Общие сведения об обеспечении безопасности и защиты
Назначение: Application Virtualization
ПО Microsoft Application Virtualization 4.5 предоставляет следующие функции обеспечения повышенной безопасности для помощи в планировании и внедрении стратегии более безопасного развертывания.
Теперь система Application Virtualization поддерживает функцию безопасности уровня транспорта TLS (Transport Layer Security) с помощью сертификатов X.509 V3. При условии предоставления сертификата для планируемых серверов Application Virtualization Management или Streaming Server установка будет стандартной по обеспечению безопасности с использованием протокола RTSPS через порт 322. Использование протокола RTSPS обеспечивает подписанное и зашифрованное взаимодействие между серверами Application Virtualization Server и клиентами Application Virtualization Client. Если в процессе установки сервера Application Virtualization Server сертификатов серверу не назначено, будет установлено взаимодействие по протоколу RTSP через порт 554.
Безопасность Примечание Для помощи в обеспечении безопасной установки сервера необходимо отключить порты RTSP, даже если все пакеты настроены для использования протокола RTSPS. Сервер может не обнаружить сертификаты безопасности, если они добавляются на сервер после его установки. Для обнаружения сертификатов перезагрузите сервер после их добавления. Необходимо настроить клиент для использования протокола и порта, аналогичных используемым на сервере. В противном случае, он не сможет взаимодействовать с сервером. Клиент должен также доверять издателю сертификата и осуществлять поставку с помощью нескольких основных поставщиков в надежное корневое хранилище. Можно использовать самозаверяющие сертификаты, однако потребуется обновить клиенты.
При настройке серверов IIS, чтобы использовать протокол HTTPS для потоковой передачи, необходимо настроить протокол SSL (Secure Sockets Layer) на сервере IIS и процедуру предоставления сертификата серверу. Также потребуется настройка клиентов для доверия корневому центру сертификации, выдавшему сертификат сервера.
Проверка подлинности Kerberos добавлена в систему Microsoft Application Virtualization в качестве стандартного механизма проверки подлинности. В ранних версиях для проверки подлинности использовался компонент NTLM V2. Использование проверки подлинности Kerberos повышает безопасность взаимодействия между клиентом и сервером Application Virtualization Server. Если подключение было создано на клиенте, сервер Application Virtualization Server проверяет билет сеанса с помощью центра распространения ключей (Key Distribution Center, KDC).
Благодаря поддержке использования сертификатов сервера, а также применению протоколов RTSPS или HTTPS теперь можно поддерживать клиентов за пределами корпоративной сети. Это помогает устранить потребность в мобильных пользователях для установки безопасного подключения к корпоративной сети (сети VPN, службе RAS и т.д.) перед запуском приложений, предоставленных системой Application Virtualization.
Другие важные рекомендации по обеспечению безопасности включают в себя следующие.
Обеспечивайте постоянное и полное обновление и защиту серверов.
Чтобы добавить сертификат для повышения уровня безопасности соединений с сервером Application Virtualization Management Server, необходимо соблюсти следующие условия.
Пользователь, добавляющий сертификат, должен быть администратором на сервере, на котором расположено хранилище сертификатов.
Служба сервера должна быть запущена.
Порт 139 на сервере Management Server должен быть открыт для IP-адреса сервера веб-службы.
Используйте списки управления доступом (ACL) для обеспечения защиты и предотвращения подделки пакетов приложений и всех пакетных файлов. Списки ACL ограничивают доступ к расположению или папке с пакетами, разрешая доступ только определенным учетным записям.
Убедитесь, что канал между сервером Application Virtualization Management Server и базой данных защищен — например, с помощью протокола IPsec.
Если пакеты сохранены в сети SAN или на устройствах NAS, убедитесь в защите соединения между центральным устройством для хранения данных и серверами Application Virtualization Server.
Следует защитить все каналы связи с клиентом (включая подключения к серверу публикаций, серверу Application Virtualization Server и путь к файлам OSD и ICO) с помощью таких протоколов, как HTTPS или IPsec.
Следует настроить разрешения для клиентов для предотвращения подделки пакетов пользователями. Особенно важно, чтобы пользователям не предоставлялись разрешения на добавление и обновление пакетов в таких системах как серверы узла сеансов удаленных рабочих столов, к которым открыт общий доступ для нескольких пользователей.
Для правильной работы Server Management Console в среде леса или домена должна быть разрешена проверка подлинности Kerberos.
Этот выпуск программного обеспечения не поддерживает размещение сервера RTSP с проверкой подлинности на основе Kerberos и сервера IIS, использующего только проверку подлинности NTLM, на одном и том же компьютере. Чтобы разместить сервер RTSP и сервер IIS на одном компьютере, удалите имя участника-службы с сервера IIS и используйте проверку подлинности NTLM.
См. также
Другие ресурсы
Планирование развертывания системы Application Virtualization
-----
Чтобы получить дополнительные сведения о пакете MDOP, воспользуйтесь библиотекой TechNet Library: выполните поиск статей по устранению неполадок на вики-сайте TechNet или подпишитесь на наши страницы в Facebook или Twitter. Отправляйте свои предложения и комментарии относительно документации MDOP по адресу MDOPdocs@microsoft.com.