MED-V 作業的安全性最佳做法
身為授權的系統管理員,您必須負責保護使用者的資訊,並在部署 MED-V 工作區期間和之後維護組織的安全性。 請特別考慮下列問題。
在 MED-V 工作區中自訂 Internet Explorer。 舊版的 Windows 作業系統和 Internet Explorer 不如目前版本安全。 因此,MED-V 工作區中的 Internet Explorer 已設定為防止流覽和其他可能會造成安全性風險的活動。 此外,MED-V 工作區中 Internet Explorer 的網際網路安全性區域設定會設定為最高層級。 根據預設,當您建立 MED-V 工作區套件時,這兩個組態都會在 MED-V 工作區封裝程式中設定。
藉由使用 Internet Explorer Administration Kit (IEAK) 或變更 MED-V 工作區封裝程式中的預設值,您可以在 MED-V 工作區中自訂 Internet Explorer。 不過,請注意,如果您在 MED-V 工作區中自訂 Internet Explorer,以降低其安全性的方式,您可以向舊版 Internet Explorer 中存在的安全性風險公開您的組織。
從安全性觀點來看,在 MED-V 工作區中管理 Internet Explorer 的最佳做法如下:
建立 MED-V 工作區套件時,請保留預設值,以便設定 MED-V 工作區中的 Internet Explorer,以防止流覽和其他可能會造成安全性風險的活動。
建立 MED-V 工作區套件時,請保留預設值,讓網際網路安全性區域的安全性設定維持在最高層級。
設定您的企業 Proxy 或 Internet Explorer 內容建議程式,以封鎖公司內部網路外部的網域。
為共用電腦上的所有使用者設定 MED-V 工作區。 設定 MED-V 工作區,讓共用電腦上的所有使用者都能存取該工作區時,請瞭解客體虛擬機器 (VHD) 會放在可讓系統上所有使用者讀取和寫入存取的位置。
設定要加入網域的 Proxy 帳戶。 設定 Proxy 帳戶以將虛擬機器加入網域時,您必須知道終端使用者可以取得 Proxy 帳號憑證。 因此,必須採取必要的預防措施,例如限制帳戶使用者權限,以防止使用者使用認證來造成損害。
Sysprep 組態。 雖然 Sysprep.inf 檔案預設會加密,但任何可成功登入虛擬機器的已決定終端使用者都可以解密和讀取其內容。 這會引發安全性考慮,因為 Sysprep.inf 檔案除了 Windows 產品金鑰之外,還可以包含認證。
您可以藉由設定將虛擬機器加入網域的有限帳戶,並在設定 Sysprep 時指定該帳戶的認證,來降低此風險。 或者,您也可以將 Sysprep 和第一次安裝程式設定為以 [出席 ] 模式執行,並要求使用者提供其認證以將虛擬機器加入網域。
MED-V 最佳做法是指定在帳戶下執行FtsCompletion.exe,讓使用者有權透過遠端桌面連線 (RDC) Client 連線到來賓。
使用者驗證。 啟用使用者認證的快取可提供 MED-V 的最佳使用者體驗,但可能會讓某人取得使用者認證的存取權。 降低此風險的唯一方法是在 MED-V 工作區封裝程式 上指定不會儲存使用者認證。 如需使用者驗證的詳細資訊,請參閱 MED-V 終端使用者的驗證。
相關主題
Microsoft Enterprise Desktop Virtualization 2.0