Planen der Clientsicherheit

Artikel
12/19/2014

Letzte Aktualisierung: Oktober 2009

Betrifft: Application Virtualization

App-V Client weist im Vergleich zu älteren Produktversionen zahlreiche Sicherheitsverbesserungen auf. Diese Änderungen tragen zu einer erhöhten Sicherheit nach der Installation und bei der späteren Konfiguration der Clienteinstellungen bei. In diesem Thema werden einige dieser Verbesserungen beschrieben und wichtige Konfigurationseinstellungen, die Sie bei Ihrer Planung zum Erreichen einer sicheren Umgebung berücksichtigen sollten, genannt. Denken Sie daran, dass es sich auch bei virtuellen Anwendungen um ausführbare Dateien handelt. Sie müssen deshalb verhindern, dass unbefugte Personen diese Ressourcen ändern. Der Cache für die OSD-Datei (Open Software Descriptor) ist entsprechend geschützt (nähere Erläuterungen hierzu folgen später in diesem Thema). Microsoft empfiehlt außerdem die Verwendung von RTSPS, HTTPS sowie IPSec zur besseren Sicherheit beim Veröffentlichen und Streamen von Anwendungen.

Sicherheit von App-V Client

Standardmäßig wird App-V Client bei der Installation nur mit der erforderlichen Mindestberechtigung zum Aktualisieren von Veröffentlichungen sowie zum Starten von Anwendungen konfiguriert. Weitere Sicherheitsverbesserungen von App-V Client:

Der Cache für die OSD-Datei kann standardmäßig nur von Administratoren im Rahmen der Veröffentlichungsaktualisierung aktualisiert werden.
Die Protokolldatei (sftlog.txt) ist nur über Konten mit lokalen Administratorrechten für den Client abrufbar.
Für sie gibt es ab sofort außerdem eine Größenbeschränkung.

Dateitypzuordnungen

Bei der Clientinstallation werden die Dateitypzuordnungen für OSD-Dateien standardmäßig registriert, damit Benutzer Anwendungen direkt über die jeweilige OSD-Datei aufrufen können und nicht die veröffentlichten Verknüpfungen verwenden müssen. Ein Benutzer, der über lokale Administratorrechte verfügt, kann eine per E-Mail gesendete oder von einer Website heruntergeladene OSD-Datei mit Schadsoftware öffnen und zum Starten der Anwendung verwenden, auch wenn die Berechtigung zum Hinzufügen von Anwendungen bei der Clienteinrichtung eingeschränkt wurde. Zur Minimierung dieses Risikos können Sie die Registrierung der Dateitypzuordnungen aufheben. Eine weitere Möglichkeit besteht in der Sperrung der Erweiterung im E-Mail-System bzw. in der Firewall. Weitere Informationen zum Sperren von Dateinamenerweiterungen in Outlook finden Sie unter https://go.microsoft.com/fwlink/?LinkId=133278.

[Vorlagen-Token-Wert]

Sicherheit Hinweis
Ab Version 4.6 von App-V wird bei einer Neuinstallation des Clients keine Dateitypzuordnung für OSD-Dateien mehr erstellt. Bei einem Upgrade von Version 4.2 oder 4.5 des App-V Clients bleiben die vorhandenen Einstellungen jedoch erhalten. Wenn Sie die Dateitypzuordnung aus einem bestimmten Grund erstellen müssen, können Sie die folgenden Registrierungsschlüssel folgendermaßen erstellen und ihre Werte festlegen: Erstellen Sie "HKEY_CLASSES_ROOT\.osd" mit einem Standardwert von "SoftGrid.osd.File". Erstellen Sie unter "HKEY_LOCAL_MACHINE\software\classes\Softgrid.osd.file" einen Zeichenfolgenwert mit der Bezeichnung "AppUserModelID" und dem Datenwert "Microsoft.AppV.Client.Tray".

Ab Version 4.6 von App-V wird bei einer Neuinstallation des Clients keine Dateitypzuordnung für OSD-Dateien mehr erstellt. Bei einem Upgrade von Version 4.2 oder 4.5 des App-V Clients bleiben die vorhandenen Einstellungen jedoch erhalten. Wenn Sie die Dateitypzuordnung aus einem bestimmten Grund erstellen müssen, können Sie die folgenden Registrierungsschlüssel folgendermaßen erstellen und ihre Werte festlegen:

Erstellen Sie "HKEY_CLASSES_ROOT\.osd" mit einem Standardwert von "SoftGrid.osd.File".

Erstellen Sie unter "HKEY_LOCAL_MACHINE\software\classes\Softgrid.osd.file" einen Zeichenfolgenwert mit der Bezeichnung "AppUserModelID" und dem Datenwert "Microsoft.AppV.Client.Tray".

[Vorlagen-Token-Wert]

Autorisierung

Mithilfe des Parameters RequireAuthorizationIfCached können Sie den Client bei der Installation so konfigurieren, dass eine Autorisierung vom Server angefordert wird, wenn Benutzer versuchen, eine Anwendung zu starten. Wählen Sie diese Einstellung mit Bedacht. Sollte App-V Server einmal nicht verfügbar sein, wird zur Steuerung des Benutzerzugriffs auf die zuletzt gespeicherte Parametereinstellung zurückgegriffen. Wenn es einem Benutzer vor dem Ausfall von App-V Server nicht gelingt, die Anwendung zu starten, muss er warten, bis die Verbindung zum Server hergestellt und die Autorisierung erteilt wurde. Wurde die Clientautorisierung über den Parameter deaktiviert, ist der Start zwischengespeicherter Anwendungen, wenn der Server nicht verfügbar ist, dagegen ohne Weiteres möglich. Ist ein Benutzer zum Arbeiten am Client im Offlinemodus berechtigt, oder verfügt der Benutzer über lokale Administratorrechte, kann er zudem alle zwischengespeicherten Anwendungen öffnen, unabhängig davon, ob die App-V-Infrastruktur verfügbar ist oder nicht.

Virenscanner

Antivirussoftware, die auf einem Computer mit App-V Client läuft, ermöglicht das Finden und Melden infizierter Dateien in einer virtuellen Umgebung. Die infizierte Datei kann damit jedoch nicht bereinigt werden. Wenn in der virtuellen Umgebung ein Virus gefunden wird, erfolgt die Durchführung der bei der Konfiguration gewählten Quarantäne- oder Reparaturmaßnahme am Cache und nicht für das Paket an sich. Definieren Sie die Datei "sftfs.fsd" im Virenscanner als Ausnahme. Dies ist die Cachedatei, in der die Anwendungspakete auf dem App-V Client-Computer gespeichert werden.

Sicherheit Hinweis
Wurde ein Virus in einer Anwendung oder einem in der Produktionsumgebung bereitgestellten Paket gefunden, dann ersetzen Sie die Anwendung bzw. das Paket durch eine virenfreie Version.

Kommunikation zwischen Client und Server

Die Veröffentlichungsaktualisierung und das Paketstreaming sind weitere Vorgänge, bei denen es auf eine sichere Kommunikation zwischen Client und Server ankommt.

Veröffentlichungsaktualisierung

Bei der Kommunikation zwischen Client und Server zur Durchführung einer Veröffentlichungsaktualisierung werden die Anmeldeinformationen des angemeldeten Benutzers für den Abruf der Daten zu den Anwendungspaketen verwendet. Schützen Sie die zwischen App-V Client und App-V Management Server stattfindende Kommunikation, um sicherzustellen, dass die Veröffentlichungsinformationen bei der Übertragung nicht manipuliert werden können. Aktivieren Sie dazu die Option zur verstärkten Sicherheit, bei der RTSPS bzw. HTTPS verwendet wird. Für die Kommunikation zwischen dem Client und dem Speicherort der ICO- und der OSD-Dateien sollte IPsec (SMB/CIFS-Freigaben) bzw. HTTPS (IIS-Server) verwendet werden.

Hinweis

Wenn Sie die ICO- und OSD-Dateien mithilfe von IIS veröffentlichen, dann konfigurieren Sie einen MIME-Typ für OSD=TXT. Andernfalls verweigert IIS die Bedienung der Clients mit den ICO- und OSD-Dateien.

Paketstreaming

Das Anwendungspaket wird vom Server zum Clientcache gestreamt, wenn ein Benutzer eine Anwendung zum ersten Mal aufruft oder am Client das automatische Laden von Anwendungen aktiviert ist. Dieser Vorgang unterstützt folgende Protokolle: RTSP/RTSPS, HTTP/HTTPS sowie SMB/CIFS. Welche Protokolle zum Einsatz kommen, hängt von den OSD-Dateien ab, es sei denn, auf den Clients wurde die Einstellung ApplicationSourceRoot oder die Einstellung OverrideURL konfiguriert. Zur Erhöhung der Sicherheit sollte für die Kommunikation RTSPS, HTTPS oder IPsec (SMB/CIFS) aktiviert werden. Weitere Informationen zum Auswählen der Kommunikationsmethode finden Sie im Planungs- und Bereitstellungshandbuch für App-V unter https://go.microsoft.com/fwlink/?LinkId=122063.

Hinweis

Wenn Sie Pakete (SFT-Dateien) mithilfe von IIS veröffentlichen, dann konfigurieren Sie einen MIME-Typ für SFT=Binary. Andernfalls verweigert IIS die Bedienung der Clients mit den SFT-Dateien.

Servergespeicherte Profile und Ordnerumleitung

Benutzerspezifische Änderungen an Paketen werden vom App-V-System in der Datei "usrvol_sftfs_v1.pkg file" gespeichert. Diese Datei befindet sich im Ordner "Anwendungsdaten" für das zugehörige Benutzerprofil. Das Profil bzw. der umgeleitete Ordner "Anwendungsdaten" wird zwischen dem Client und dem Server übertragen. Mit IPSec ist hierbei eine sichere Kommunikation gewährleistet.

Überlegungen für mit dem Internet verbundene Clients

In Bezug auf Clients, die mit dem Internet verbunden sind, spielt es eine Rolle, ob diese einer Domäne angehören oder nicht.

Client in einer Domäne

Standardmäßig erfolgt die Authentifizierung und Autorisierung von App-V Client-Computern im Intranet mit Kerberos-Tickets, die von Active Directory-Domänendiensten ausgestellt wurden. Die Standardgültigkeitsdauer der Kerberos-Tickets beträgt 10 Stunden. Solange das Ticket gültig ist, ist damit der Clientzugriff auf App-V Server möglich, auch wenn keine Verbindung zwischen Computer und Domänencontroller zur Ticketaktualisierung hergestellt werden kann. Nach Ablaufen des Kerberos-Tickets verwendet App-V Client wieder die NTLM-Authentifizierung mit den zwischengespeicherten Anmeldeinformationen des Benutzers.

Client außerhalb einer Domäne

App-V unterstützt ebenfalls die Bereitstellung von Anwendungen für Benutzer, die sich nicht in der Firmendomäne befinden. Damit Benutzer Veröffentlichungen aktualisieren und Anwendungen starten können, konfigurieren Sie das Benutzerkonto auf dem Clientcomputer für die Speicherung des Benutzernamens und des Kennworts, die zum Zugriff auf die App-V-Umgebung benötigt werden, sowie mit den entsprechenden Anwendungsberechtigungen.

Siehe auch

Andere Ressourcen

Planen der Sicherheit und von Schutzmaßnahmen

-----
Sie können mehr über MDOP in der TechNet-Bibliothek erfahren, im TechNet Wiki nach Problemlösungen suchen oder uns auf Facebook oder Twitter folgen. Senden Sie Vorschläge und Kommentare zur MDOP-Dokumentation an MDOPdocs@microsoft.com.