Поделиться через

Рекомендации по безопасности для операций MED-V

  • Статья

Назначение: Microsoft Enterprise Desktop Virtualization 2.0

Уполномоченный администратор отвечает за защиту данных пользователей и обеспечение безопасности организации во время и после развертывания рабочих пространств MED-V. В частности, рассмотрим следующие вопросы.

  • Настройка Internet Explorer в рабочем пространстве MED-V. Предыдущие версии операционной системы Windows и браузера Internet Explorer являются не такими безопасными, как текущие версии. Поэтому Internet Explorer в рабочем пространстве MED-V настраивается так, чтобы предотвратить просмотр веб-страниц и другие действия, связанные с угрозами безопасности. Кроме того, для зоны Интернета в браузере Internet Explorer в рабочем пространстве MED-V установлен самый высокий уровень безопасности. По умолчанию обе эти конфигурации задаются в упаковщике рабочих пространств MED-V при создании пакета рабочего пространства MED-V.

    С помощью пакета администрирования Internet Explorer (IEAK) или путем изменения заданных по умолчанию параметров упаковщика рабочих пространств MED-V можно настроить браузер Internet Explorer в рабочем пространстве MED-V. Однако следует иметь в виду, что если настроить Internet Explorer в рабочем пространстве MED-V в сторону понижения уровня безопасности, можно подвергнуть организацию тем же угрозам безопасности, что и в более ранних версиях Internet Explorer.

    С точки зрения безопасности при управлении браузером Internet Explorer в рабочем пространстве MED-V следует придерживаться сформулированных ниже рекомендаций.

    • При создании пакета рабочего пространства MED-V оставьте заданные по умолчанию значения неизменными. При этом в браузере Internet Explorer в рабочем пространстве MED-V будет настроено предотвращение просмотра веб-страниц и других действий, в результате которых может возникнуть угроза безопасности.

    • При создании пакета рабочего пространства MED-V оставьте заданные по умолчанию значения неизменными — тогда уровень безопасности для зоны Интернета останется самым высоким.

    • Настройте на прокси-сервере или в системе ограничения доступа Internet Explorer предприятия блокировку доменов, которые не входят в интрасеть компании.

  • Настройка рабочего пространства MED-V для всех пользователей на компьютере с общим доступом. При настройке доступа к рабочему пространству MED-V для всех пользователей компьютера с общим доступом следует иметь в виду, что гостевая виртуальная машина (VHD) помещается в местоположение, к которому всем пользователям системы предоставляется доступ для чтения и записи.

  • Настройка учетной записи-посредника для присоединения к домену. При настройке учетной записи-посредника для присоединения виртуальной машины к домену важно иметь в виду, что пользователь может узнать учетные данные учетной записи-посредника. Поэтому необходимо предпринять соответствующие меры предосторожности, например, ограничить права учетной записи пользователя, чтобы пользователь не смог использовать учетные данные во вред.

  • Настройка средства Sysprep. Несмотря на то что файл Sysprep.inf по умолчанию шифруется, его содержимое может расшифровать и прочитать любой пользователь, который вошел в виртуальную систему. В результате возникает угроза безопасности, поскольку файл Sysprep.inf может содержать учетные данные и ключ продукта Windows.

    Этот риск можно уменьшить. Для этого настройте для присоединения виртуальных машин к домену учетную запись с ограниченными правами и укажите при настройке средства Sysprep учетные данные этой учетной записи. Существует также альтернативный способ — настроить выполнение средства Sysprep и первоначальной настройки в режиме С участием пользователя и потребовать, чтобы конечные пользователи предоставили свои учетные данные для присоединения виртуальной машины к домену.

    При работе с приложением MED-V рекомендуется запускать программу FtsCompletion.exe с помощью учетной записи, пользователь которой имеет права на подключение к гостевой виртуальной машине с помощью клиента подключения к удаленному рабочему столу.

  • Проверка подлинности пользователя. Если разрешить кэширование учетных данных пользователя, работать с приложением MED-V будет удобнее, но возникает риск того, что к этим учетным данным кто-то может получить доступ. Единственный способ уменьшить этот риск — настроить упаковщик рабочих пространств MED-V таким образом, чтобы учетные записи пользователя не сохранялись. Дополнительные сведения о проверке подлинности пользователей содержатся в разделе Проверка подлинности пользователей MED-V.

См. также

Задачи

Устранение неполадок, возникших во время выполнения операций

Другие ресурсы

Microsoft Enterprise Desktop Virtualization 2.0

Была ли эта информация полезной? Отправьте предложения и комментарии по документации MED-V по адресу medvdocs@microsoft.com.