Bewährte Methoden für die Sicherheit von MED-V-Abläufen

  • Artikel

Letzte Aktualisierung: November 2013

Betrifft: Microsoft Enterprise Desktop Virtualization 2.0

Als autorisierter Administrator sind Sie für den Schutz der Benutzerdaten und die Gewährleistung der Sicherheit des Unternehmens während und nach der Bereitstellung von MED-V-Arbeitsbereichen verantwortlich. Dabei kommt den folgenden Aufgaben eine besondere Aufgabe zu.

  • Anpassen von Internet Explorer im MED-V-Arbeitsbereich. Frühere Versionen des Windows-Betriebssystems und von Internet Explorer sind nicht so sicher wie die aktuellen Versionen. Daher ist Internet Explorer im MED-V-Arbeitsbereich so konfiguriert, dass Aktivitäten, die ein Sicherheitsrisiko darstellen können, unterbunden werden. Außerdem ist im MED-V-Arbeitsbereich die Sicherheitsstufe für die Internetzone in Internet Explorer auf die höchste Stufe festgelegt. Standardmäßig werden diese Konfigurationen im Arbeitsbereichs-Packager für MED-V vorgenommen, wenn Sie das MED-V-Arbeitsbereichspaket erstellen.

    Mithilfe des Internet Explorer Administration Kit (IEAK) oder durch Ändern der Standardwerte im Arbeitsbereichs-Packager für MED-V können Sie Internet Explorer im MED-V-Arbeitsbereich anpassen. Beachten Sie jedoch, dass wenn Sie weniger sichere Einstellungen für Internet Explorer im MED-V-Arbeitsbereich wählen, Sie Ihr Unternehmen den mit älteren Versionen von Internet Explorer verbunden Sicherheitsrisiken aussetzen.

    Unter Sicherheitsaspekten sind die folgenden Vorgehensweise bei der Verwaltung von Internet Explorer im MED-V-Arbeitsbereich empfehlenswert:

    • Lassen Sie beim Erstellen eines MED-V-Arbeitsbereichspakets die Standardwerte unverändert, sodass Internet Explorer im MED-V-Arbeitsbereich so konfiguriert ist, dass Browsing- oder sonstige Aktivitäten, die ein Sicherheitsrisiko darstellen können, unterbunden werden.

    • Lassen Sie beim Erstellen eines MED-V-Arbeitsbereichspakets die Standardwerte unverändert, sodass die Sicherheitsstufe für die Internetzone weiterhin auf die höchste Stufe festgelegt ist.

    • Konfigurieren Sie den Unternehmensproxy oder Internet Explorer-Inhaltsratgeber so, dass Domänen außerhalb des Intranets des Unternehmens blockiert werden.

  • Konfigurieren eines MED-V-Arbeitsbereichs für alle Benutzer auf einem gemeinsam genutzten Computer. Wenn Sie einen MED-V-Arbeitsbereich so konfigurieren, dass alle Benutzer auf einem gemeinsam genutzten Computer auf ihn zugreifen können, muss sich die virtuelle Gastmaschine (VHD) an einem Speicherort befinden, für den alle Benutzer des Systems Schreib- und Lesezugriff haben.

  • Konfigurieren eines Proxykontos für Domänenbeitritt. Wenn Sie ein Proxykonto für den Betritt virtueller Maschinen zur Domäne konfigurieren, müssen Sie sich bewusst sein, dass es für den Endbenutzer möglich ist, die Anmeldeinformationen für das Proxykonto in Erfahrung zu bringen. Daher müssen die erforderlichen Vorsichtsmaßnahmen ergriffen werden, z. B. durch Beschränkung der Benutzerrechte für das Konto, damit der Endbenutzer mithilfe der Anmeldeinformationen keinen Schaden verursachen kann.

  • Sysprep-Konfiguration. Auch wenn die Datei "Sysprep.inf" standardmäßig verschlüsselt ist, kann der Inhalt von einem Endbenutzer, der sich bei der virtuellen Maschine anmelden kann, entschlüsselt werden. Daraus resultieren Sicherheitsprobleme, da die Datei "Sysprep.inf" neben einem Windows-Produktschlüssel auch Anmeldeinformationen enthalten kann.

    Sie können dieses Risiko verringern, indem Sie ein eingeschränktes Konto für den Beitritt virtueller Maschinen zur Domäne einrichten und die Anmeldeinformationen für dieses Konto bei der Sysprep-Konfiguration angeben. Alternativ können Sie Sysprep und die erstmalige Einrichtung so einrichten, dass sie im beaufsichtigten Modus ausgeführt werden und Endbenutzer die Anmeldeinformationen für den Beitritt der virtuellen Maschine zur Domäne angeben müssen.

    Ein bewährtes Verfahren für MED-V ist es, "FtsCompletion.exe" mit einem Konto auszuführen, das dem Endbenutzer die Rechte gibt, die Verbindung zum Gast über den Remotedesktopverbindungs-Client herzustellen.

  • Endbenutzerauthentifizierung. Das Aktivieren der Zwischenspeicherung für die Anmeldeinformationen des Endbenutzers bietet die größte Benutzerfreundlichkeit bei der Arbeit mit MED-V, birgt aber auch die Gefahr, dass ein Angreifer in den Besitz der Anmeldeinformationen des Endbenutzers kommt. Die einzige Möglichkeit, dieses Risiko zu verringern, besteht darin, im Arbeitsbereichs-Packager für MED-V die Speicherung der Anmeldeinformationen des Endbenutzers zu deaktivieren. Weitere Informationen zur Authentifizierung von Endbenutzern finden Sie unter Authentifizierung von MED-V-Endbenutzern.

Siehe auch

Tasks

Problembehandlung im Betrieb

Andere Ressourcen

Microsoft Enterprise Desktop Virtualization 2.0

Fanden Sie diese Informationen hilfreich? Senden Sie Ihre Vorschläge und Kommentare zur MED-V-Dokumentation an medvdocs@microsoft.com.