本文简要概述了 Microsoft Application Virtualization (App-V) 5.1 的帐户和组、日志文件和其他与安全相关的注意事项。
重要提示
App-V 5.1 不是安全产品,不为安全环境提供任何保证。
PackageStoreAccessControl (PSAC) 功能已弃用
自 2014 年 6 月起,Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) 中引入的 PackageStoreAccessControl (PSAC) 功能已在单用户和多用户环境中弃用。
一般安全注意事项
了解安全风险。 App-V 5.1 的最严重风险是其功能可能被未经授权的用户劫持,后者随后可以在 App-V 5.1 客户端上重新配置关键数据。 由于拒绝服务攻击,App-V 5.1 功能在短时间内丢失通常不会造成灾难性影响。
在物理上保护计算机。 没有物理安全性,安全性是不完整的。 对 App-V 5.1 服务器具有物理访问权限的任何人都可以攻击整个客户端。 任何潜在的物理攻击都必须被视为高风险,并得到适当缓解。 App-V 5.1 服务器应存储在具有受控访问权限的物理安全服务器机房中。 通过使作系统锁定计算机或使用安全的屏幕保护程序,在管理员不在物理上时保护这些计算机。
将最新的安全更新应用到所有计算机。
使用强密码或密码短语。 对于所有 App-V 5.1 和 App-V 5.1 管理员帐户,始终使用包含 15 个或更多字符的强密码。 切勿使用空白密码。 有关密码概念的详细信息,请参阅 帐户密码和策略。
App-V 5.1 中的帐户和组
用户帐户管理的最佳做法是创建域全局组并向其添加用户帐户。 然后,将域全局帐户添加到 App-V 5.1 服务器上必需的 App-V 5.1 本地组。
注意
需要连接到发布服务器的 App-V 客户端计算机帐户必须是发布服务器的 “用户” 本地组的一部分。 默认情况下,域中的所有计算机都是 “授权用户组 ”的一部分,该组是 “用户 ”本地组的一部分。
App-V 5.1 服务器安全性
在 App-V 5.1 安装过程中,不会自动创建任何组。 应创建以下Active Directory 域服务全局组来管理 App-V 5.1 服务器作。
| 组名称 | 详细信息 |
|---|---|
| App-V 管理管理员组 | 用于管理 App-V 5.1 管理服务器。 此组是在 App-V 5.1 管理服务器安装过程中创建的。 重要:完成安装后,无法使用 管理控制台 创建组。 |
| 管理服务帐户的数据库读/写 | 提供对管理数据库的读/写访问权限。 应在安装 App-V 5.1 管理数据库期间创建此帐户。 |
| App-V 管理服务安装管理员帐户 | 提供对管理数据库中架构版本表的公共访问。 应在安装 App-V 5.1 管理数据库期间创建此帐户。 注意: 仅当管理数据库与服务分开安装时,才需要这样做。 |
| App-V Reporting Service 安装管理员帐户 | 对报表数据库中架构版本表的公共访问。 应在安装 App-V 5.1 报告数据库期间创建此帐户。 注意: 仅当报告数据库与服务分开安装时,才需要这样做。 |
请考虑以下附加信息:
访问包共享 - 如果共享与管理服务器位于同一台计算机上, 则网络 服务需要对该共享的读取访问权限。 此外,每台 App-V 客户端计算机必须具有对包共享的读取访问权限。
注意
在早期版本的 App-V 中,包共享称为内容共享。
向管理服务器注册发布服务器 - 发布服务器必须注册到管理服务器。 例如,必须将其添加到数据库,以便发布服务器计算机帐户能够调用管理服务 API。
App-V 5.1 包安全性
以下内容将帮助你规划如何确保虚拟化包是安全的。
- 如果应用程序安装程序将访问控制列表 (ACL) 应用于文件或目录,则该 ACL 不会保留在包中。 部署包时,如果文件或目录由用户修改,它将继承 %userprofile% 中的 ACL 或继承目标计算机目录的 ACL。 如果虚拟文件系统位置中不存在文件或目录,则会出现前一种情况:如果文件或目录存在于虚拟文件系统位置(例如 %windir%),则会出现后一种情况。
App-V 5.1 日志文件
在 App-V 5.1 安装过程中,会在安装用户的 %temp% 文件夹中创建安装程序日志文件。