有名の末尾に $ を付加して共有を非表示にします。 その結果、通常のブラウザーには共有が非表示になり、マイ ネットワークでも共有を表示できなくなります。

  • ユーザーには必要最小限のアクセス許可のみを付与します。 次の表に、必要なアクセス許可を示します。

    1. 設定の保存場所フォルダーについて、次の共有レベル (SMB) アクセス許可を設定します。

      ユーザー アカウント 推奨されるアクセス許可

      すべてのユーザー

      アクセス許可なし

      UE-V のセキュリティ グループ

      フル コントロール

    2. 設定の保存場所フォルダーの次の NTFS アクセス許可を設定します。

      ユーザー アカウント 推奨されるアクセス許可 フォルダー

      作成者/所有者

      アクセス許可なし

      アクセス許可なし

      ドメイン管理者

      フル コントロール

      このフォルダー、サブフォルダー、およびファイル

      UE-V ユーザーのセキュリティ グループ

      フォルダーの一覧/データの読み取り、フォルダーの作成/データの追加

      このフォルダーのみ

      すべてのユーザー

      すべてのアクセス許可の削除

      アクセス許可なし

    3. 設定テンプレート カタログ フォルダーについて、次の共有レベル (SMB) アクセス許可を設定します。

      ユーザー アカウント 推奨されるアクセス許可

      すべてのユーザー

      アクセス許可なし

      ドメイン コンピューター

      読み取りアクセス許可レベル

      管理者

      読み取り/書き込みアクセス許可レベル

    4. 設定テンプレート カタログ フォルダーの次の NTFS アクセス許可を設定します。

      ユーザー アカウント 推奨されるアクセス許可 適用先

      作成者/所有者

      フル コントロール

      このフォルダー、サブフォルダー、およびファイル

      ドメイン コンピューター

      フォルダーの内容の一覧表示と読み取り

      このフォルダー、サブフォルダー、およびファイル

      すべてのユーザー

      アクセス許可なし

      アクセス許可なし

      管理者

      フル コントロール

      このフォルダー、サブフォルダー、およびファイル

Windows Server 2003 以降のサーバーによるリダイレクトされたファイル共有のホスト

ユーザー設定のパッケージ ファイルには、クライアント コンピューターと設定パッケージを保存するサーバーとの間で転送される個人情報が含まれます。 そのため、このようなネットワークで転送するときは保護する必要があります。

ユーザー設定データは、データがネットワークで渡されるときの傍受、データがネットワークで渡されるときのデータの改ざん、およびデータをホストするサーバーのなりすましという脅威の可能性に対して脆弱です。

Windows Server 2003 以降の一部の機能は、ユーザー データのセキュリティ保護に役立ちます。

  • Kerberos - Kerberos はすべてのバージョンの Windows 2000 および Windows Server 2003 以降で標準です。 Kerberos によって、ネットワーク リソースに対して最高レベルのセキュリティを確保できます。 NTLM はクライアントのみを認証しますが、Kerberos はサーバーとクライアントを認証します。 NTLM を使用する場合、クライアントはサーバーが有効化どうかを認識しません。 これは、プロファイルの移動の場合と同様に、クライアントが個人ファイルをサーバーと交換する場合に特に重要です。 Kerberos には NTLM よりも高度なセキュリティ機能があります。 Windows NT version 4.0 以前のオペレーティング システムでは Kerberos を使用できません。

  • IPsec - IP セキュリティ プロトコル (IPsec) には、ネットワークレベルの認証、データの整合性、および暗号化の機能があります。 IPsec によって、以下を確保します。

    • 移動されるデータを、転送中のデータの変更から保護する。

    • 移動されるデータを、傍受、表示、またはコピーから保護する。

    • 移動されるデータを、認証されていないパーティからのアクセスから保護する。

  • SMB 署名 - サーバー メッセージ ブロック (SMB) 認証プロトコルは、アクティブ メッセージ攻撃と "man-in-the-middle" 攻撃を回避するメッセージ認証をサポートします。 SMB 署名は、デジタル署名を各 SMB に配置することで、この認証機能を実現しています。 配置されたデジタル署名は、クライアントとサーバーの両方から検証されます。 SMB 署名を使用するには、まず SMB クライアントと SMB サーバーの両方で SMB 署名を有効にするか、必須にします。 ただし、SMB 署名を使用するとパフォーマンスが低下します。 追加のネットワーク帯域幅は使用しませんが、クライアント側とサーバー側でより多くの CPU サイクルが使用されます。

ユーザー データを保存するボリュームでは常に NTFS ファイル システムを使用

構成のセキュリティ保護を最高レベルにするには、UE-V 設定ファイルをホストするサーバーが NTFS ファイル システムを使用するように構成します。 NTFS は、FAT とは異なり、随意アクセス制御リスト (DACL) とシステム アクセス制御リスト (SACL) をサポートしています。 DACL と SACL は、ファイルに対して操作を実行できるユーザー、およびファイルで実行されるアクションのログ記録をトリガーするイベントを制御します。

ユーザーのファイルをネットワークで転送するときに、ファイルの暗号化は EFS に頼らないでください。

暗号化ファイル システム (EFS) を使用してリモート サーバー上のファイルを暗号化する場合、暗号化対象のデータはネットワークでの転送時に暗号化されません。ディスクに保存されるときにのみ暗号化されます。

例外は、システムにインターネット プロトコル セキュリティ (IPsec) または Web 分散オーサリングとバージョン管理 (WebDAV) が含まれる場合です。 IPsec は、TCP/IP ネットワークで転送されるときはデータを暗号化します。 ファイルを暗号化してからサーバー上の WebDAV フォルダーにコピーまたは移動する場合、転送中もサーバーに保存されている間も暗号化が維持されます。

オフライン ファイル キャッシュの暗号化

既定では、NTFS パーティション上のオフライン ファイル キャッシュは ACL によって保護されますが、キャッシュの暗号化によってローカル コンピューターのセキュリティはさらに強化されます。 既定では、ローカル コンピューター上のキャッシュは暗号化されないので、ネットワークからキャッシュされた暗号化ファイルは、ローカル コンピューターで暗号化されません。 そのため、環境によってはセキュリティ リスクにつながる可能性があります。

暗号化を有効にすると、オフライン ファイル キャッシュのすべてのファイルが暗号化されます。 これには、既存のファイルと、後で追加されるファイルの暗号化が含まれます。 ローカル コンピューターのキャッシュ済みコピーが影響を受けますが、関連するネットワーク コピーは影響を受けません。

キャッシュは、次の 2 つの方法のいずれかを使用して暗号化できます。

  1. グループ ポリシー経由。 - グループ ポリシー エディターで [コンピューターの構成]\[管理用テンプレート]\[ネットワーク]\[オフライン ファイル] にある [オフライン ファイルのキャッシュを暗号化する] 設定を有効にします。

  2. 手動。 - Windows エクスプローラーのコマンド メニューで [ツール]、[フォルダー オプション] の順に選択します。 [オフライン ファイル] タブを選択し、[オフライン ファイルを暗号化してデータを保護する] チェック ボックスをオンにします。

UE-V Agent による各ユーザー用フォルダーの作成

UE-V が最適に動作するように、サーバーにルート共有のみを作成し、UE-V Agent で各ユーザー用フォルダーを作成します。 UE-V では、適切なセキュリティが設定されたユーザー フォルダーが作成されます。

このアクセス許可構成では、ユーザーが設定の保存用フォルダーを作成できます。 UE-V Agent をユーザーのコンテキストで実行しているときに、settingspackage フォルダーが作成され、保護されます。 ユーザーには、自分の settingspackage フォルダーに対するフル コントロールが付与されます。 他のユーザーはこのフォルダーに対するアクセスを継承しません。 管理者が個々のユーザー ディレクトリを作成して保護する必要はありません。 この処理はユーザーのコンテキストで実行されるエージェントで自動的に実行されます。

注意

設定の保存共有用に Windows サーバーを利用する場合、追加のセキュリティを構成できます。 ローカル管理者のグループまたは現在のユーザーが、設定パッケージが保存されているフォルダーの所有者であることを検証するように、UE-V を構成できます。 追加のセキュリティを有効にするには、次のコマンドを使用します。

  1. "RepositoryOwnerCheckEnabled" という REG_DWORD レジストリ キーを HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration に追加します。

  2. レジストリ キー値を 1 に設定します。

この構成設定を使用すると、UE-V Agent はローカル管理者のグループまたは現在のユーザーが settingspackage フォルダーの所有者であることを検証します。 所有者ではない場合、UE-V Agent はこのフォルダーに対するアクセスを許可しません。

管理者がユーザー用フォルダーを作成する必要がある場合は、正しいアクセス許可を設定するようにします。

フォルダーを事前に作成せずに、UE-V Agent でユーザー用フォルダーを自動作成することを強くお勧めします。

ユーザーのホーム ディレクトリに UE-V 設定を保存するときに正しいアクセス許可が設定されていることを確認

UE-V 設定をユーザーのホーム ディレクトリにリダイレクトする場合、ユーザーのホーム ディレクトリのアクセス許可が組織に合わせて適切に設定されていることを確認します。

参照:

その他のリソース

セキュリティとプライバシーの UE V 1.0

-----
MDOP の詳細については、TechNet ライブラリを参照してください。また、TechNet Wiki を検索して問題を解決したり、マイクロソフトの Facebook または Twitter をフォローしたりすることができます。
-----