UE-V (Windows 10) 的安全性考慮
本主題包含帳戶和群組的簡短概觀、記錄檔,以及用戶體驗虛擬化 (UE-V) 的其他安全性相關考慮。 如需詳細資訊,請遵循這裡提供的連結。
UE-V 組態的安全性考慮
重要
當您建立設定記憶體共用時,請將共用存取權限限限為需要存取權的使用者。
因為設定套件可能包含個人資訊,所以您應該盡可能小心地保護它們。 一般而言,請執行下列步驟:
- 將共用限制為僅限需要存取權的使用者。 針對在特定共用上重新導向資料夾的使用者,Create 安全組,並將存取權限這些使用者。
- 當您建立共用時,請在共用名後面放置 $來隱藏共用。 此新增功能會隱藏共用的非隨意瀏覽器,而共用不會顯示在 [我的網络] Places 中。
- 只提供用戶必須擁有的最小許可權數目。 下表顯示必要的許可權。
設定記憶體位置資料夾的下列共享層級 SMB 許可權。
用戶帳戶 建議的許可權 所有人 沒有許可權 UE-V 的安全組 完全控制 設定設定儲存位置資料夾的下列NTFS檔案系統許可權。
用戶帳戶 建議的許可權 資料夾 建立者/擁有者 沒有許可權 沒有許可權 網域系統管理員 完全控制 此資料夾、子資料夾和檔案 UE-V 使用者的安全組 列出資料夾/讀取資料、建立資料夾/附加資料 僅限此資料夾 所有人 拿掉所有許可權 沒有許可權 為設定範本目錄資料夾設定下列共享層級 SMB 許可權。
用戶帳戶 建議許可權 所有人 沒有許可權 網域電腦 讀取許可權等級 管理員 讀取/寫入許可權等級 為設定範本目錄資料夾設定下列NTFS許可權。
用戶帳戶 建議的許可權 套用至 建立者/擁有者 完全控制 此資料夾、子資料夾和檔案 網域電腦 列出資料夾內容和讀取許可權 此資料夾、子資料夾和檔案 所有人 沒有許可權 沒有許可權 管理員 完全控制 此資料夾、子資料夾和檔案
從 Windows Server 2003 開始使用 Windows Server 來裝載重新導向的檔案共用
用戶設定套件檔案包含在用戶端計算機與儲存設定套件的伺服器之間傳輸的個人資訊。 由於此程式,您應該確保資料在透過網路移動時受到保護。
用戶設定數據很容易受到這些潛在威脅:在數據通過網路時攔截數據、在數據通過網路時竄改數據,以及詐騙裝載數據的伺服器。
從 Windows Server 2003 開始,Windows Server 作業系統的數個功能可協助保護用戶數據:
Kerberos - 從 Windows Server 2001 開始,Kerberos 在所有版本的 Microsoft Windows 2000 Server 和 Windows Server 上都是標準的。 Kerberos 可確保網路資源的最高層級安全性。 NTLM 只會驗證用戶端;Kerberos 會驗證伺服器和用戶端。 使用 NTLM 時,用戶端不知道伺服器是否有效。 如果客戶端與伺服器交換個人檔案,這個差異就很重要,就像漫遊使用者策略檔一樣。 Kerberos 提供比 NTLM 更好的安全性。 Kerberos 不適用於 Microsoft Windows NT Server 4.0 或更早的操作系統。
IPsec - IP 安全性通訊協定 (IPsec) 提供網路層級驗證、數據完整性和加密。 IPsec 可確保:
- 當數據在路由中時,漫遊的數據可免於修改數據。
- 漫遊的數據可防止攔截、檢視或複製。
- 未經驗證的物件可以安全地存取漫遊的數據。
SMB 簽署 - 伺服器消息塊 (SMB) 驗證通訊協定支援訊息驗證,這可防止作用中的訊息和「中間人」攻擊。 SMB 簽署會藉由將數位簽名放入每個SMB來提供此驗證。 然後,客戶端和伺服器都會驗證數字簽名。 若要使用SMB簽署,您必須先啟用它,或者必須在SMB用戶端和SMB伺服器上要求它。 SMB 簽署會對效能造成負面影響。 它不會耗用更多的網路頻寬,但會在用戶端和伺服器端使用更多 CPU 週期。
一律針對保存用戶數據的磁碟區使用NTFS文件系統
針對最安全的組態,請將裝載 UE-V 配置檔案的伺服器設定為使用 NTFS 檔案系統。 不同於 FAT 檔案系統,NTFS 支援選擇性存取控制清單 (DACL) 和系統存取控制清單 (SACL) 。 DACL 和 SACL 可控制誰可以在檔案上執行作業,以及哪些事件會觸發檔案上所執行動作的記錄。
當使用者檔案透過網路傳輸時,請勿依賴 EFS 來加密使用者檔案
當您使用加密文件系統 (EFS) 來加密遠端伺服器上的檔案時,加密的數據不會在透過網路傳輸期間加密;只有在儲存在磁碟上時,才會加密。
當您的系統包含因特網通訊協定安全性 (IPsec) 或 WebDAV) 的 Web Distributed Authoring and Versioning (加密程式時,就不適用此加密程式。 IPsec 會在透過 TCP/IP 網路傳輸數據時加密數據。 如果檔案在複製或移至伺服器上的 WebDAV 資料夾之前已加密,則會在傳輸期間以及儲存在伺服器上時保持加密。
讓 UE-V 服務為每個使用者建立資料夾
若要確保 UE-V 能以最佳方式運作,請只在伺服器上建立根共用,並讓 UE-V 服務為每個使用者建立資料夾。 UE-V 會以適當的安全性建立這些用戶資料夾。
此許可權設定可讓使用者建立用於設定記憶體的資料夾。 UE-V 服務會在使用者的內容中執行時,建立及保護設定套件資料夾。 用戶可以完全掌控其設定套件資料夾。 其他使用者不會繼承此資料夾的存取權。 您不需要建立及保護個別用戶目錄。 在用戶內容中執行的 UE-V 服務會自動執行。
注意
當 Windows Server 用於設定記憶體共用時,可以設定額外的安全性。 UE-V 可以設定為確認本機 Administrators 群組或目前的使用者是儲存設定套件之資料夾的擁有者。 若要啟用額外的安全性,請使用下列命令:
- 將REG_DWORD登入機碼 RepositoryOwnerCheckEnabled 新增至
HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration。 - 將登錄機碼值設定為 1。
當此組態設定就緒時,UE-V 服務會確認本機 Administrators 群組或目前的使用者是設定套件資料夾的擁有者。 如果沒有,UE-V 服務就不會授與資料夾的存取權。
如果您必須為使用者建立資料夾,請確定您已設定正確的許可權。
強烈建議您不要預先建立資料夾。 相反地,讓 UE-V 服務建立使用者的資料夾。
確定將 UE-V 2 設定儲存在主目錄或自訂目錄中的正確許可權
如果您將 UE-V 設定重新導向至使用者的主目錄或自定義 Active Directory (AD) 目錄,請確定已為您的組織適當地設定目錄的許可權。
檢視設定位置範本的內容,並視需要控制其存取權
建立設定位置範本時,UE-V 產生器會使用輕量型目錄存取通訊協定 (LDAP) 查詢來取得目前登入使用者的使用者名稱和電子郵件位址。 此資訊會以範本作者名稱和範本作者電子郵件的方式儲存在範本中。 (此資訊都不會傳送至 Microsoft.)
如果您打算與組織外部的任何人共用設定位置範本,您應該檢閱所有設定位置,並確保設定位置範本不包含任何個人或公司資訊。 您可以使用任何 XML 檢視器開啟設定位置範本檔案來檢視內容。 下列方法可讓您在與公司外部的任何人共用之前,先檢視及移除設定位置範本檔案中的任何個人或公司資訊:
- 範本作者名稱 - 指定範本作者名稱的一般、非識別名稱,或從範本中排除此數據。
- 範本作者 Email - 指定一般、非識別範本作者電子郵件,或從範本中排除此數據。
若要移除範本作者名稱或範本作者電子郵件,您可以使用 UE-V 產生器應用程式。 從產生器中,選 取 [編輯設定位置範本]。 選取要從最近使用的範本編輯的設定位置範本,或瀏覽至設定範本檔案。 選 取 [下一步 ] 繼續。 在 [屬性] 頁面上,移除 [範本作者名稱] 或 [範本作者電子郵件] 文字欄位中的數據。 儲存設定位置範本。