Compartilhar via

Considerações de segurança do App-V 5.0

  • Artigo

Este tópico contém uma breve visão geral das contas e grupos, arquivos de log e outras considerações relacionadas à segurança do App-V 5.0.

Importante
O App-V 5.0 não é um produto de segurança e não fornece nenhuma garantia para um ambiente seguro.

O recurso PackageStoreAccessControl (PSAC) foi preterido

A partir de junho de 2014, o recurso PackageStoreAccessControl (PSAC) introduzido no Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) foi preterido em ambientes de usuário único e de vários usuários.

Considerações gerais sobre segurança

Entenda os riscos de segurança. O risco mais grave para o App-V 5.0 é que sua funcionalidade pode ser seqüestrada por um usuário não autorizado que poderia reconfigurar os dados de chave em clientes do App-V 5.0. A perda da funcionalidade do App-V 5.0 por um curto período de tempo devido a um ataque de negação de serviço geralmente não teria um impacto catastrófico.

Proteja fisicamente seus computadores. A segurança está incompleta sem segurança física. Qualquer pessoa com acesso físico a um servidor App-V 5.0 pode potencialmente atacar toda a base de clientes. Todos os possíveis ataques físicos devem ser considerados de alto risco e atenuados adequadamente. Os servidores do App-V 5.0 devem ser armazenados em uma sala de servidor fisicamente segura com acesso controlado. Proteja esses computadores quando os administradores não estiverem fisicamente presentes fazendo com que o sistema operacional bloqueie o computador ou usando uma proteção de tela protegida.

Aplique as atualizações de segurança mais recentes a todos os computadores. Para se manter informado sobre as atualizações mais recentes para sistemas operacionais, o Microsoft SQL Server e o App-V 5.0, assine o serviço de Notificação de Segurança (https://go.microsoft.com/fwlink/p/?LinkId=28819).

Use senhas fortes ou frases de passagem. Sempre use senhas fortes com 15 ou mais caracteres para todas as contas de administrador do App-V 5.0 e do App-V 5.0. Nunca use senhas em branco. Para obter mais informações sobre conceitos de senha, consulte o white paper "Senhas e políticas de conta" no TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009).

Contas e grupos no App-V 5.0

Uma prática recomendada para o gerenciamento de contas de usuário é criar grupos globais de domínio e adicionar contas de usuário a eles. Em seguida, adicione as contas globais de domínio aos grupos locais do App-V 5.0 necessários nos servidores App-V 5.0.

Observação
As contas de computador cliente do App-V que precisam se conectar ao servidor de publicação devem fazer parte do grupo local Usuários do servidor de publicação. Por padrão, todos os computadores no domínio fazem parte do grupo Usuários Autorizados, que faz parte do grupo local Usuários.

Segurança do servidor do App-V 5.0

Nenhum grupo é criado automaticamente durante a Instalação do App-V 5.0. Você deve criar os seguintes grupos Active Directory Domain Services globais para gerenciar operações de servidor do App-V 5.0.

Nome do grupo Detalhes

Grupo de Administração gerenciamento do App-V

Usado para gerenciar o servidor de gerenciamento do App-V 5.0. Esse grupo é criado durante a instalação do Servidor de Gerenciamento do App-V 5.0.

Importante

Não há nenhum método para criar o grupo usando o console de gerenciamento depois de concluir a instalação.

Leitura/gravação de banco de dados para a conta do Serviço de Gerenciamento

Fornece acesso de leitura/gravação ao banco de dados de gerenciamento. Essa conta deve ser criada durante a instalação do banco de dados de gerenciamento do App-V 5.0.

Conta de administrador de instalação do Serviço de Gerenciamento do App-V

Observação

Isso só será necessário se o banco de dados de gerenciamento estiver sendo instalado separadamente do serviço.

Fornece acesso público à tabela de versão de esquema no banco de dados de gerenciamento. Essa conta deve ser criada durante a instalação do banco de dados de gerenciamento do App-V 5.0.

Instalar a conta de administrador do Serviço de Relatórios do App-V

Observação

Isso só será necessário se o banco de dados de relatório estiver sendo instalado separadamente do serviço.

Acesso público à tabela de versão de esquema no banco de dados de relatório. Essa conta deve ser criada durante a instalação do banco de dados de relatório do App-V 5.0.

Considere as seguintes informações adicionais:

  • Acesso aos compartilhamentos de pacote – se existir um compartilhamento no mesmo computador que o servidor de gerenciamento, o serviço de rede exigirá acesso de leitura ao compartilhamento. Além disso, cada computador cliente do App-V deve ter acesso de leitura ao compartilhamento de pacote.

    Observação
    Nas versões anteriores do App-V, o compartilhamento de pacote era conhecido como compartilhamento de conteúdo.

  • Registrar servidores de publicação com o Servidor de Gerenciamento – um servidor de publicação deve ser registrado no servidor de gerenciamento. Por exemplo, ele deve ser adicionado ao banco de dados, para que as contas de computador do servidor de publicação possam chamar a API do serviço de gerenciamento.

Segurança de pacote do App-V 5.0

O exemplo a seguir ajudará você a planejar como garantir que os pacotes virtualizados sejam seguros.

  • Se um instalador de aplicativo aplicar uma ACL (lista de controle de acesso) a um arquivo ou diretório, essa ACL não será persistida no pacote. Quando o pacote é implantado, se o arquivo ou diretório for modificado por um usuário, ele herdará a ACL no %userprofile% ou herdará a ACL do diretório do computador de destino. O primeiro caso ocorrerá se o arquivo ou diretório não existir em um local do sistema de arquivos virtual; o último caso ocorrerá se o arquivo ou diretório existir em um local do sistema de arquivos virtual, por exemplo , %windir%.

Arquivos de log do App-V 5.0

Durante a Instalação do App-V 5.0, os arquivos de log de instalação são criados na pasta %temp% do usuário instalado.