App-V 5.0 安全注意事项
应用到: Application Virtualization 5.0, Application Virtualization 5.0 SP1, Application Virtualization 5.0 SP2, Application Virtualization 5.0 SP3
本主题包含 App-V 5.0 的帐户和组、日志文件以及与安全相关的其他注意事项的简要概述。
重要
App-V 5.0 不是安全产品,不对安全环境提供任何保证。
不推荐使用 PackageStoreAccessControl (PSAC) 功能
Microsoft Application Virtualization (APP-V) 5.0 Service Pack 2 (SP2) 中引入的 PackageStoreAccessControl (PSAC) 功能于 2014 年 6 月生效,不推荐在单用户和多用户环境中使用。
一般安全注意事项
**了解安全风险。**对 App-V 5.0 最严重的风险是未授权的用户可能会劫持其功能,然后可能会在 App-V 5.0 客户端上重新配置密钥数据。但是,由于拒绝服务攻击而导致短期丧失 App-V 5.0 功能通常不会带来灾难性影响。
以物理方式保护你的计算机。如果没有物理安全性,则安全性不完整。可通过物理方式访问 App-V 5.0 服务器的任何人都可能会攻击整个客户端群体。必须将任何潜在的物理攻击都视为高风险并适当地减少这些攻击。应该在具有受控访问权限的物理安全服务器空间内存储 App-V 5.0 服务器。当管理员未亲临现场时,通过使操作系统锁定计算机或使用安全的屏幕保护程序来保护这些计算机。
将最新的安全更新应用于所有计算机。要了解有关操作系统、Microsoft SQL Server 和 App-V 5.0 的最新更新的信息,请订阅“安全通知”服务 (https://go.microsoft.com/fwlink/p/?LinkId=28819)。
使用强密码或通行短语。始终对所有 App-V 5.0 和 App-V 5.0 管理员帐户使用具有 15 个或更多字符的强密码。切勿使用空密码。有关密码概念的详细信息,请参阅 TechNet 上的“帐户密码和策略”白皮书 (https://go.microsoft.com/fwlink/p/?LinkId=30009)。
App-V 5.0 中的帐户和组
用户帐户管理的最佳做法是创建域全局组并向其中添加用户帐户。然后,在 App-V 5.0 服务器上向必需的 App-V 5.0 本地组添加域全局帐户。
.gif "note") 备注 |
|---|
| 需要连接到发布服务器的 App-V 客户端计算机帐户必须属于发布服务器的用户本地组。默认情况下,域中所有计算机都属于授权用户组,而后者又属于用户本地组。 |
App-V 5.0 服务器安全
在 App-V 5.0 安装过程中未自动创建组。你应该创建以下 Active Directory 域服务全局组以管理 App-V 5.0 服务器操作。
| 组名称 | 详细信息 | ||
|---|---|---|---|
App-V Management Admin 组 |
用于管理 App-V 5.0 管理服务器。此组在安装 App-V 5.0 管理服务器期间创建。 重要 一旦完成安装,就无法再使用管理控制台创建该组。 |
||
管理服务帐户的数据库读/写 |
提供管理数据库的读/写访问权限。此帐户应在安装 App-V 5.0 管理数据库期间创建。 |
||
App-V 管理服务安装管理员帐户
|
提供管理数据库架构版本表的公共访问权限。此帐户应在安装 App-V 5.0 管理数据库期间创建。 |
||
App-V 报告服务安装管理员帐户
|
提供报告数据库架构版本表的访问权限。此帐户应在安装 App-V 5.0 报告数据库期间创建。 |
考虑以下其他信息:
访问包共享 - 如果共享存在于与管理服务器相同的计算机上,则“网络”服务要求具有对共享的读取访问权限。此外,每台 App-V 客户端计算机都必须具有对包共享的读取访问权限。
备注在 App-V 的早期版本中,包共享被称作内容共享。 使用管理服务器注册发布服务器 - 发布服务器必须使用管理服务器进行注册。例如,必须将管理服务器添加到数据库,这样发布服务器计算机帐户才能调入管理服务 API。
App-V 5.0 包安全
以下信息有助于你规划如何确保虚拟化包的安全。
- 如果应用程序安装程序将访问控制列表 (ACL) 应用到文件或目录,则该 ACL 不会存在于包中。部署包之后,如果用户修改了文件或目录,则包将会继承“%userprofile%”中的 ACL,或继承目标计算机目录的 ACL。如果文件或目录不存在于虚拟文件系统位置,则发生前一种情况;如果文件或目录存在于虚拟文件系统位置(例如“%windir%”),则发生后一种情况。
App-V 5.0 日志文件
安装 App-V 5.0 期间,将在安装用户的“%temp%”文件夹中创建安装日志文件。
-
想对 App-V 提建议?
在此处添加建议或参与投票。有关 App-V 的问题,请使用 App-V TechNet Forum(App-V TechNet 论坛)。
另请参阅
其他资源
Security and Privacy for App-V 5.0
-----
你可以在 TechNet Library(TechNet 库)中详细了解 MDOP、在 TechNet Wiki 上搜索疑难解答,或者在 Facebook 或 Twitter 上了解我们的最新动态。
-----