通过

UE-V 1.0 安全注意事项

  • 项目

应用到: User Experience Virtualization 1.0

本主题包含 Microsoft User Experience Virtualization (UE-V) 的帐户和组、日志文件以及与安全相关的其他注意事项的简要概述。 有关详情,请访问此处提供的链接。

UE-V 配置的安全注意事项

当你创建设置存储共享时,请将共享访问权限仅提供给需要访问权限的用户。

因为设置包可能包含个人信息,所以你应该注意尽可能保护这些包。 通常,请执行以下操作:

  • 将共享仅提供给需要访问权限的用户。 为在特定共享上已重定向文件夹的用户创建安全组,并将访问权限仅提供给那些用户。

  • 当你创建共享时,通过在共享名称的后面加上 $ 来隐藏共享。 这将向非正式浏览器隐藏共享,并且共享在“我的网络位置”中将不可见。

  • 仅向用户提供所需的最小数量的权限。 下表显示了所需的权限。

    1. 为设置存储位置文件夹设置以下共享级别 (SMB) 权限:

      用户帐户 建议的权限

      每个人

      无权限

      UE-V 的安全组

      完全控制

    2. 为设置存储位置文件夹设置以下 NTFS 权限:

      用户帐户 建议的权限 文件夹

      创建者/所有者

      无权限

      无权限

      域管理员

      完全控制

      此文件夹、子文件夹以及文件

      UE-V 用户的安全组

      列出文件夹/读取数据、创建文件夹/附加数据

      仅限于此文件夹

      每个人

      删除所有权限

      无权限

    3. 为设置模板目录文件夹设置以下共享级别 (SMB) 权限。

      用户帐户 建议的权限

      每个人

      无权限

      域计算机

      读取权限级别

      管理员

      读/写权限级别

    4. 为设置模板目录文件夹设置以下 NTFS 权限。

      用户帐户 建议的权限 适用于

      创建者/所有者

      完全控制

      此文件夹、子文件夹以及文件

      域计算机

      列出文件夹内容和读取权限

      此文件夹、子文件夹以及文件

      每个人

      无权限

      无权限

      管理员

      完全控制

      此文件夹、子文件夹以及文件

使用 Windows Server 2003 或更高版本的服务器托管重定向的文件共享

用户设置包文件包含在客户端计算机和存储设置包的服务器之间传输的个人信息。 因此,你应该确保通过网络输送数据时保护这些数据。

用户设置数据容易受到这些潜在威胁: 在通过网络传输数据时侦听这些数据;在通过网络传输数据时篡改这些数据以及欺骗托管数据的服务器。

Windows Server 2003 及更高版本的几个功能可有助于保护用户数据:

  • Kerberos - Kerberos 是 Windows 2000 的所有版本以及 Windows Server 2003 和更高版本的标准。 Kerberos 确保网络资源的最高级别安全性。 NTLM 仅对客户端进行身份验证;Kerberos 对服务器和客户端进行身份验证。 当使用 NTLM 时,客户端不知道服务器是否有效。 这在客户端与服务器交换个人文件的情况下特别重要,“漫游配置文件”也是如此。 Kerberos 提供比 NTLM 更好的安全性。 Kerberos 在 Windows NT 版本 4.0 或更早版本的操作系统上不可用。

  • IPsec - IP 安全协议 (IPsec) 提供网络级别身份验证、数据完整性以及加密。 IPsec 确保以下各项:

    • 漫游的数据在途中不会被修改。

    • 漫游的数据不会被侦听、查看或复制。

    • 漫游的数据不会被未经身份验证方访问。

  • SMB 签名 - 服务器消息块 (SMB) 身份验证协议支持消息身份验证,从而阻止活动消息和“中间人”攻击。 SMB 签名通过将数字签名放入每个 SMB 中来提供此身份验证。 然后,客户端和服务器都会验证数字签名。 为了使用 SMB 签名,你首先必须在 SMB 客户端和 SMB 服务器上启用它或者需要它。 请注意 SMB 签名会导致性能下降。 它不再消耗网络带宽,但它在客户端和服务器端上使用更多 CPU 周期。

始终将 NTFS 文件系统用于托管用户数据的卷

对于最安全的配置,请将托管 UE-V 设置文件的服务器配置为使用 NTFS 文件系统。 不同于 FAT,NTFS 支持随机访问控制列表 (DACL) 和系统访问控制列表 (SACL)。 DACL 和 SACL 控制可以对文件执行操作的人员以及将触发对文件执行的操作日志的事件。

通过网络传输时不依赖于 EFS 对用户的文件进行加密

当使用加密文件系统 (EFS) 对远程服务器上的文件进行加密时,已加密的数据在通过网络传输的过程中不会被加密;它仅在存储到磁盘上时变为已加密状态。

在你的系统包括 Internet 协议安全 (IPsec) 或 Web 分布式创作和版本管理 (WebDAV) 的情况下例外。 通过 TCP/IP 网络传输的数据时,IPsec 对数据进行加密。 如果在将文件复制或移到服务器上的 WebDAV 文件夹之前对该文件进行加密,则在传输的过程中以及在将文件存储到服务器上时,该文件将保持已加密状态。

对“脱机文件”缓存进行加密

默认情况下,ACL 在 NTFS 磁盘分区上保护“脱机文件”缓存,但是对缓存进行加密会进一步增强本地计算机上的安全性。 默认情况下,不会对本地计算机上的缓存进行加密,因此将不在本地计算机上对网络中缓存的任何已加密文件进行加密。 这可能会在某些环境中带来安全风险。

如果启用加密,则会对“脱机文件”缓存中的所有文件进行加密。 这包括对现有文件以及稍后添加的文件进行加密。 本地计算机上的缓存副本会受到影响,但是关联的网络副本不会受到影响。

可以按照以下两种方式之一对缓存进行加密:

  1. 通过组策略。 - 启用“对脱机文件缓存进行加密”设置,该设置位于“组策略”编辑器内的计算机配置\管理模板\网络\脱机文件中。

  2. 手动。 - 在 Windows 资源管理器的命令菜单中选择“工具”,然后选择“文件夹选项”。 选择“脱机文件”选项卡,然后选中“对脱机文件进行加密以保护数据”复选框。

使 UE-V Agent 能够为每个用户创建文件夹

要确保 UE-V 以最佳状态工作,请在服务器上只创建根共享,并且使 UE-V Agent 能够为每个用户创建文件夹。UE-V 将创建具有合适安全性的这些用户文件夹。

利用此权限配置,用户可以为设置存储创建文件夹。 UE-V Agent 在用户的上下文中运行时会创建和保护 settingspackage 文件夹。 用户会收到对其 settingspackage 文件夹的完全控制权限。 其他用户不继承对此文件夹的访问权限。 你不需要创建和保护单个用户目录。 在用户的上下文中运行的代理将自动执行此操作。

备注

当 Windows 服务器用于设置存储共享时,可以配置附加安全性。可以将 UE-V 配置为验证本地管理员组或当前用户是否为存储设置包所位于的文件夹的所有者。 要启用附加安全性,请使用下面的命令:

  1. 将名称为“RepositoryOwnerCheckEnabled”的 REG_DWORD 注册表项添加至 HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration

  2. 将注册表项值设置为 1。

当采用了此配置设置时,UE-V Agent 会验证本地管理员的组或当前用户是否为 settingspackage 文件夹的所有者。 如果不是,则 UE-V Agent 将不允许访问此文件夹。

如果你必须为用户创建文件夹并且确保你已设置了正确的权限。

我们强烈建议你不要预先创建文件夹,而是要允许 UE-V Agent 为用户创建文件夹。

确保在用户的主目录中存储 UE-V 设置时设置正确的权限

如果将 UE-V 设置重定向到用户的主目录,则确保为组织适当设置对用户主目录的权限。

另请参阅

其他资源

安全和隐私,UE-V 1.0

-----
你可以在 TechNet 库中了解有关 MDOP 的详细信息、在 TechNet Wiki 上搜索疑难解答,或者在 FacebookTwitter 上了解我们的最新信息。
-----