Вопросы безопасности App-V для Windows
Относится к:
- Windows 10
- Windows 11
В этой статье содержится краткий обзор учетных записей и групп, файлов журналов и других аспектов, связанных с безопасностью для Microsoft Application Virtualization (App-V).
Важно.
App-V не является продуктом безопасности и не предоставляет никаких гарантий для безопасной среды.
Функция PackageStoreAccessControl (PSAC) устарела
Начиная с июня 2014 г. функция PackageStoreAccessControl (PSAC), представленная в Microsoft Application Virtualization (App-V) 5.0 с пакетом обновления 2 (SP2), стала устаревшей в однопользовательской и многопользовательской средах.
Общие рекомендации по безопасности
Изучите риски безопасности. Самый серьезный риск для App-V заключается в том, что несанкционированные пользователи перехватят функциональные возможности клиента App-V, предоставляя хакеру возможность перенастроить ключевые данные на клиентах App-V. Для сравнения, краткосрочная потеря функциональности App-V в результате атаки типа "отказ в обслуживании" не будет столь катастрофической.
Физическая защита компьютеров. Стратегия безопасности, которая не учитывает физическую безопасность, является неполной. Любой пользователь с физическим доступом к серверу App-V может потенциально атаковать всю клиентскую базу, поэтому потенциальные физические атаки или кражи следует предотвратить любой ценой. Серверы App-V должны храниться в физически защищенной серверной комнате с управляемым доступом. Заблокируйте компьютер с помощью операционной системы или защищенной заставки, чтобы обеспечить безопасность компьютеров, когда администраторы отсутствуют.
Примените последние обновления для системы безопасности ко всем компьютерам.
Используйте надежные пароли или парольные фразы. Всегда используйте надежные пароли с 15 или более символами для всех учетных записей администратора App-V и App-V. Никогда не используйте пустые пароли. Дополнительные сведения об основных понятиях паролей см. в разделе Политика паролей и надежные пароли.
Учетные записи и группы в App-V
Для управления учетными записями пользователей рекомендуется создавать глобальные группы домена и добавлять в них учетные записи пользователей. После этого добавьте глобальные учетные записи домена в необходимые локальные группы App-V на серверах App-V.
Примечание.
Учетные записи клиентских компьютеров App-V, которым необходимо подключиться к серверу публикации, должны быть частью локальной группы пользователей сервера публикации . По умолчанию все компьютеры в домене входят в группу Авторизованные пользователи , которая входит в локальную группу Пользователи .
Безопасность сервера App-V
Группы не создаются автоматически во время установки App-V. Для управления операциями сервера App-V следует создать следующие глобальные группы доменных служб Active Directory.
| Имя группы | Сведения | Важные примечания |
|---|---|---|
| Группа администраторов управления App-V | Используется для управления сервером управления App-V. Эта группа создается во время установки сервера управления App-V. | Консоль управления не может создать новую группу после завершения установки. |
| Чтение и запись базы данных для учетной записи службы управления | Предоставляет доступ на чтение и запись к базе данных управления. Эта учетная запись должна быть создана во время установки базы данных управления App-V. | |
| Установка учетной записи администратора службы управления App-V | Предоставляет открытый доступ к таблице версий схемы в базе данных управления. Эта учетная запись должна быть создана во время установки базы данных управления App-V. | Эта учетная запись является обязательной, только если база данных управления устанавливается отдельно от службы. |
| Установка учетной записи администратора службы Reporting Service App-V | Открытый доступ к таблице версий схемы в базе данных отчетов. Эта учетная запись должна быть создана во время установки базы данных отчетов App-V. | Эта учетная запись является обязательной, только если база данных отчетов устанавливается отдельно от службы. |
Рассмотрим следующие дополнительные сведения:
Доступ к общим папкам пакета. Если общая папка существует на том же компьютере, что и сервер управления, сетевой службе требуется доступ на чтение к общей папке. Кроме того, каждый клиентский компьютер App-V должен иметь доступ на чтение к общей папке пакета.
Примечание.
В предыдущих версиях App-V общая папка пакета называлась общим ресурсом содержимого.
Регистрация серверов публикации на сервере управления. Сервер публикации должен быть зарегистрирован на сервере управления. Например, его необходимо добавить в базу данных, чтобы учетные записи компьютера сервера публикации могли вызывать API службы управления.
Безопасность пакета App-V
Если установщик приложений применяет список управления доступом (ACL) к файлу или каталогу, этот список ACL не сохраняется в пакете. Если файл или каталог изменяется пользователем при развертывании пакета, измененный файл или каталог наследует список ACL в %userprofile% или список ACL каталога целевого компьютера. Первый возникает, если файл или каталог не существует в расположении виртуальной файловой системы; Последнее происходит, если файл или каталог существует в расположении виртуальной файловой системы, например %windir%.
Файлы журнала App-V
Во время установки App-V файлы журнала установки создаются в папке %temp% пользователя установки.