Поделиться через

Вопросы безопасности для UE-V 2.1 с пакетом обновления 1 (SP1)

  • Статья

В этой статье содержатся краткие сведения об учетных записях и группах, файлах журналов и других рекомендациях, связанных с безопасностью для Виртуализации взаимодействия с пользователем (Майкрософт) (UE-V) 2.1 с пакетом обновления 1 (SP1).

Вопросы безопасности для конфигурации UE-V

Важно.

При создании общей папки хранилища параметров ограничьте доступ к общей папке пользователям, которым требуется доступ.

Так как пакеты параметров могут содержать персональные данные, следует позаботиться о том, чтобы защитить их и защитить их. Как правило, выполните следующие действия.

  • Ограничьте общий доступ только теми пользователями, которым требуется доступ. Создайте группу безопасности для пользователей, которые перенаправили папки на определенный общий ресурс, и ограничьте доступ только этими пользователями.

  • При создании общей папки скройте общую папку, поместив $ после имени общей папки. Это дополнение скрывает общую папку из случайных браузеров, а общая папка не отображается в разделе "Мои сетевые расположения".

  • Предоставьте пользователям только минимальные разрешения, которые они должны иметь. В следующих таблицах показаны необходимые разрешения.

    1. Задайте следующие разрешения SMB уровня общего ресурса для папки расположения хранилища параметров.

      Учетная запись пользователя Рекомендуемые разрешения
      Все пользователи Нет разрешений
      Группа безопасности UE-V Полный доступ

    2. Задайте следующие разрешения файловой системы NTFS для папки расположения хранилища параметров.

      Учетная запись пользователя Рекомендуемые разрешения Папка
      Создатель или владелец Полный доступ Только вложенные папки и файлы
      Администраторы домена Полный доступ Эта папка, вложенные папки и файлы
      Группа безопасности пользователей UE-V Вывод списка данных папки и чтения, создание папок и добавление данных Только эта папка
      Все пользователи Удаление всех разрешений Нет разрешений

    3. Задайте следующие разрешения SMB на уровне общего ресурса для папки каталога шаблонов параметров.

      Учетная запись пользователя Рекомендации по разрешениям
      Все пользователи Нет разрешений
      Компьютеры домена Уровни разрешений на чтение
      Администраторы Уровни разрешений на чтение и запись

    4. Задайте следующие разрешения NTFS для папки каталога шаблонов параметров.

      Учетная запись пользователя Рекомендуемые разрешения Применить к
      Создатель или владелец Полный доступ Эта папка, вложенные папки и файлы
      Компьютеры домена Вывод списка содержимого папки и разрешений на чтение Эта папка, вложенные папки и файлы
      Все пользователи Нет разрешений Нет разрешений
      Администраторы Полный доступ Эта папка, вложенные папки и файлы

Использование Windows Server с windows Server 2003 для размещения перенаправленных общих папок

Файлы пакетов параметров пользователя содержат персональные данные, передаваемые между клиентским компьютером и сервером, на котором хранятся пакеты параметров. В связи с этим процессом необходимо обеспечить защиту данных во время их перемещения по сети.

Данные параметров пользователя уязвимы для этих потенциальных угроз: перехват данных по мере их передачи по сети, изменение данных при их прохождении по сети и подделывание сервера, на котором размещены данные.

По состоянию на Windows Server 2003, некоторые функции операционной системы Windows Server могут помочь защитить данные пользователей:

  • Kerberos — kerberos является стандартным для всех версий Microsoft Windows 2000 Server и Windows Server, начиная с Windows Server 2003. Kerberos обеспечивает наивысший уровень безопасности сетевых ресурсов. NTLM проверяет подлинность только клиента; Kerberos проверяет подлинность сервера и клиента. При использовании NTLM клиент не знает, является ли сервер допустимым. Это различие важно, если клиент обменивается личными файлами с сервером, как в случае с перемещаемыми профилями пользователей. Kerberos обеспечивает лучшую безопасность, чем NTLM. Kerberos недоступен в операционных системах Microsoft Windows NT Server 4.0 или более ранних версий.

  • IPsec — протокол БЕЗОПАСНОСТИ IP (IPsec) обеспечивает проверку подлинности на уровне сети, целостность данных и шифрование. IPsec обеспечивает следующее:

    • Перемещаемые данные защищены от изменения данных во время их передачи.

    • Перемещаемые данные защищены от перехвата, просмотра или копирования.

    • Перемещаемые данные защищены от доступа сторон без проверки подлинности.

  • Подписывание SMB . Протокол проверки подлинности SMB поддерживает проверку подлинности сообщений, которая предотвращает активные сообщения и атаки "человек в середине". Подписывание SMB обеспечивает эту проверку подлинности путем размещения цифровой подписи в каждом SMB. Затем клиент и сервер проверяют цифровую подпись. Чтобы использовать подписывание SMB, необходимо сначала включить его или потребоваться как на клиенте SMB, так и на сервере SMB.

    Примечание.

    Подписывание SMB налагает снижение производительности. Он не потребляет больше пропускной способности сети, но использует больше циклов ЦП на стороне клиента и сервера.

Всегда используйте файловую систему NTFS для томов, на которые хранятся данные пользователя

Для наиболее безопасной конфигурации настройте серверы, на которых размещены файлы параметров UE-V, для использования файловой системы NTFS. В отличие от файловой системы FAT, NTFS поддерживает списки управления дискреционным доступом (DACLs) и списки управления доступом системы (SACLs). Списки DACLs и SACLs определяют, кто может выполнять операции с файлом и какие события инициируют ведение журнала действий, выполняемых с файлом.

Не полагайтесь на EFS для шифрования пользовательских файлов при их передаче по сети

При использовании шифруемой файловой системы (EFS) для шифрования файлов на удаленном сервере зашифрованные данные не шифруются во время передачи по сети; шифруется только при хранении на диске.

Этот процесс шифрования не применяется, если ваша система включает протокол IPsec или распределенную веб-разработку и управление версиями (WebDAV). IPsec шифрует данные при их транспортировке по сети TCP/IP. Если файл шифруется перед копированием или перемещением в папку WebDAV на сервере, он остается зашифрованным во время передачи и во время хранения на сервере.

Разрешите агенту UE-V создавать папки для каждого пользователя

Чтобы обеспечить оптимальную работу UE-V, создайте на сервере только корневую общую папку и разрешите агенту UE-V создавать папки для каждого пользователя. UE-V создает эти пользовательские папки с соответствующей безопасностью.

Эта конфигурация разрешений позволяет пользователям создавать папки для хранилища параметров. Агент UE-V создает и защищает папку пакета параметров во время выполнения в контексте пользователя. Пользователи получают полный доступ к папке пакета параметров. Другие пользователи не наследуют доступ к этой папке. Вам не нужно создавать и защищать отдельные каталоги пользователей. Агент, запускающийся в контексте пользователя, выполняет это автоматически.

Примечание.

При использовании Windows Server для общей папки хранилища параметров можно настроить дополнительную безопасность. Вы можете настроить UE-V, чтобы убедиться, что локальная группа администраторов или текущий пользователь является владельцем папки, в которой хранятся пакеты параметров. Чтобы включить дополнительную безопасность, используйте следующую команду:

  1. Добавьте раздел RepositoryOwnerCheckEnabled реестра REG_DWORD в HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.

  2. Задайте для раздела реестра значение 1.

Когда этот параметр конфигурации установлен, агент UE-V проверяет, является ли локальная группа администраторов или текущий пользователь владельцем папки пакета параметров. В противном случае агент UE-V не предоставляет доступ к папке.

Если необходимо создать папки для пользователей, убедитесь, что у вас есть правильные разрешения.

Не создайте папки предварительно. Вместо этого позвольте агенту UE-V создать папку для пользователя.

Обеспечение правильных разрешений для хранения параметров UE-V 2 в домашнем или пользовательском каталоге

Если вы перенаправляете параметры UE-V в домашний каталог пользователя или в пользовательский каталог Active Directory (AD), убедитесь, что разрешения для каталога заданы соответствующим образом для вашей организации.

Технический справочник по UE-V 2.1 с пакетом обновления 1 (SP1)