Поделиться через


Аспекты обеспечения безопасности для App-V 5.0

Назначение: Application Virtualization 5.0, Application Virtualization 5.0 SP1, Application Virtualization 5.0 SP2, Application Virtualization 5.0 SP3

В данной статье приводится краткий обзор учетных записей и групп, файлов журналов и других аспектов обеспечения безопасности для App-V 5.0.

Важно!

App-V 5.0 не является продуктом для обеспечения безопасности и не гарантирует безопасную среду.

Функция PackageStoreAccessControl (PSAC) упразднена

С июня 2014 года функция PackageStoreAccessControl (PSAC), впервые реализованная в Microsoft Application Virtualization (App-V) 5.0 с пакетом обновления 2 (SP2), упразднена как в однопользовательских, так и в многопользовательских средах.

Общие требования к безопасности

Осознавайте риски безопасности. Самый серьезный риск для App-V 5.0 состоит в перехвате его функциональных возможностей неуполномоченным пользователем, который может перенастроить ключевые данные для клиентов App-V 5.0. Кратковременная потеря доступа к функциональным возможностям App-V 5.0 в результате атаки типа "отказ в обслуживании" обычно не оказывает существенного негативного влияния.

Физическая защита компьютеров. Безопасность не будет полной без физической защиты. Любой человек с физическим доступом к серверу App-V 5.0 может провести атаку на всю клиентскую базу. Любые потенциальные физические атаки следует относить к повышенному риску и соответствующим образом предотвращать. Серверы App-V 5.0 следует располагать в физически защищенной серверной с контролируемым доступом. На время отсутствия администраторов обеспечивайте защиту таких компьютеров с помощью блокировки компьютера операционной системой или заставки с функциями безопасности.

Установка последних обновлений на все компьютеры. Чтобы быть в курсе всех последних обновлений для операционных систем, Microsoft SQL Server и App-V 5.0, подпишитесь на службу уведомлений о безопасности Security Notification (https://go.microsoft.com/fwlink/p/?LinkId=28819).

Используйте надежные пароли и парольные фразы. Всегда используйте надежные пароли, состоящие из 15 и более символов, для всех учетных записей администраторов App-V 5.0 и App-V 5.0. Никогда не используйте пустые пароли. Дополнительные сведения о разных аспектах использования паролей см. в техническом документе о паролях учетных записей и политиках на сайте TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009).

Учетные записи и группы в App-V 5.0

Лучшая методика управления учетными записями пользователей заключается в создании глобальных доменных групп и добавлении в них учетных записей пользователей. После этого глобальные учетные записи домена необходимо добавить в требуемые локальные группы App-V 5.0 на серверах App-V 5.0.

Примечание

Учетные записи клиентских компьютеров App-V, которые нужно подключить к серверу публикации, должны входить в локальную группу Пользователи сервера публикации. По умолчанию все компьютеры в домене входят в группу Авторизованные пользователи, которая, в свою очередь, входит в локальную группу Пользователи.

Безопасность сервера App-V 5.0

Во время установки App-V 5.0 автоматическое создание групп не выполняется. Для управления операциями сервера App-V 5.0 необходимо создать описанные ниже глобальные группы доменных служб Active Directory.

Имя группы Сведения

Группа администраторов управления App-V

Используется для управления сервером управления App-V 5.0. Эта группа создается во время установки сервера управления App-V 5.0.

Важно!

Создать эту группу через консоль управления после завершения установки невозможно.

Право на чтение и запись в базе данных для учетной записи службы управления

Предоставляет доступ к базе данных управления с правом чтения и записи данных. Эта учетная запись должна создаваться во время установки базы данных управления App-V 5.0.

Учетная запись администратора установки службы управления App-V

Примечание

Эта учетная запись требуется только в том случае, если база данных управления устанавливается отдельно от службы.

Предоставляет общий доступ к таблице версий схемы в базе данных управления. Эта учетная запись должна создаваться во время установки базы данных управления App-V 5.0.

Учетная запись администратора установки службы отчетов App-V

Примечание

Эта учетная запись требуется только в том случае, если база данных отчетов устанавливается отдельно от службы.

Общий доступ к таблице версий схемы в базе данных отчетов. Эта учетная запись должна создаваться во время установки базы данных отчетов App-V 5.0.

Необходимо принимать во внимание следующие дополнительные сведения.

  • Доступ к общим папкам пакета. Если общая папка находится на одном компьютере с сервером управления, то сетевой службе необходим доступ для чтения к этой общей папке. Кроме того, каждый клиентский компьютер App-V должен иметь доступ для чтения к общей папке пакета.

    Примечание

    В предыдущих версиях App-V общая папка пакета называлась общим ресурсом контента.

  • Регистрация серверов публикации с помощью сервера управления. Сервер публикации должен быть зарегистрирован с помощью сервера управления. Например, его необходимо добавить в базу данных, чтобы учетные записи компьютера сервера публикации могли обращаться к API службы управления.

Безопасность пакетов App-V 5.0

Следующие сведения помогут планировать защиту безопасности виртуализированных пакетов.

  • Если установщик приложения применяет к файлу или каталогу список управления доступом (ACL), этот ACL не сохраняется в пакете. Если к моменту развертывания пакета файл или каталог не будут изменены пользователем, они унаследуют ACL либо из %userprofile%, либо из каталога целевого компьютера. Первое происходит, если файл или каталог не существуют в виртуальной файловой системе; второе происходит, если файл или каталог существуют в виртуальной файловой системе, например в папке %windir%.

Файлы журналов App-V 5.0

Во время установки App-V 5.0 файлы журнала установки создаются в папке %temp% пользователя, выполняющего установку.

-





Есть предложение для App-V?

Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с App-V, можно найти на форуме TechNet по App-V.

См. также

Другие ресурсы

Security and Privacy for App-V 5.0

-----
Дополнительные сведения о MDOP можно найти в библиотеке TechNet, статьях по устранению неполадок на вики-сайте TechNet или подписавшись на новости в Facebook или Twitter.
-----