Планирование безопасности клиента

Статья
12/19/2014

Назначение: Application Virtualization

Клиент App-V содержит несколько улучшений системы безопасности, отсутствующих в предыдущих версиях продукта. Эти изменения позволяют обеспечить повышенный уровень безопасности после установки, а также с помощью последующей настройки параметров клиента. В этом разделе описываются некоторые из улучшений и указываются важные параметры настройки, связанные с безопасностью, которые следует учитывать в ходе планирования. Важно помнить, что виртуальные приложения являются исполняемыми файлами, поэтому следует защитить эти ресурсы от изменения неавторизованными пользователями. По этой причине кэш OSD-файла защищается, как описано ниже в данном разделе; также для защиты публикации и потоковой передачи настоятельно рекомендуется использовать протоколы RTSPS, HTTPS и IPSec.

Безопасность клиента App-V Client

По умолчанию клиент App-V устанавливается с настройкой минимальных разрешений, необходимых для выполнения публикации, обновления и запуска приложений пользователями. Клиент App-V предоставляет следующие улучшения системы безопасности.

По умолчанию кэш OSD-файла может обновляться только администраторами, а также в процессе обновления публикации.
Файл журнала (sftlog.txt) доступен только в учетных записях с локальным административным доступом на клиенте.
Для файла журнала теперь установлен максимальный размер.

Сопоставления типов файлов

По умолчанию установка на клиенте регистрирует сопоставления типов файлов для OSD-файлов, что позволяет пользователям запускать приложения напрямую из OSD-файлов, а не с помощью опубликованных ярлыков. Если пользователь с правами локального администратора получает по электронной почте или загружает с веб-сайта OSD-файл, содержащий вредоносный программный код, он может открыть его и запустить приложение, даже если для клиента было задано ограничивающее разрешение на Добавление приложения. Чтобы снизить подобный риск, можно отменить регистрацию сопоставлений типов файлов для OSD-файлов. Также рассмотрите возможность блокировки данного расширения в системе электронной почты и в брандмауэре. Дополнительные сведения о настройке блокировки расширений в Outlook см. по адресу https://go.microsoft.com/fwlink/?LinkId=133278.

[Значение-заполнитель шаблона]

Безопасность Примечание
Начиная с App-V версии 4.6 во время установки клиента не создается сопоставление типов для OSD-файлов. Однако при переходе с версии 4.2 на 4.5 клиента App-V существующие настройки сохраняются. Если по какой-либо причине требуется создать сопоставление типа файлов, создайте приведенные ниже разделы реестра и задайте им указанные значения. Создайте раздел HKEY_CLASSES_ROOT\.osd со значением по умолчанию SoftGrid.osd.File В разделе HKEY_LOCAL_MACHINE\software\classes\Softgrid.osd.file создайте строковое значение AppUserModelID со значением данных Microsoft.AppV.Client.Tray

Начиная с App-V версии 4.6 во время установки клиента не создается сопоставление типов для OSD-файлов. Однако при переходе с версии 4.2 на 4.5 клиента App-V существующие настройки сохраняются. Если по какой-либо причине требуется создать сопоставление типа файлов, создайте приведенные ниже разделы реестра и задайте им указанные значения.

Создайте раздел HKEY_CLASSES_ROOT\.osd со значением по умолчанию SoftGrid.osd.File

В разделе HKEY_LOCAL_MACHINE\software\classes\Softgrid.osd.file создайте строковое значение AppUserModelID со значением данных Microsoft.AppV.Client.Tray

[Значение-заполнитель шаблона]

Авторизация

Во время установки можно использовать параметр RequireAuthorizationIfCached для настройки обязательной клиентской авторизации с сервера в случае, если пользователь пытается запустить приложение. Следует внимательно рассмотреть настройку этого параметра. Если сервер App-V по какой-то причине окажется недоступен, приложение будет использовать последнее сохраненное состояние этого параметра для управления пользовательским доступом к приложению. Если приложение не было успешно запущено до того, как сервер App-V стал недоступен, пользователи не смогут запустить его прежде, чем будет установлена связь с сервером и получена авторизация. Тем не менее, если параметр задан таким образом, что для клиента не требуется авторизация, и при этом сервер недоступен, все предыдущие кэшированные приложения могут быть запущены вне зависимости от наличия авторизации. Помимо этого, если пользователь может сменить режим работы клиента на автономный с помощью разрешений или является локальным администратором, он сможет открыть все кэшированные пакеты, как если инфраструктура App-V была бы недоступна.

Поиск вирусов

Антивирусная программа, выполняемая на компьютере с установленным клиентом App-V Client, способна обнаруживать в виртуальной среде зараженные файлы и создавать по ним отчет. Тем не менее, она не сможет очистить файл. Если в виртуальной среде обнаружен вирус, антивирусная программа поместит файл в карантин, если он настроен, или же выполнит операцию восстановления в кэше, а не в самом пакете. Настройте антивирусную программу, задав исключение для файла sftfs.fsd. Этот файл является файлом кэша, в котором хранятся пакеты клиента App-V Client.

Безопасность Примечание
Если вирус обнаружен в приложении или пакете, развернутом в рабочей среде, замените приложение или пакет версией без вирусов.

Связь между клиентом и сервером

Обновления публикаций и потоковая передача пакетов является той областью, где вопросы безопасности, относящиеся к связи между сервером и клиентом, играют особо важную роль.

Обновление публикации

Когда клиент связывается с сервером для выполнения обновления публикации, он использует для запроса сведений о пакетах приложений учетные данные текущего пользователя. Необходимо защитить соединение между клиентом App-V и сервером App-V Management Server, чтобы данные публикации не могли быть изменены во время передачи. Это можно сделать с помощью настройки «Повышенная безопасность», в которой используются протоколы RTSPS/HTTPS. Соединение между клиентом и местоположением хранения ICO- и OSD-файлов должно защищаться с помощью протокола IPsec для общих ресурсов SMB/CIFS или протокола HTTPS для сервера IIS.

Примечание

Если для публикации ICO- и OSD-файлов используются службы IIS, настройте тип MIME для OSD=TXT; в противном случае сервер IIS не будет передавать ICO- и OSD-файлы клиентам.

Потоковая передача пакетов

Если пользователь запускает приложение в первый раз или же если на клиенте были установлены параметры автозагрузки, пакет приложений передается с сервера в кэш клиента в потоковом режиме. Этот процесс поддерживает протоколы RTSP/RTSPS, HTTP/HTTPS и SMB/CIFS. Если на клиенте не настроены параметры ApplicationSourceRoot или OverrideURL, выбор протокола определяют OSD-файлы. Чтобы обеспечить повышенный уровень безопасности, нужно настроить соединение по протоколу RTSPS, HTTPS или IPsec для SMB/CIFS. Дополнительные сведения о выборе метода соединения см. в руководстве по планированию и развертыванию App-V по адресу https://go.microsoft.com/fwlink/?LinkId=122063.

Примечание

Если для публикации пакетов (SFT-файлов) используется сервер IIS, настройте тип MIME для SFT=Binary; в противном случае сервер IIS не будет передавать SFT-файлы клиентам.

Перемещаемые профили и перенаправление папок

Система App-V хранит пользовательские изменения пакетов в файле usrvol_sftfs_v1.pkg. Этот файл находится в папке Application Data в профиле пользователя. Поскольку весь профиль или перенаправленная папка Application Data передаются между клиентом и сервером, для обеспечения безопасности соединения следует использовать протокол IPSec.

См. также

Другие ресурсы

Планирование обеспечения безопасности и защиты

-----
Чтобы получить дополнительные сведения о пакете MDOP, воспользуйтесь библиотекой TechNet Library: выполните поиск статей по устранению неполадок на вики-сайте TechNet или подпишитесь на наши страницы в Facebook или Twitter. Отправляйте свои предложения и комментарии относительно документации MDOP по адресу MDOPdocs@microsoft.com.

Поделиться через