Consideraciones de seguridad de App-V 5.0
Se aplica a: Application Virtualization 5.0, Application Virtualization 5.0 SP1, Application Virtualization 5.0 SP2, Application Virtualization 5.0 SP3
Este tema contiene una breve descripción de las cuentas y grupos, los archivos de registro y otras consideraciones de seguridad para App-V 5.0.
Importante
App-V 5.0 no es un producto de seguridad y no ofrece ninguna garantía de un entorno seguro.
La característica PackageStoreAccessControl (PSAC) ha quedado obsoleta
A partir de junio de 2014, la característica PackageStoreAccessControl (PSAC), que se introdujo en Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) ha quedado obsoleta tanto en entornos de usuario único como multiusuario.
Consideraciones de seguridad general
Conocer los riesgos de seguridad. El mayor riesgo para App-V 5.0 es el asalto de su funcionalidad por parte de un usuario no autorizado, ya que entonces podría reconfigurar los datos de claves en los clientes de App-V 5.0. La pérdida de la funcionalidad de App-V 5.0 durante un breve periodo de tiempo debido a un ataque de denegación de servicio no tendría, por lo general, un impacto catastrófico.
Asegurar físicamente los equipos. La seguridad es incompleta sin seguridad física. En potencia, cualquier persona que tenga acceso físico a un servidor de App-V 5.0 podría lanzar un ataque a toda la base de clientes. Cualquier ataque físico potencial se debe considerar de alto riesgo y debe mitigarse de modo apropiado. Los servidores de App-V 5.0 se deben almacenar en una sala de servidores protegida físicamente y con acceso controlado. Proteja estos equipos cuando los administradores no estén físicamente presentes haciendo que el sistema operativo bloquee el equipo o mediante el uso de un protector de pantalla seguro.
Aplicar las actualizaciones de seguridad más recientes en todos los equipos. Para mantenerse informado acerca de las nuevas actualizaciones de sistema operativos, Microsoft SQL Server y App-V 5.0, suscríbase al servicio de notificaciones de seguridad (https://go.microsoft.com/fwlink/p/?LinkId=28819).
Utilice contraseñas o frases de contraseña seguras. Utilice siempre contraseñas seguras con 15 o más caracteres para todas las cuentas de administrador de App-V 5.0 y App-V 5.0. Nunca utilice contraseñas en blanco. Para obtener más información acerca de los conceptos de contraseñas, consulte la nota de producto “Account Passwords and Policies” (“Contraseñas y políticas de cuenta”) en TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009).
Cuentas y grupos en App-V 5.0
Un procedimiento recomendado para la administración de cuentas de usuario es crear grupos globales de dominio y agregarles cuentas de usuario. A continuación, agregue las cuentas globales de dominio a los grupos locales de App-V 5.0 necesarios en los servidores de App-V 5.0.
Nota
Las cuentas de equipo cliente de App-V que son necesarias para conectarse al servidor de publicación deben formar parte del grupo local de Usuarios del servidor de publicación. De forma predeterminada, todos los equipos del dominio forman parte del grupo Usuarios autorizados, que forma parte del grupo local de Usuarios.
Seguridad del servidor de App-V 5.0
Durante la instalación de App-V 5.0, no se crea automáticamente ningún grupo. Se deben crear los siguientes grupos globales de Servicios de dominio de Active Directory para administrar las operaciones del servidor de App-V 5.0.
| Nombre de grupo | Detalles |
|---|---|
App-V Management Admin group |
Se utiliza para administrar el servidor de administración de App-V 5.0. Este grupo se crea durante la instalación del servidor de administración de App-V 5.0. Importante No existe un método para crear el grupo con la consola de administración una vez que finaliza la instalación. |
Lectura/escritura de la base de datos para la cuenta del servicio de administración |
Proporciona acceso de lectura/escritura a la base de datos de administración. Esta cuenta debe crearse durante la instalación de la base de datos de administración de App-V 5.0. |
Cuenta de administrador de instalación del servicio de administración de App-V Nota Se requiere solo si la base de datos de administración se instala por separado del servicio. |
Proporciona acceso público a la tabla de esquema-versión en la base de datos de administración. Esta cuenta debe crearse durante la instalación de la base de datos de administración de App-V 5.0. |
Cuenta de administrador de instalación del servicio de informes de App-V Nota Se requiere solo si la base de datos de informes se instala por separado del servicio. |
Acceso público a la tabla de esquema-versión en la base de datos de informes. Esta cuenta debe crearse durante la instalación de la base de datos de informes de App-V 5.0. |
Tenga en cuenta la información adicional siguiente:
Acceso a los recursos compartidos de paquete: si existe un recurso compartido en el mismo equipo que el servidor de administración, el servicio de red requiere acceso de lectura al recurso compartido. Además, cada equipo cliente de App-V debe tener acceso de lectura al recurso compartido del paquete.
Nota
En versiones anteriores de App-V, el recurso compartido de paquete se denominaba recurso compartido de contenido.
Registro de servidores de publicación con el servidor de administración: Se debe registrar un servidor de publicación con el servidor de administración. Por ejemplo, debe agregarse a la base de datos para que las cuentas del equipo del servidor de publicación puedan llamar a la API del servicio de administración.
Seguridad de paquetes de App-V 5.0
Lo siguiente le ayudará a planificar cómo asegurar que los paquetes virtualizados estén seguros.
- Si el instalador de una aplicación aplica una lista de control de acceso (ACL) a un archivo o un directorio, esa ACL no se conserva en el paquete. Cuando se implementa el paquete, si un usuario modifica el archivo o directorio, heredará la ACL en %userprofile% o heredará la ACL del directorio del equipo de destino. El primer caso sucede si el archivo o directorio no existen en una ubicación del sistema de archivos virtual; el segundo caso sucede si el archivo o directorio existen en una ubicación del sistema de archivos virtual, por ejemplo %windir%.
Archivos de registro de App-V 5.0
Durante la instalación de App-V 5.0, los archivos de registro de instalación se crean en la carpeta %temp% del usuario que lo instala.
-
¿Tiene alguna sugerencia sobre App-V?
Agregue o vote sugerencias aquí. Para problemas de App-V, use el foro de TechNet de App-V.
Véase también
Otros recursos
Security and Privacy for App-V 5.0
-----
Puede obtener más información sobre MDOP en la Biblioteca de TechNet, mediante la búsqueda de información de solución de problemas en la sección TechNet Wiki, o a través de Facebook o Twitter.
-----