Considerações sobre segurança para a UE-V 2.x
Este tópico contém uma breve visão geral de contas e grupos, arquivos de log e outras considerações relacionadas à segurança para o Microsoft User Experience Virtualization (UE-V) 2.0, 2.1 e 2.1 SP1. Para obter mais informações, siga os links fornecidos aqui.
Considerações de segurança para a configuração do UE-V
Importante Ao criar o compartilhamento de armazenamento de configurações, limite o acesso de compartilhamento aos usuários que exigem acesso.
Como os pacotes de configurações podem conter informações pessoais, você deve tomar cuidado para protegê-los tão bem quanto possível. Em geral, faça o seguinte:
Restrinja o compartilhamento somente aos usuários que exigem acesso. Crie um grupo de segurança para usuários que redirecionam pastas em um compartilhamento específico e limite o acesso apenas a esses usuários.
Ao criar o compartilhamento, oculte o compartilhamento colocando um $ após o nome do compartilhamento. Essa adição oculta o compartilhamento de navegadores casuais e o compartilhamento não está visível em Meus Locais de Rede.
Dê aos usuários apenas a quantidade mínima de permissões que eles devem ter. As tabelas a seguir mostram as permissões necessárias.
Defina as permissões SMB de nível de compartilhamento a seguir para a pasta de local de armazenamento de configuração.
Conta de usuário Permissões recomendadas Todos Sem permissões Grupo de segurança do UE-V Controle total Defina as seguintes permissões do sistema de arquivos NTFS para a pasta de local de armazenamento de configurações.
Conta de usuário Permissões recomendadas Pasta Criador/Proprietário Controle total Somente subpastas e arquivos Administradores de domínio Controle total Esta pasta, subpastas e arquivos Grupo de segurança de usuários do UE-V Listar dados de pasta/leitura, criar pastas/acrescentar dados Somente esta pasta Todos Remover todas as permissões Sem permissões Defina as permissões SMB de nível de compartilhamento a seguir para a pasta do catálogo de modelos de configurações.
Conta de usuário Permissões recomendadas Todos Sem permissões Computadores de domínio Níveis de permissão de leitura Administradores Níveis de permissão de leitura/gravação Defina as seguintes permissões NTFS para a pasta do catálogo de modelos de configurações.
Conta de usuário Permissões recomendadas Aplicar à Criador/Proprietário Controle total Esta pasta, subpastas e arquivos Computadores de domínio Listar o conteúdo da pasta e permissões de leitura Esta pasta, subpastas e arquivos Todos Sem permissões Sem permissões Administradores Controle Total Esta pasta, subpastas e arquivos
Usar o Windows Server no Windows Server 2003 para hospedar compartilhamentos de arquivos redirecionados
Os arquivos de pacote de configurações do usuário contêm informações pessoais transferidas entre o computador cliente e o servidor que armazena os pacotes de configurações. Devido a esse processo, você deve garantir que os dados estão protegidos enquanto eles viajam pela rede.
Os dados de configurações do usuário são vulneráveis a essas possíveis ameaças: interceptação dos dados conforme eles passam pela rede, adulteração dos dados conforme eles passam pela rede e falsificação do servidor que hospeda os dados.
Desde o Windows Server 2003, vários recursos do sistema operacional Windows Server podem ajudar a proteger os dados do usuário:
Kerberos – Kerberos é padrão em todas as versões do Microsoft Windows 2000 Server e do Windows Server a partir do Windows Server 2003. O Kerberos garante o nível mais alto de segurança para recursos de rede. O NTLM autentica somente o cliente; O Kerberos autentica o servidor e o cliente. Quando o NTLM é usado, o cliente não sabe se o servidor é válido. Essa diferença é particularmente importante se o cliente troca arquivos pessoais com o servidor, como é o caso dos Perfis de Usuário Móvel. O Kerberos fornece melhor segurança do que o NTLM. O Kerberos não está disponível no Microsoft Windows NT Server 4.0 ou sistemas operacionais anteriores.
IPsec – O protocolo IPsec fornece autenticação em nível de rede, integridade de dados e criptografia. O IPsec garante o seguinte:
Os dados móveis são protegidos contra modificação de dados enquanto os dados estão em rota.
Os dados móveis são seguros contra interceptação, exibição ou cópia.
Os dados móveis são protegidos contra o acesso por partes não autenticadas.
Assinatura SMB – O protocolo de autenticação SMB (Server Message Block) dá suporte à autenticação de mensagens, o que impede ataques de mensagem ativa e "man-in-the-middle". A assinatura SMB fornece essa autenticação colocando uma assinatura digital em cada SMB. Em seguida, a assinatura digital é verificada pelo cliente e pelo servidor. Para usar a assinatura SMB, primeiro você deve habilita-la ou exigir isso no cliente SMB e no servidor SMB. Observe que a assinatura SMB impõe uma penalidade de desempenho. Ele não consome mais largura de banda de rede, mas usa mais ciclos de CPU no lado do cliente e do servidor.
Sempre use o sistema de arquivos NTFS para volumes que contêm dados do usuário
Para a configuração mais segura, defina os servidores que hospedam os arquivos de configurações do UE-V para usar o sistema de arquivos NTFS. Ao contrário do sistema de arquivos FAT, o NTFS dá suporte a DACLs (listas de controle de acesso discricionário) e SACLs (listas de controle de acesso do sistema). DACLs e SACLs controlam quem pode executar operações em um arquivo e quais eventos disparam o log de ações executadas em um arquivo.
Não dependa do EFS para criptografar arquivos de usuário quando eles são transmitidos pela rede
Quando você usa o EFS (Encrypting File System) para criptografar arquivos em um servidor remoto, os dados criptografados não são criptografados durante o trânsito pela rede; ele só se torna criptografado quando é armazenado em disco.
Esse processo de criptografia não se aplica quando o sistema inclui iPsec (segurança de protocolo de Internet) ou WebDAV (Criação e Controle de Versão Distribuído na Web). O IPsec criptografa dados enquanto eles são transportados por uma rede TCP/IP. Se o arquivo for criptografado antes de ser copiado ou movido para uma pasta WebDAV em um servidor, ele permanecerá criptografado durante a transmissão e enquanto estiver armazenado no servidor.
Permitir que o Agente UE-V crie pastas para cada usuário
Para garantir que o UE-V funcione de forma ideal, crie apenas o compartilhamento raiz no servidor e permita que o Agente UE-V crie as pastas para cada usuário. O UE-V cria essas pastas de usuário com a segurança apropriada.
Essa configuração de permissão permite que os usuários criem pastas para o armazenamento de configurações. O Agente UE-V cria e protege uma pasta de pacote de configurações enquanto ele é executado no contexto do usuário. Os usuários recebem controle total para a pasta do pacote de configurações. Outros usuários não herdam o acesso a essa pasta. Você não precisa criar e proteger diretórios de usuário individuais. O agente que é executado no contexto do usuário faz isso automaticamente.
Nota Segurança adicional pode ser configurada quando um Windows Server é usado para o compartilhamento de armazenamento de configurações. O UE-V pode ser configurado para verificar se o grupo administradores local ou o usuário atual é o proprietário da pasta em que os pacotes de configurações estão armazenados. Para habilitar a segurança adicional, use o seguinte comando:
Adicione a REG_DWORD chave do Registro RepositoryOwnerCheckEnabled a
HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration
.Defina o valor da chave do Registro como 1.
Quando essa definição de configuração está em vigor, o Agente ue-V verifica se o grupo local administradores ou o usuário atual é o proprietário da pasta do pacote de configurações. Caso contrário, o Agente UE-V não concede acesso à pasta.
Se você precisar criar pastas para os usuários, verifique se você tem as permissões corretas definidas.
É altamente recomendável que você não crie pastas previamente. Em vez disso, permita que o Agente UE-V crie a pasta para o usuário.
Garantir as permissões corretas para armazenar as configurações da UE-V 2 em um diretório base ou diretório personalizado
Se você redirecionar as configurações do UE-V para o diretório base de um usuário ou um diretório personalizado do AD (Active Directory), verifique se as permissões no diretório estão definidas adequadamente para sua organização.