Considerações de segurança do App-V para Windows
Aplica-se a:
- Windows 10
- Windows 11
Este artigo contém uma breve descrição geral das contas e grupos, ficheiros de registo e outras considerações relacionadas com segurança para o Microsoft Application Virtualization (App-V).
Importante
O App-V não é um produto de segurança e não fornece garantias para um ambiente seguro.
A funcionalidade PackageStoreAccessControl (PSAC) foi preterida
Em vigor a partir de junho de 2014, a funcionalidade PackageStoreAccessControl (PSAC) introduzida no Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) foi preterida em ambientes de utilizador único e multiutilizador.
Considerações gerais de segurança
Compreenda os riscos de segurança. O risco mais grave para o App-V é de utilizadores não autorizados que sequestram a funcionalidade de um cliente app-V, dando ao hacker a capacidade de reconfigurar dados chave em clientes App-V. Em comparação, a perda a curto prazo da funcionalidade App-V de um ataque denial-of-service não seria tão catastrófica.
Proteja fisicamente os seus computadores. Uma estratégia de segurança que não considera a segurança física está incompleta. Qualquer pessoa com acesso físico a um servidor App-V pode potencialmente atacar toda a base de cliente, pelo que os potenciais ataques físicos ou roubos devem ser evitados a todo o custo. Os servidores App-V devem ser armazenados numa sala de servidor fisicamente segura com acesso controlado. Bloqueie o computador com o sistema operativo ou com uma proteção de proteção de ecrã para manter os computadores seguros quando os administradores estiverem ausentes.
Aplique as atualizações de segurança mais recentes a todos os computadores.
Utilize palavras-passe fortes ou frases de acesso. Utilize sempre palavras-passe fortes com 15 ou mais carateres para todas as contas de administrador app-V e App-V. Nunca utilize palavras-passe em branco. Para obter mais informações sobre os conceitos de palavra-passe, consulte Política de Palavras-passe e Palavras-passe Fortes.
Contas e grupos no App-V
Uma melhor prática para a gestão de contas de utilizador é criar grupos globais de domínio e adicionar-lhes contas de utilizador. Depois disso, adicione as contas globais de domínio aos grupos locais de App-V necessários nos servidores App-V.
Observação
As contas de computador cliente app-V que precisam de se ligar ao servidor de publicação têm de fazer parte do grupo local Utilizadores do servidor de publicação. Por predefinição, todos os computadores no domínio fazem parte do grupo Utilizadores Autorizados , que faz parte do grupo local Utilizadores .
Segurança do servidor App-V
Não são criados grupos automaticamente durante a configuração do App-V. Deve criar os seguintes grupos globais dos Serviços de Domínio do Active Directory para gerir as operações do servidor App-V.
| Nome do grupo | Detalhes | Observações importantes |
|---|---|---|
| Grupo de Administração de Gestão app-V | Utilizado para gerir o servidor de gestão app-V. Este grupo é criado durante a instalação do Servidor de Gestão app-V. | A consola de gestão não consegue criar um novo grupo após a conclusão da instalação. |
| Leitura/escrita da base de dados para a conta do Serviço de Gestão | Fornece acesso de leitura/escrita à base de dados de gestão. Esta conta deve ser criada durante a instalação da base de dados de gestão do App-V. | |
| Conta de administrador de instalação do Serviço de Gestão app-V | Fornece acesso público à tabela de versões de esquema na base de dados de gestão. Esta conta deve ser criada durante a instalação da base de dados de gestão do App-V. | Esta conta só é necessária se a base de dados de gestão estiver a ser instalada separadamente do serviço. |
| Conta de administrador de instalação do Serviço de Relatórios app-V | Acesso público à tabela da versão do esquema na base de dados de relatórios. Esta conta deve ser criada durante a instalação da base de dados de relatórios app-V. | Esta conta só é necessária se a base de dados de relatórios estiver a ser instalada separadamente do serviço. |
Considere as seguintes informações adicionais:
Acesso às partilhas de pacotes: se existir uma partilha no mesmo computador que o Servidor de gestão, o Serviço de rede requer acesso de leitura à partilha. Além disso, cada computador cliente app-V tem de ter acesso de leitura à partilha de pacote.
Observação
Em versões anteriores do App-V, a partilha de pacotes era referida como partilha de conteúdos.
Registar servidores de publicação no Servidor de Gestão: tem de ser registado um servidor de publicação no servidor de Gestão. Por exemplo, tem de ser adicionada à base de dados, para que as contas do computador do servidor de publicação possam chamar para a API do serviço de Gestão.
Segurança do pacote App-V
Se um instalador de aplicações aplicar uma lista de controlo de acesso (ACL) a um ficheiro ou diretório, essa ACL não será mantida no pacote. Se o ficheiro ou diretório for modificado por um utilizador quando o pacote é implementado, o ficheiro ou diretório modificado herdará a ACL em %userprofile% ou herdará a ACL do diretório do computador de destino. O primeiro ocorre se o ficheiro ou diretório não existir numa localização do sistema de ficheiros virtual; este último ocorre se o ficheiro ou diretório existir numa localização do sistema de ficheiros virtual, como %windir%.
Ficheiros de registo do App-V
Durante a configuração do App-V, os ficheiros de registo de configuração são criados na pasta %temp% do utilizador que está a instalar.