Consideraciones de seguridad de UE-V 1.0
Se aplica a: User Experience Virtualization 1.0
Este tema contiene una breve descripción de las cuentas y grupos, los archivos de registro y otras consideraciones de seguridad de Microsoft User Experience Virtualization (UE-V). Para obtener más información, siga los vínculos que se proporcionan aquí.
Consideraciones de seguridad para la configuración de UE-V
Al crear el recurso compartido de almacenamiento de configuración, limite el acceso al recurso compartido solo a los usuarios que necesitan tener acceso.
Debido a que los paquetes de configuración pueden contener información personal, debe procurar protegerlos lo mejor posible. En general, haga lo siguiente:
Restrinja el recurso compartido solo a los usuarios que necesitan tener acceso. Cree un grupo de seguridad para los usuarios que tienen carpetas redirigidas en un recurso compartido determinado y limite el acceso únicamente a esos usuarios.
Cuando cree el recurso compartido, ocúltelo colocando un signo $ después de su nombre. Esto ocultará el recurso compartido de exploradores ocasionales y no estará visible en Mis sitios de red.
Conceda a los usuarios solo la cantidad mínima de permisos necesarios. Las tablas siguientes muestran los permisos necesarios.
Establezca los siguientes permisos de nivel de recurso compartido (SMB) para la carpeta de ubicación de almacenamiento de configuración:
Cuenta de usuario Permisos recomendados Todo el mundo
Sin permisos
Grupo de seguridad de UE-V
Control total
Establezca los permisos NTFS siguientes para la carpeta de ubicación de almacenamiento de configuración:
Cuenta de usuario Permisos recomendados Carpeta Creador/propietario
Sin permisos
Sin permisos
Administradores de dominio
Control total
Esta carpeta, subcarpetas y archivos
Grupo de seguridad de usuarios de UE-V
Mostrar lista de carpeta/leer datos, crear carpetas/anexar datos
Solo esta carpeta
Todo el mundo
Quitar todos los permisos
Sin permisos
Establezca los siguientes permisos de nivel de recurso compartido (SMB) para la carpeta del catálogo de plantillas de configuración.
Cuenta de usuario Permisos recomendados Todo el mundo
Sin permisos
Equipos del dominio
Niveles de permisos de lectura
Administradores
Niveles de permisos de lectura/escritura
Establezca los siguientes permisos NTFS para la carpeta del catálogo de plantillas de configuración.
Cuenta de usuario Permisos recomendados Aplicar a Creador/propietario
Control total
Esta carpeta, subcarpetas y archivos
Equipos del dominio
Mostrar el contenido de la carpeta y lectura
Esta carpeta, subcarpetas y archivos
Todo el mundo
Sin permisos
Sin permisos
Administradores
Control total
Esta carpeta, subcarpetas y archivos
Utilizar Windows Server 2003 o servidores posteriores para hospedar recursos compartidos redirigidos
Los archivos de paquete de configuración de usuario contienen información personal que se transfiere entre el equipo cliente y el servidor que almacena los paquetes de configuración. Por este motivo, debe asegurarse de que los datos estén protegidos mientras se transmiten a través de la red.
Los datos de configuración de usuario son vulnerables a estas amenazas potenciales: la interceptación y la manipulación de los datos cuando atraviesan la red y la suplantación de identidad del servidor que hospeda los datos.
Varias características de Windows Server 2003 y versiones posteriores pueden ayudar a proteger los datos de usuario:
Kerberos: es una aplicación estándar en todas las versiones de Windows 2000, Windows Server 2003 y versiones posteriores. Kerberos garantiza el mayor nivel de seguridad de los recursos de red. NTLM autentica al cliente solamente, mientras que Kerberos autentica el servidor y el cliente. Cuando se utiliza NTLM, el cliente no sabe si el servidor es válido. Esto es especialmente importante si el cliente intercambia archivos personales con el servidor, como sucede con los perfiles móviles. Kerberos proporciona mayor seguridad que NTLM. Kerberos no está disponible en Windows NT 4.0 o en sistemas operativos anteriores.
IPsec: el protocolo de seguridad de Internet (IPsec) proporciona autenticación de nivel de red, integridad de los datos y cifrado. IPsec garantiza lo siguiente:
Que los datos pertenecientes a perfiles móviles no hayan sufrido modificaciones durante el trayecto.
Que los datos pertenecientes a perfiles móviles no fueron interceptados, vistos o copiados.
Que ningún tercero no autorizado puede tener acceso a los datos pertenecientes a perfiles móviles.
Firma de SMB: el protocolo de autenticación del bloque de mensajes de servidor (SMB) es compatible con autenticación de mensajes, lo que previene ataques del mensaje activo y del tipo "Man in the middle". La firma de SMB proporciona esta autenticación colocando una firma digital en cada SMB. A continuación, tanto el cliente como el servidor verifican la firma digital. Para utilizar la firma de SMB, primero debe habilitarla o requerirla en el cliente SMB y el servidor SMB. Tenga en cuenta que la firma de SMB afecta el rendimiento. No consume más ancho de banda de red, pero usa más ciclos de CPU por parte del cliente y el servidor.
Use siempre el sistema de archivos NTFS para volúmenes que almacenan datos de los usuarios
Para lograr la configuración más segura, configure los servidores que hospedan los archivos de configuración de UE-V para que usen el sistema de archivos NTFS. A diferencia del sistema FAT, NTFS admite listas de control de acceso discrecional (DACL) y listas de control de acceso del sistema (SACL). Las listas DACL y SACL controlan quién puede realizar operaciones en un archivo y qué eventos activarán el registro de las acciones realizadas en un archivo.
No confíe en que el cifrado de EFS protegerá los archivos de usuarios cuando se transmiten a través de la red
Si usa el sistema de cifrado de archivos (EFS) para cifrar los archivos en un servidor remoto, los datos cifrados no estarán cifrados durante su trayecto a través de la red; solo estarán cifrados mientras están almacenados en disco.
Las excepciones a esto son cuando el sistema incluye el protocolo de seguridad de Internet (IPsec) o el Sistema distribuido de creación y control de versiones web (WebDAV). IPsec cifra datos mientras se transportan a través de una red TCP/IP. Si el archivo se cifra antes de ser copiado o movido a una carpeta WebDAV en un servidor, permanecerá cifrado durante la transmisión y mientras esté almacenado en el servidor.
Cifre la memoria caché de los archivos sin conexión
De forma predeterminada, la memoria caché de los archivos sin conexión está protegida en particiones NTFS por las listas ACL, pero el cifrado de la memoria caché incrementa la seguridad en un equipo local. De forma predeterminada, la memoria caché del equipo local no está cifrada, por lo que los archivos cifrados de la red que se guarden en la memoria caché no estarán cifrados en el equipo local. Esto puede suponer un riesgo de seguridad en algunos entornos.
Cuando se habilita el cifrado, se cifran todos los archivos de la memoria caché de los archivos sin conexión. Esto incluye el cifrado de archivos existentes y de los archivos que se agreguen posteriormente. Afecta la copia almacenada en la memoria caché del equipo local, pero no la copia de red asociada.
La memoria caché de puede cifrar de una de las siguientes formas:
Mediante una directiva de grupo. -Habilite la opción Cifrar la memoria caché de archivos sin conexión, ubicada en Configuración del equipo\Plantillas administrativas\Red\Archivos sin conexión, en el editor de directivas de grupo.
De forma manual. -Seleccione Herramientas y, a continuación, Opciones de carpeta en el menú de comandos del Explorador de Windows. Seleccione la pestaña Archivos sin conexión y, a continuación, seleccione la casilla Cifrar los archivos sin conexión para proteger los datos.
Permita que UE-V Agent cree carpetas para cada usuario
A fin de asegurar que UE-V funciona de manera óptima, cree solo el recurso compartido de raíz en el servidor, y deje que UE-V Agent cree las carpetas para cada usuario. UE-V creará estas carpetas de usuario con la seguridad adecuada.
Esta configuración de permisos permite a los usuarios crear carpetas para almacenamiento de configuración. UE-V Agent crea una carpeta settingspackage y le asigna la protección necesaria mientras se ejecuta en el contexto del usuario. El usuario recibe control total sobre su carpeta settingspackage. Otros usuarios no heredan el acceso a esta carpeta. No es necesario crear y proteger directorios de usuario individuales. El agente que se ejecuta en el contexto del usuario hará esto automáticamente.
Nota
Se puede configurar seguridad adicional cuando se utiliza un servidor de Windows para el recurso compartido de almacenamiento de configuración. UE-V se puede configurar para que verifique que el usuario actual o el grupo del administrador local sea el propietario de la carpeta donde están almacenados los paquetes de configuración. Para habilitar seguridad adicional utilice el comando siguiente:
- Agregue una clave del Registro REG_DWORD llamada "RepositoryOwnerCheckEnabled" a
HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.
- Establezca el valor de la clave del Registro en 1.
Debe crear carpetas para los usuarios y asegurarse de haber establecido los permisos correctos.
Recomendamos no crear previamente carpetas, sino dejar que UE-V cree la carpeta para el usuario.
Compruebe que estén establecidos los permisos correctos cuando guarde una configuración de UE-V en el directorio particular de un usuario.
Si redirige la configuración de UE-V al directorio particular de un usuario, compruebe que los permisos del directorio particular del usuario estén correctamente establecidos para su organización.
Vea también
Otros recursos
Seguridad y privacidad de para UE-V 1.0
-----
Puede obtener más información acerca de Microsoft Desktop Optimization Pack (MDOP) en la biblioteca de TechNet, en la sección de solución de problemas de TechNet Wiki, o bien a través de Facebook o Twitter.
-----