(0) exportieren Drucken
Alle erweitern

Bewährte Methoden für die Sicherheit von MED-V-Abläufen

Letzte Aktualisierung: März 2011

Betrifft: Microsoft Enterprise Desktop Virtualization 2.0

Als autorisierter Administrator sind Sie für den Schutz der Benutzerdaten und die Gewährleistung der Sicherheit des Unternehmens während und nach der Bereitstellung von MED-V Workspaceen verantwortlich. Dabei kommt den folgenden Aufgaben eine besondere Aufgabe zu.

  • Anpassen von Internet Explorer im MED-V Workspace. Frühere Versionen des Windows-Betriebssystems und von Internet Explorer sind nicht so sicher wie die aktuellen Versionen. Daher ist Internet Explorer im MED-V Workspace so konfiguriert, dass Aktivitäten, die ein Sicherheitsrisiko darstellen können, unterbunden werden. Außerdem ist im MED-V Workspace die Sicherheitsstufe für die Internetzone in Internet Explorer auf die höchste Stufe festgelegt. Standardmäßig werden diese Konfigurationen im Arbeitsbereichs-Packager für MED-V vorgenommen, wenn Sie das MED-V Workspacespaket erstellen.

    Mithilfe des Internet Explorer Administration Kit (IEAK) oder durch Ändern der Standardwerte im Arbeitsbereichs-Packager für MED-V können Sie Internet Explorer im MED-V Workspace anpassen. Beachten Sie jedoch, dass wenn Sie weniger sichere Einstellungen für Internet Explorer im MED-V Workspace wählen, Sie Ihr Unternehmen den mit älteren Versionen von Internet Explorer verbunden Sicherheitsrisiken aussetzen.

    Unter Sicherheitsaspekten sind die folgenden Vorgehensweise bei der Verwaltung von Internet Explorer im MED-V Workspace empfehlenswert:

    • Lassen Sie beim Erstellen eines MED-V Workspacespakets die Standardwerte unverändert, sodass Internet Explorer im MED-V Workspace so konfiguriert ist, dass Browsing- oder sonstige Aktivitäten, die ein Sicherheitsrisiko darstellen können, unterbunden werden.

    • Lassen Sie beim Erstellen eines MED-V Workspacespakets die Standardwerte unverändert, sodass die Sicherheitsstufe für die Internetzone weiterhin auf die höchste Stufe festgelegt ist.

    • Konfigurieren Sie den Unternehmensproxy oder Internet Explorer-Inhaltsratgeber so, dass Domänen außerhalb des Intranets des Unternehmens blockiert werden.

  • Konfigurieren eines MED-V Workspaces für alle Benutzer auf einem gemeinsam genutzten Computer. Wenn Sie einen MED-V Workspace so konfigurieren, dass alle Benutzer auf einem gemeinsam genutzten Computer auf ihn zugreifen können, muss sich die virtuelle Gastmaschine (VHD) an einem Speicherort befinden, für den alle Benutzer des Systems Schreib- und Lesezugriff haben.

  • Konfigurieren eines Proxykontos für Domänenbeitritt. Wenn Sie ein Proxykonto für den Betritt virtueller Maschinen zur Domäne konfigurieren, müssen Sie sich bewusst sein, dass es für den Endbenutzer möglich ist, die Anmeldeinformationen für das Proxykonto in Erfahrung zu bringen. Daher müssen die erforderlichen Vorsichtsmaßnahmen ergriffen werden, z. B. durch Beschränkung der Benutzerrechte für das Konto, damit der Endbenutzer mithilfe der Anmeldeinformationen keinen Schaden verursachen kann.

  • Sysprep-Konfiguration. Auch wenn die Datei "Sysprep.inf" standardmäßig verschlüsselt ist, kann der Inhalt von einem Endbenutzer, der sich bei der virtuellen Maschine anmelden kann, entschlüsselt werden. Daraus resultieren Sicherheitsprobleme, da die Datei "Sysprep.inf" neben einem Windows-Produktschlüssel auch Anmeldeinformationen enthalten kann.

    Sie können dieses Risiko verringern, indem Sie ein eingeschränktes Konto für den Beitritt virtueller Maschinen zur Domäne einrichten und die Anmeldeinformationen für dieses Konto bei der Sysprep-Konfiguration angeben. Alternativ können Sie Sysprep und die erstmalige Einrichtung so einrichten, dass sie im beaufsichtigten Modus ausgeführt werden und Endbenutzer die Anmeldeinformationen für den Beitritt der virtuellen Maschine zur Domäne angeben müssen.

    Ein bewährtes Verfahren für MED-V ist es, "FtsCompletion.exe" mit einem Konto auszuführen, das dem Endbenutzer die Rechte gibt, die Verbindung zum Gast über den Remotedesktopverbindungs-Client herzustellen.

  • Endbenutzerauthentifizierung. Das Aktivieren der Zwischenspeicherung für die Anmeldeinformationen des Endbenutzers bietet die größte Benutzerfreundlichkeit bei der Arbeit mit MED-V, birgt aber auch die Gefahr, dass ein Angreifer in den Besitz der Anmeldeinformationen des Endbenutzers kommt. Die einzige Möglichkeit, dieses Risiko zu verringern, besteht darin, im Arbeitsbereichs-Packager für MED-V die Speicherung der Anmeldeinformationen des Endbenutzers zu deaktivieren. Weitere Informationen zur Authentifizierung von Endbenutzern finden Sie unter Authentifizierung von MED-V-Endbenutzern.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft