Планирование безопасности сервера

Назначение: Application Virtualization

Чтобы повысить безопасность среды, необходимо рассмотреть все имеющиеся потенциальные угрозы. Обеспечение безопасности инфраструктуры App-V требует использования определенных функций безопасности App-V, а также функций и практических рекомендаций по обеспечению безопасности базовой инфраструктуры. Обеспечение безопасности базовой инфраструктуры таких служб, как Internet Information Services (IIS), доменные службы Active Directory и SQL Server, повышает общую безопасность системы App-V.

Настройки по умолчанию для установки сервера обеспечивают самый высокий уровень безопасности. Тем не менее, некоторые компоненты опираются на базовую инфраструктуру, которая не настраивается в составе установки. Следующие действия после установки повысят безопасность инфраструктуры App-V.

В каталоге содержимого находятся все пакеты, передаваемые клиентам. Эти ресурсы должны быть защищены настолько, насколько это возможно, чтобы устранить ряд потенциальных угроз безопасности. Ниже перечислены некоторые дополнительные рекомендации.

• Публикация и потоковая передача на основе UNC — разрешения для этого элемента в среде должны быть максимально ограниченными. Используйте разрешения NTFS, чтобы создать максимально ограничивающие списки контроля доступа для каталога содержимого (пользователи — чтение, администраторы — чтение и запись).

• Службы IIS, используемые для публикации и потоковой передачи — включите в IIS поддержку только для встроенной проверки подлинности Windows. Удалите анонимный доступ к серверу IIS и ограничьте доступ к каталогу с помощью разрешений NTFS.

• Протоколы RTSP/RTSPS для потоковой передачи пакетов приложений — с помощью политики поставщика App-V настройте обязательную проверку подлинности, примените разрешения на доступ и включите доступ к политикам поставщика только для требуемых групп. Настройте приложения с соответствующими разрешениями в базе данных.

Поддерживайте минимальное число пользователей с административными привилегиями, чтобы снизить возможные угрозы данным в хранилище данных и избежать публикации вредоносных программ в пределах инфраструктуры.

Безопасность виртуализации приложений

App-V использует несколько методов обмена данными между различными компонентами инфраструктуры. При планировании инфраструктуры App-V защита соединений между серверами может снизить риски безопасности, которые, возможно, уже имеются в существующей сети.

Хранилище данных

Сервер Application Virtualization Management Server и служба Application Virtualization Management Service взаимодействуют с хранилищем данных с помощью SQL-подключения через TCP-порт 1433. Сервер Management Server использует хранилище данных для получения данных приложений и данных конфигурации, а также записывает в базу данных сведения об использовании. Служба Management Service связывается с хранилищем данных от имени администратора, отвечающего за настройку инфраструктуры App-V. Поскольку хранилище данных содержит важные данные, необходимо минимизировать угрозы для этих данных.

Рекомендуется защитить соединения между App-V Management Server, Management Service и хранилищем данных с помощью протокола IPsec. Это подразумевает создание политик, защищающих каналы связи между хранилищем данных (SQL) и Management Server, а также хранилищем данных и Management Service. Также можно выполнить изоляцию серверов и доменов с помощью протокола IPsec, гарантировав тем самым, что связь между всеми компонентами инфраструктуры App-V будет осуществляться только по безопасным каналам. Дополнительные сведения об использовании протокола IPsec см. в следующей документации.

• Сведения для Windows Server 2003 см. на странице https://go.microsoft.com/fwlink/?LinkId=133226 (https://go.microsoft.com/fwlink/?LinkId=133226).

• Сведения для Windows Server 2008 см. на странице https://go.microsoft.com/fwlink/?LinkId=133227 (https://go.microsoft.com/fwlink/?LinkId=133227).

Каталог содержимого

Программа установки App-V Management Server настраивает местоположение каталога содержимого. Этот каталог является местоположением хранилища пакетов виртуализированных приложений. Он может размещаться на сервере или в удаленной сетевой папке. Поэтому необходимо использовать протокол IPsec для обеспечения безопасности связи с удаленным местоположением каталога содержимого.

Также для потоковой передачи пакетов клиентам можно использовать виртуальный каталог на сервере IIS. Если виртуальный каталог, созданный для содержимого, расположен на удаленном источнике, используйте протокол IPsec для обеспечения безопасности связи между сервером IIS и местоположением удаленного хранилища.

В каталоге содержимого находятся все пакеты, передаваемые клиентам. Эти ресурсы должны быть защищены настолько, насколько это возможно, чтобы устранить ряд потенциальных угроз безопасности.

Протоколы безопасности

Чтобы повысить безопасность обмена данными, можно использовать протоколы RTSPS или HTTPS. Протокол RTSPS используется серверами App-V, а протокол HTTPS — серверами IIS. Эти протоколы используются при публикации приложений с сервера на клиент Application Virtualization Desktop Client. После определения нужного протокола добавьте сервер публикации, использующий этот протокол.

Настройка серверов App-V для работы по протоколу RTSPS

Для установки или настройки повышенной безопасности (например, TLS) для App-V Management Server или Streaming Server требуется получить для сервера App-V сертификат X.509 V3. При подготовке установки или настройки безопасности сервера необходимо соблюсти ряд особых требований. Развертывание и настройка сертификатов для повышения уровня безопасности App-V Management Server или Streaming Server включает следующие технические требования.

• Сертификат должен быть действительным. В противном случае клиент завершит подключение.

• Сертификат должен содержать правильное расширенное использование ключа (EKU) — «Проверка подлинности сервера» (ИД объекта: 1.3.6.1.5.5.7.3.1). В противном случае клиент завершит подключение.

• Полное доменное имя сертификата (FQDN) должно соответствовать серверу, на котором он устанавливается. Например, если клиент обращается по адресу RTSPS://Myserver.mycompany.com/content/MyApp.sft, но в поле Кому выдан указан адрес Myserver1.mycompany.com, то клиент не подключится к серверу, и сеанс будет завершен, даже если адреса Myserver.mycompany.com и Myserver1.mycompany.com разрешаются в один и тот же IP-адрес.

  Примечание

  Если App-V используется в кластере с балансировкой сетевой нагрузки, для поддержки RTSPS сертификат должен быть настроен с использованием SAN (дополнительных имен субъекта). Сведения о настройке центров сертификации и создании сертификатов с дополнительными именами субъектов см. на странице https://go.microsoft.com/fwlink/?LinkId=133228 (https://go.microsoft.com/fwlink/?LinkId=133228).

• Центр сертификации, выдавший сертификат серверу App-V, должен быть доверенным для клиента, который к нему подключается. В противном случае клиент завершит подключение.

• Чтобы включить доступ для Server App-V Service, необходимо изменить разрешения для закрытого ключа сертификата. По умолчанию службы App-V Management Server и Streaming Server работают с учетной записью сетевой службы (Network Service). При создании PKCS#10 на сервере создается закрытый ключ. Доступ к этому ключу имеют только Local System и «Администраторы». Эти списки контроля доступа, используемые по умолчанию, не разрешают серверу App-V принимать безопасные подключения.

  Примечание

  Дополнительные сведения о настройке инфраструктуры открытых ключей (PKI) см. на странице https://go.microsoft.com/fwlink/?LinkId=133229 (https://go.microsoft.com/fwlink/?LinkId=133229).

Настройка серверов IIS для работы по протоколу HTTPS

В определенных конфигурациях инфраструктуры система App-V может использовать серверы IIS. Дополнительные сведения о настройке серверов IIS см. на странице https://go.microsoft.com/fwlink/?LinkId=133230 (https://go.microsoft.com/fwlink/?LinkId=133230).

Примечание

Если для публикации ICO- и OSD-файлов используются службы IIS, настройте тип MIME для OSD=TXT; в противном случае сервер IIS не будет передавать ICO- и OSD-файлы клиентам.

Безопасность на уровне приложений

Серверы можно настроить для потоковой передачи отдельных приложений на рабочий стол пользователя. Однако фактически разрешение на доступ предоставляется на уровне пакета, а не отдельного приложения. Хотя отдельное приложение может не публиковаться на рабочем столе пользователя, пользователь сможет создать и использовать ярлык для запуска любых приложений из пакета, если у него есть разрешение на добавление приложений, или же если он является администратором на клиентском компьютере.

Настройка App-V Administration для распределенной среды

При разработке инфраструктуры для конкретной организации можно установить службу App-V Management Web Service и сервер App-V Management Server на разные компьютеры. В число основных причин для разделения этих компонентов App-V входят:

• производительность;

• надежность;

• доступность;

• масштабируемость.

Чтобы инфраструктура работала правильно, после разделения консоли управления App-V Management Console, сервера Management Server и службы Management Web Service требуется провести дополнительную настройку. Подробные сведения о настройке сервера см. в разделе Настройка сервера для разрешения делегирования.

См. также

Другие ресурсы

Планирование обеспечения безопасности и защиты

-----
Чтобы получить дополнительные сведения о пакете MDOP, воспользуйтесь библиотекой TechNet Library: выполните поиск статей по устранению неполадок на вики-сайте TechNet или подпишитесь на наши страницы в Facebook или Twitter. Отправляйте свои предложения и комментарии относительно документации MDOP по адресу MDOPdocs@microsoft.com.