Compartilhar via


Considerações sobre segurança para a UE-V 2.x

Este tópico contém uma breve visão geral de contas e grupos, arquivos de log e outras considerações relacionadas à segurança para o Microsoft User Experience Virtualization (UE-V) 2.0, 2.1 e 2.1 SP1. Para obter mais informações, siga os links fornecidos aqui.

Considerações de segurança para a configuração do UE-V

Importante Ao criar o compartilhamento de armazenamento de configurações, limite o acesso de compartilhamento aos usuários que exigem acesso.

Como os pacotes de configurações podem conter informações pessoais, você deve tomar cuidado para protegê-los tão bem quanto possível. Em geral, faça o seguinte:

  • Restrinja o compartilhamento somente aos usuários que exigem acesso. Crie um grupo de segurança para usuários que redirecionam pastas em um compartilhamento específico e limite o acesso apenas a esses usuários.

  • Ao criar o compartilhamento, oculte o compartilhamento colocando um $ após o nome do compartilhamento. Essa adição oculta o compartilhamento de navegadores casuais e o compartilhamento não está visível em Meus Locais de Rede.

  • Dê aos usuários apenas a quantidade mínima de permissões que eles devem ter. As tabelas a seguir mostram as permissões necessárias.

    1. Defina as permissões SMB de nível de compartilhamento a seguir para a pasta de local de armazenamento de configuração.

      Conta de usuário Permissões recomendadas
      Todos Sem permissões
      Grupo de segurança do UE-V Controle total
    2. Defina as seguintes permissões do sistema de arquivos NTFS para a pasta de local de armazenamento de configurações.

      Conta de usuário Permissões recomendadas Pasta
      Criador/Proprietário Controle total Somente subpastas e arquivos
      Administradores de domínio Controle total Esta pasta, subpastas e arquivos
      Grupo de segurança de usuários do UE-V Listar dados de pasta/leitura, criar pastas/acrescentar dados Somente esta pasta
      Todos Remover todas as permissões Sem permissões
    3. Defina as permissões SMB de nível de compartilhamento a seguir para a pasta do catálogo de modelos de configurações.

      Conta de usuário Permissões recomendadas
      Todos Sem permissões
      Computadores de domínio Níveis de permissão de leitura
      Administradores Níveis de permissão de leitura/gravação
    4. Defina as seguintes permissões NTFS para a pasta do catálogo de modelos de configurações.

      Conta de usuário Permissões recomendadas Aplicar à
      Criador/Proprietário Controle total Esta pasta, subpastas e arquivos
      Computadores de domínio Listar o conteúdo da pasta e permissões de leitura Esta pasta, subpastas e arquivos
      Todos Sem permissões Sem permissões
      Administradores Controle Total Esta pasta, subpastas e arquivos

Usar o Windows Server no Windows Server 2003 para hospedar compartilhamentos de arquivos redirecionados

Os arquivos de pacote de configurações do usuário contêm informações pessoais transferidas entre o computador cliente e o servidor que armazena os pacotes de configurações. Devido a esse processo, você deve garantir que os dados estão protegidos enquanto eles viajam pela rede.

Os dados de configurações do usuário são vulneráveis a essas possíveis ameaças: interceptação dos dados conforme eles passam pela rede, adulteração dos dados conforme eles passam pela rede e falsificação do servidor que hospeda os dados.

Desde o Windows Server 2003, vários recursos do sistema operacional Windows Server podem ajudar a proteger os dados do usuário:

  • Kerberos – Kerberos é padrão em todas as versões do Microsoft Windows 2000 Server e do Windows Server a partir do Windows Server 2003. O Kerberos garante o nível mais alto de segurança para recursos de rede. O NTLM autentica somente o cliente; O Kerberos autentica o servidor e o cliente. Quando o NTLM é usado, o cliente não sabe se o servidor é válido. Essa diferença é particularmente importante se o cliente troca arquivos pessoais com o servidor, como é o caso dos Perfis de Usuário Móvel. O Kerberos fornece melhor segurança do que o NTLM. O Kerberos não está disponível no Microsoft Windows NT Server 4.0 ou sistemas operacionais anteriores.

  • IPsec – O protocolo IPsec fornece autenticação em nível de rede, integridade de dados e criptografia. O IPsec garante o seguinte:

    • Os dados móveis são protegidos contra modificação de dados enquanto os dados estão em rota.

    • Os dados móveis são seguros contra interceptação, exibição ou cópia.

    • Os dados móveis são protegidos contra o acesso por partes não autenticadas.

  • Assinatura SMB – O protocolo de autenticação SMB (Server Message Block) dá suporte à autenticação de mensagens, o que impede ataques de mensagem ativa e "man-in-the-middle". A assinatura SMB fornece essa autenticação colocando uma assinatura digital em cada SMB. Em seguida, a assinatura digital é verificada pelo cliente e pelo servidor. Para usar a assinatura SMB, primeiro você deve habilita-la ou exigir isso no cliente SMB e no servidor SMB. Observe que a assinatura SMB impõe uma penalidade de desempenho. Ele não consome mais largura de banda de rede, mas usa mais ciclos de CPU no lado do cliente e do servidor.

Sempre use o sistema de arquivos NTFS para volumes que contêm dados do usuário

Para a configuração mais segura, defina os servidores que hospedam os arquivos de configurações do UE-V para usar o sistema de arquivos NTFS. Ao contrário do sistema de arquivos FAT, o NTFS dá suporte a DACLs (listas de controle de acesso discricionário) e SACLs (listas de controle de acesso do sistema). DACLs e SACLs controlam quem pode executar operações em um arquivo e quais eventos disparam o log de ações executadas em um arquivo.

Não dependa do EFS para criptografar arquivos de usuário quando eles são transmitidos pela rede

Quando você usa o EFS (Encrypting File System) para criptografar arquivos em um servidor remoto, os dados criptografados não são criptografados durante o trânsito pela rede; ele só se torna criptografado quando é armazenado em disco.

Esse processo de criptografia não se aplica quando o sistema inclui iPsec (segurança de protocolo de Internet) ou WebDAV (Criação e Controle de Versão Distribuído na Web). O IPsec criptografa dados enquanto eles são transportados por uma rede TCP/IP. Se o arquivo for criptografado antes de ser copiado ou movido para uma pasta WebDAV em um servidor, ele permanecerá criptografado durante a transmissão e enquanto estiver armazenado no servidor.

Permitir que o Agente UE-V crie pastas para cada usuário

Para garantir que o UE-V funcione de forma ideal, crie apenas o compartilhamento raiz no servidor e permita que o Agente UE-V crie as pastas para cada usuário. O UE-V cria essas pastas de usuário com a segurança apropriada.

Essa configuração de permissão permite que os usuários criem pastas para o armazenamento de configurações. O Agente UE-V cria e protege uma pasta de pacote de configurações enquanto ele é executado no contexto do usuário. Os usuários recebem controle total para a pasta do pacote de configurações. Outros usuários não herdam o acesso a essa pasta. Você não precisa criar e proteger diretórios de usuário individuais. O agente que é executado no contexto do usuário faz isso automaticamente.

Nota Segurança adicional pode ser configurada quando um Windows Server é usado para o compartilhamento de armazenamento de configurações. O UE-V pode ser configurado para verificar se o grupo administradores local ou o usuário atual é o proprietário da pasta em que os pacotes de configurações estão armazenados. Para habilitar a segurança adicional, use o seguinte comando:

  1. Adicione a REG_DWORD chave do Registro RepositoryOwnerCheckEnabled a HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.

  2. Defina o valor da chave do Registro como 1.

Quando essa definição de configuração está em vigor, o Agente ue-V verifica se o grupo local administradores ou o usuário atual é o proprietário da pasta do pacote de configurações. Caso contrário, o Agente UE-V não concede acesso à pasta.

Se você precisar criar pastas para os usuários, verifique se você tem as permissões corretas definidas.

É altamente recomendável que você não crie pastas previamente. Em vez disso, permita que o Agente UE-V crie a pasta para o usuário.

Garantir as permissões corretas para armazenar as configurações da UE-V 2 em um diretório base ou diretório personalizado

Se você redirecionar as configurações do UE-V para o diretório base de um usuário ou um diretório personalizado do AD (Active Directory), verifique se as permissões no diretório estão definidas adequadamente para sua organização.

Referência técnica da UE-V 2.x