Поделиться через

Планирование безопасности программы Sequencer

  • Статья

Назначение: Application Virtualization

Используйте практические рекомендации по реализации на этапе настройки Application Virtualization (App-V) как можно раньше, чтобы программа Sequencer была работоспособной и более защищенной. Если программа Sequencer уже настроена, используйте следующие практические рекомендации, чтобы пересмотреть проектные решения и проанализировать их с точки зрения безопасности.

Важно!

Программа App-V Sequencer собирает и развертывает все сведения о приложениях, записанные на компьютере, на котором она запущена. Необходимо предоставить доступ к компьютеру, на котором запущена программа Sequencer, только пользователям с правами администраторов. Пользователи, не обладающие такими правами, не должны иметь доступа для управления содержимым и файлами пакета. Если виртуализация производится на компьютере, на котором запущены службы удаленного рабочего стола (ранее известные под названием Terminal Services), следите за тем, чтобы во время виртуализации на нем не выполнялись никакие другие задачи и к нему не подключались пользователи.

Практические рекомендации по безопасности программы Sequencer

Рассмотрите следующие сценарии и связанные практические рекомендации при реализации и использованию программы Application Virtualization (App-V) Sequencer.

  • Поиск вирусов на компьютере, на котором работает программа Sequencer — рекомендуется проверить компьютер, на котором работает программа Sequencer, на наличие вирусов, а затем отключить на нем на время виртуализации все антивирусные программы и программы обнаружения вредоносных программ. Это ускорит процесс виртуализации и не позволит компонентам антивирусных программ и защиты от вредоносных программ помешать процессу виртуализации. Затем установите виртуализированный пакет на компьютер без программы Sequencer. После успешной установки проверьте компьютер на наличие вирусов. При обнаружении вирусов следует обратиться к производителю ПО, сообщить о зараженных исходных файлах и запросить обновленный источник установки, свободный от вирусов. Помимо этого, программу Sequencer можно проверить после этапа установки. При обнаружении вирусов следует обратиться к производителю ПО, как указано выше.

    Примечание

    Если в приложении обнаружен вирус, то это приложение не следует разворачивать на конечных компьютерах.

  • Создание снимка списков управления доступом к NTFS-файлам — программа App-V Sequencer делает снимок разрешений файловой системы NTFS для файлов, отслеживаемых во время установки продукта. Эта возможность позволяет более точно реплицировать обычное поведение приложения, как если бы оно устанавливалось локально и не было виртуализировано. В некоторых сценариях приложение может хранить в файлах данные, пользовательский доступ к которым не предусмотрен. Например, приложение может хранить во внутреннем файле сведения об учетных данных. Если в пакете не применяются списки управления доступом, пользователь может просмотреть и затем использовать эти сведения вне приложения.

    Примечание

    Не следует виртуализировать приложения, хранящие незашифрованную информацию, относящуюся к безопасности, такую как пароли и т. п.

    При необходимости на этапе установки можно изменить файловые разрешения, используемые по умолчанию. После завершения процесса виртуализации перед сохранением пакета можно указать, следует ли в обязательном порядке применить дескрипторы безопасности, снимок которых был сделан во время установки приложения. По умолчанию App-V принудительно использует дескрипторы безопасности, указанные во время установки приложения. В случае выключения принудительного применения дескрипторов безопасности проверьте, не привело ли удаление связанных списков управления доступом к неправильной работе приложения.

  • Программа Sequencer не создает снимок списков управления доступом к реестру — хотя на этапе установки в ходе виртуализации программа Sequencer создает снимок списков управления доступом в файловой системе NTFS, она не отслеживает списки управления доступом к реестру. Пользователи получат полный доступ ко всем разделам реестра виртуальных приложений (к службам это не относится). Тем не менее, если пользователь изменяет реестр виртуального приложения, это изменение будет сохранено в отдельном хранилище (uservol_sftfs_v1.pkg) и не затронет других пользователей.

  • Службы приложения — App-V поддерживает службы приложения, которые являются частью виртуализированного приложения. Однако в виртуальной среде контекст безопасности, в котором они будут выполняться, будет ограниченным. В виртуальной среде поддерживается только контекст безопасности Local System, Local Service и Network Service. Если контекст безопасности, указанный для службы приложения во время виртуализации, отличается от трех поддерживаемых, то в виртуальной среде будет использован контекст безопасности Local System. Если в службе приложения используется контекст Local Service или Network Service, то в виртуальной среде будет использоваться этот же контекст. Настройку учетной записи службы во время процесса виртуализации можно выполнить с использованием этих трех контекстов безопасности.

  • Хранимые параметры безопасности. В ходе виртуализации приложений отдельное приложение можно устанавливать в обычном режиме или использовать автоматический метод установки. Все элементы, не исключенные из пакета, будут отслеживаться как его части, чтобы приложение могло быть запущено в виртуализированной среде. Некоторые приложения во время установки сохраняют важные параметры безопасности (например, пароли); если при хранении не обеспечивается защита, к этим параметрам безопасности могут получить доступ другие пользователи, имеющие доступ к пакету. Если во время установки приложение запрашивает пароль или другую специальную информацию безопасности, проверьте по документации, что она не была сохранена (удалена после установки) или была сохранена, но защищена (зашифрована).

  • Защита пакетов виртуальных приложений. Всегда сохраняйте пакеты виртуальных приложений в безопасной сетевой папке, чтобы защитить их от изменений и повреждений.

См. также

Другие ресурсы

Планирование обеспечения безопасности и защиты

-----
Чтобы получить дополнительные сведения о пакете MDOP, воспользуйтесь библиотекой TechNet Library: выполните поиск статей по устранению неполадок на вики-сайте TechNet или подпишитесь на наши страницы в Facebook или Twitter. Отправляйте свои предложения и комментарии относительно документации MDOP по адресу MDOPdocs@microsoft.com.