App-V 5.0 のセキュリティに関する考慮事項
適用対象: Application Virtualization 5.0, Application Virtualization 5.0 SP1, Application Virtualization 5.0 SP2, Application Virtualization 5.0 SP3
ここでは、App-V 5.0 のアカウントとグループの概要、ログ ファイル、およびその他のセキュリティ関連の考慮事項について説明します。
重要
App-V 5.0 はセキュリティ製品ではないため、安全な環境に関する一切の保証を提供しません。
PackageStoreAccessControl (PSAC) 機能は廃止されました
Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) で導入された PackageStoreAccessControl (PSAC) 機能は、2014 年 6 月をもって、シングル ユーザー環境とマルチユーザー環境の両方で廃止されました。
一般的なセキュリティに関する考慮事項
セキュリティ リスクについて理解します。 App-V 5.0 にとって最も深刻なリスクは、認証されていないユーザーに機能を乗っ取られ、App-V 5.0 クライアントの重要なデータを再構成されることです。サービス拒否 (DOS) 攻撃によって、短時間、App-V 5.0 が機能しなくなるだけであれば、通常はそれほど致命的な影響はありません。
コンピューターのセキュリティを物理的に保護する。セキュリティを万全にするには、物理的な保護が必要です。誰もが App-V 5.0 サーバーに物理的にアクセスできる状態だと、クライアント ベース全体が攻撃される可能性があります。考え得るすべての物理的な攻撃を高リスクとして扱い、リスクを適切に軽減する必要があります。また、App-V 5.0 サーバーは物理的に安全なサーバー室に保管し、アクセスを制御する必要があります。管理者が不在の場合は、オペレーティング システムでコンピューターをロックするか、パスワードで保護したスクリーン セーバーを使用してサーバーのコンピューターを保護します。
すべてのコンピューターに最新のセキュリティ更新プログラムを適用する。オペレーティング システム、Microsoft SQL Server、および App-V 5.0 の最新の更新プログラムに関する情報を常に入手できるようにするには、セキュリティ情報通知サービス (https://go.microsoft.com/fwlink/p/?LinkId=28819) に登録します。
強力なパスワードまたはパス フレーズを使用します。すべての App-V 5.0 および App-V 5.0 管理者アカウントには、常に 15 文字以上の強力なパスワードを使用します。空のパスワードは使用しないでください。パスワードの概念の詳細については、「Account Passwords and Policies (アカウントのパスワードとポリシー)」ホワイト ペーパー (https://go.microsoft.com/fwlink/p/?LinkId=30009) をご覧ください。
App-V 5.0 のアカウントとグループ
ユーザー アカウント管理のベスト プラクティスは、ドメイン グローバル グループを作成し、ユーザー アカウントをそのグループに追加します。その後、ドメイン グローバル アカウントを、App-V 5.0 サーバーの必要な App-V 5.0 ローカル グループに追加します。
注意
公開サーバーに接続する必要がある App-V クライアント コンピューターのアカウントは、公開サーバーのユーザー ローカル グループの一部である必要があります。既定では、ドメイン内のすべてのコンピューターが、ユーザー ローカル グループの一部である、権限のあるユーザー グループに含まれます。
App-V 5.0 サーバーのセキュリティ
App-V 5.0 のセットアップ中に、グループは自動的に作成されません。App-V 5.0 サーバーの運用を管理するために、次の Active Directory ドメイン サービス グローバル グループを作成する必要があります。
| グループ名 | 詳細情報 |
|---|---|
App-V 管理の管理者グループ |
App-V 5.0 管理サーバーの管理に使用されます。このグループは、App-V 5.0 管理サーバーのインストール中に作成されます。 重要 インストールが完了した後で、管理コンソールを使用して、このグループを作成する方法はありません。 |
管理サービスのデータベース読み取り/書き込みアカウント |
管理データベースに対する読み取り/書き込みアクセスを提供します。このアカウントは、App-V 5.0 管理データベースのインストール中に作成する必要があります。 |
App-V 管理サービス インストール管理者アカウント 注意 このアカウントは、サービスとは別に管理データベースをインストールする場合に限り必要です。 |
管理データベースのスキーマ バージョン テーブルへのパブリック アクセスを提供します。このアカウントは、App-V 5.0 管理データベースのインストール中に作成する必要があります。 |
App-V レポート サービス インストール管理者アカウント 注意 このアカウントは、サービスとは別にレポート データベースをインストールする場合に限り必要です。 |
レポート データベースのスキーマ バージョン テーブルへのパブリック アクセスを提供します。このアカウントは、App-V 5.0 レポート データベースのインストール中に作成する必要があります。 |
次の追加情報を考慮します。
パッケージ共有へのアクセス - 共有が管理サーバーと同じコンピューターに存在する場合、[ネットワーク] サービスでは、共有への読み取りアクセスが必要です。さらに、各 App-V クライアント コンピューターにパッケージ共有への読み取りアクセスが必要です。
注意
App-V の以前のバージョンでは、パッケージ共有はコンテンツ共有として参照されていました。
管理サーバーへの公開サーバーの登録 - 公開サーバーは管理サーバーに登録する必要があります。たとえば、公開サーバー コンピューターのアカウントが管理サービス API を呼び出せるように、公開サーバーをデータベースに追加する必要があります。
App-V 5.0 パッケージのセキュリティ
次の情報は、仮想化パッケージのセキュリティ保護の方法を計画する際に役立ちます。
- アプリケーションのインストーラーが、ファイルまたはディレクトリに対してアクセス制御リスト (ACL) を適用する場合、その ACL はパッケージで保持されません。パッケージを展開するときに、ファイルまたはディレクトリがユーザーによって変更されている場合、%userprofile% の ACL を継承するか、ターゲット コンピューターのディレクトリの ACL を継承します。前者は、ファイルまたはディレクトリが仮想ファイル システムの場所に存在しない場合に該当します。後者は、ファイルまたはディレクトリが仮想ファイル システムの場所 (%windir% など) に存在する場合に該当します。
App-V 5.0 のログ ファイル
App-V 5.0 のセットアップ中に、インストールするユーザーの %temp% フォルダーにセットアップ ログ ファイルが作成されます。
-
APP-V への提案がございますか
こちらから提案を追加するか、提案に投票してください。App V の問題については、「APP-V に関する TechNet フォーラム」を利用してください。
関連項目
その他の参照情報
Security and Privacy for App-V 5.0
-----
MDOP の詳細については、TechNet ライブラリを参照してください。TechNet Wiki では、トラブルシューティング情報を検索できます。また、Microsoft の Facebook と Twitter をフォローすることをお勧めします。
-----