Поделиться через

Вопросы безопасности для UE-V (Windows 10)

  • Статья

В этом разделе содержится краткий обзор учетных записей и групп, файлов журналов и других аспектов, связанных с безопасностью для виртуализации взаимодействия с пользователем (UE-V). Дополнительные сведения см. по ссылкам, приведенным здесь.

Вопросы безопасности для конфигурации UE-V

Важно.

При создании общей папки хранилища параметров ограничьте доступ к общей папке пользователям, которым требуется доступ.

Так как пакеты параметров могут содержать персональные данные, необходимо максимально защитить их. Как правило, сделайте следующее:

  • Ограничьте общий доступ только теми пользователями, которым требуется доступ. Create группу безопасности для пользователей, которые перенаправили папки на определенную общую папку, и ограничьте доступ только этими пользователями.
  • При создании общей папки скройте общую папку, поместив $ после имени общей папки. Это дополнение скрывает общую папку из случайных браузеров, а общая папка не отображается в разделе Моя сеть Places.
  • Предоставьте пользователям только минимальное количество разрешений, которые они должны иметь. В следующих таблицах показаны необходимые разрешения.

  1. Задайте следующие разрешения SMB уровня общего ресурса для папки расположения хранилища параметров.

    Учетная запись пользователя Рекомендуемые разрешения
    Все пользователи Нет разрешений
    Группа безопасности UE-V Полный доступ

  2. Задайте следующие разрешения файловой системы NTFS для папки расположения хранилища параметров.

    Учетная запись пользователя Рекомендуемые разрешения Папка
    Создатель или владелец Нет разрешений Нет разрешений
    Администраторы домена Полный доступ Эта папка, вложенные папки и файлы
    Группа безопасности пользователей UE-V Вывод списка данных папки и чтения, создание папок и добавление данных Только эта папка
    Все пользователи Удаление всех разрешений Нет разрешений

  3. Задайте следующие разрешения SMB на уровне общего ресурса для папки каталога шаблонов параметров.

    Учетная запись пользователя Рекомендации по разрешениям
    Все пользователи Нет разрешений
    Компьютеры домена Уровни разрешений на чтение
    Администраторы Уровни разрешений на чтение и запись

  4. Задайте следующие разрешения NTFS для папки каталога шаблонов параметров.

    Учетная запись пользователя Рекомендуемые разрешения Применить к
    Создатель или владелец Полный доступ Эта папка, вложенные папки и файлы
    Компьютеры домена Вывод списка содержимого папки и разрешений на чтение Эта папка, вложенные папки и файлы
    Все пользователи Нет разрешений Нет разрешений
    Администраторы Полный доступ Эта папка, вложенные папки и файлы

Использование Windows Server с windows Server 2003 для размещения перенаправленных общих папок

Файлы пакетов параметров пользователя содержат персональные данные, передаваемые между клиентским компьютером и сервером, на котором хранятся пакеты параметров. В связи с этим процессом необходимо обеспечить защиту данных во время их перемещения по сети.

Данные параметров пользователя уязвимы для этих потенциальных угроз: перехват данных по мере их передачи по сети, изменение данных при их прохождении по сети и подделывание сервера, на котором размещены данные.

По состоянию на Windows Server 2003, некоторые функции операционной системы Windows Server могут помочь защитить данные пользователей:

  • Kerberos — kerberos является стандартным для всех версий Microsoft Windows 2000 Server и Windows Server, начиная с Windows Server 2001. Kerberos обеспечивает наивысший уровень безопасности сетевых ресурсов. NTLM проверяет подлинность только клиента; Kerberos проверяет подлинность сервера и клиента. При использовании NTLM клиент не знает, является ли сервер допустимым. Это различие важно, если клиент обменивается личными файлами с сервером, как в случае с перемещаемыми профилями пользователей. Kerberos обеспечивает лучшую безопасность, чем NTLM. Kerberos недоступен в операционных системах Microsoft Windows NT Server 4.0 или более ранних версий.

  • IPsec — протокол БЕЗОПАСНОСТИ IP (IPsec) обеспечивает проверку подлинности на уровне сети, целостность данных и шифрование. IPsec обеспечивает следующее:

    • Перемещаемые данные защищены от изменения данных во время их передачи.
    • Перемещаемые данные защищены от перехвата, просмотра или копирования.
    • Перемещаемые данные защищены от доступа сторон без проверки подлинности.

  • Подписывание SMB . Протокол проверки подлинности SMB поддерживает проверку подлинности сообщений, которая предотвращает активные сообщения и атаки "человек в середине". Подписывание SMB обеспечивает эту проверку подлинности путем размещения цифровой подписи в каждом SMB. Затем цифровая подпись проверяется клиентом и сервером. Чтобы использовать подписывание SMB, необходимо сначала включить его или потребоваться как на клиенте SMB, так и на сервере SMB. Подписывание SMB накладывает штраф за производительность. Он не потребляет больше пропускной способности сети, но использует больше циклов ЦП на стороне клиента и сервера.

Всегда используйте файловую систему NTFS для томов, на которые хранятся данные пользователя

Для наиболее безопасной конфигурации настройте серверы, на которых размещены файлы параметров UE-V, для использования файловой системы NTFS. В отличие от файловой системы FAT, NTFS поддерживает списки управления дискреционным доступом (DACLs) и списки управления доступом системы (SACLs). Списки DACLs и SACLs определяют, кто может выполнять операции с файлом и какие события инициируют ведение журнала действий, выполняемых с файлом.

Не полагайтесь на EFS для шифрования пользовательских файлов при их передаче по сети

При использовании шифруемой файловой системы (EFS) для шифрования файлов на удаленном сервере зашифрованные данные не шифруются во время передачи по сети; шифруется только при хранении на диске.

Этот процесс шифрования не применяется, если ваша система включает протокол IPsec или распределенную веб-разработку и управление версиями (WebDAV). IPsec шифрует данные при их транспортировке по сети TCP/IP. Если файл шифруется перед копированием или перемещением в папку WebDAV на сервере, он остается зашифрованным во время передачи и во время хранения на сервере.

Разрешите службе UE-V создавать папки для каждого пользователя

Чтобы обеспечить оптимальную работу UE-V, создайте на сервере только корневую общую папку и разрешите службе UE-V создавать папки для каждого пользователя. UE-V создает эти пользовательские папки с соответствующей безопасностью.

Эта конфигурация разрешений позволяет пользователям создавать папки для хранилища параметров. Служба UE-V создает и защищает папку пакета параметров во время выполнения в контексте пользователя. Пользователи получают полный доступ к папке пакета параметров. Другие пользователи не наследуют доступ к этой папке. Вам не нужно создавать и защищать отдельные каталоги пользователей. Служба UE-V, которая выполняется в контексте пользователя, выполняет это автоматически.

Примечание.

Дополнительную безопасность можно настроить, если windows Server используется для общей папки хранилища параметров. UE-V можно настроить так, чтобы убедиться, что локальная группа администраторов или текущий пользователь является владельцем папки, в которой хранятся пакеты параметров. Чтобы включить дополнительную безопасность, используйте следующую команду:

  1. Добавьте раздел реестра REG_DWORD RepositoryOwnerCheckEnabled в HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.
  2. Задайте для раздела реестра значение 1.

Когда этот параметр конфигурации установлен, служба UE-V проверяет, является ли локальная группа администраторов или текущий пользователь владельцем папки пакета параметров. В противном случае служба UE-V не предоставляет доступ к папке.

Если необходимо создать папки для пользователей, убедитесь, что у вас есть правильные разрешения.

Настоятельно рекомендуется не создавать папки предварительно. Вместо этого позвольте службе UE-V создать папку для пользователя.

Обеспечение правильных разрешений для хранения параметров UE-V 2 в домашнем или пользовательском каталоге

Если вы перенаправляете параметры UE-V в домашний каталог пользователя или в пользовательский каталог Active Directory (AD), убедитесь, что разрешения для каталога заданы соответствующим образом для вашей организации.

Просмотр содержимого шаблонов расположения параметров и управление доступом к ним при необходимости

При создании шаблона расположения параметров генератор UE-V использует запрос LDAP для получения имени пользователя и адреса электронной почты текущего вошедшего в систему пользователя. Эти сведения хранятся в шаблоне в виде имени автора шаблона и сообщения электронной почты автора шаблона. (Ни одна из этих сведений не отправляется в корпорацию Майкрософт.)

Если вы планируете поделиться шаблонами расположения параметров с кем-либо за пределами организации, следует просмотреть все расположения параметров и убедиться, что шаблоны расположения параметров не содержат личных сведений или сведений о компании. Содержимое можно просмотреть, открыв файлы шаблонов расположения параметров с помощью любого средства просмотра XML. Ниже приведены способы просмотра и удаления личных сведений или сведений о компании из файлов шаблонов расположения параметров перед предоставлением общего доступа другим пользователям за пределами вашей компании.

  • Имя автора шаблона . Укажите общее, не идентифицируемое имя для имени автора шаблона или исключите эти данные из шаблона.
  • Создание шаблона Email. Укажите общий адрес электронной почты, не идентифицирующие автора шаблона, или исключите эти данные из шаблона.

Чтобы удалить имя автора шаблона или адрес электронной почты автора шаблона, можно использовать приложение генератора UE-V. В генераторе выберите Изменить шаблон расположения параметров. Выберите шаблон расположения параметров для изменения из недавно использовавшихся шаблонов или Перейдите к файлу шаблона параметров. Нажмите кнопку Далее , чтобы продолжить. На странице Свойства удалите данные из полей Имя автора шаблона или Текст сообщения электронной почты автора шаблона. Сохраните шаблон расположения параметров.

Технический справочник по UE-V