Share via

Considérations de sécurité relatives à UE-V 2.x

  • Article

Mis à jour: août 2015

S'applique à: User Experience Virtualization 2.0, User Experience Virtualization 2.1

Cette rubrique contient une brève présentation des comptes, des groupes et des fichiers journaux. Elle expose également d'autres considérations liées à la sécurité dans Microsoft User Experience Virtualization (UE-V) 2.0, 2.1 et 2.1 SP1. Pour plus d'informations, consultez les liens fournis ici.

Considérations liées à la sécurité lors de la configuration de UE-V

Important

Lorsque vous créez le partage de stockage des paramètres, limitez l'accès partagé aux utilisateurs qui doivent y accéder.

Dans la mesure où les packages de paramètres peuvent contenir des informations personnelles, vous devez prendre soin de les protéger au maximum. En général, effectuez les opérations suivantes :

  • Limitez le partage aux seuls utilisateurs qui doivent y accéder. Créez un groupe de sécurité pour les utilisateurs qui ont redirigé des dossiers sur un partage particulier, et limitez l'accès à ces seuls utilisateurs.

  • Masquez le partage lors de sa création en plaçant un $ après son nom. Cet ajout masque le partage dans les navigateurs les plus courants, et le partage n'est pas visible dans les Favoris réseau.

  • N'accordez aux utilisateurs que le minimum d'autorisations qu'ils doivent avoir. Les tableaux suivants indiquent les autorisations nécessaires.

    1. Définissez les autorisations suivantes au niveau du partage SMB pour le dossier d'emplacement de stockage des paramètres.

      Compte d'utilisateur Autorisations recommandées

      Tout le monde

      Aucune autorisation

      Groupe de sécurité de UE-V

      Contrôle total

    2. Définissez les autorisations du système de fichiers NTFS suivantes pour le dossier d'emplacement de stockage des paramètres.

      Compte d'utilisateur Autorisations recommandées Dossier

      Créateur/propriétaire

      Aucune autorisation

      Aucune autorisation

      Administrateurs de domaine

      Contrôle total

      Ce dossier, les sous-dossiers et les fichiers

      Groupe de sécurité des utilisateurs de UE-V

      Afficher les dossiers/lire les données, créer des dossiers/ajouter des données

      Ce dossier uniquement

      Tout le monde

      Supprimer toutes les autorisations

      Aucune autorisation

    3. Définissez les autorisations suivantes au niveau du partage SMB pour le dossier du catalogue de modèles de paramètres.

      Compte d'utilisateur Autorisations recommandées

      Tout le monde

      Aucune autorisation

      Ordinateurs du domaine

      Niveaux d'autorisation en lecture

      Administrateurs

      Niveaux d'autorisation en lecture/écriture

    4. Définissez les autorisations NTFS suivantes pour le dossier du catalogue de modèles de paramètres.

      Compte d'utilisateur Autorisations recommandées S'applique à

      Créateur/propriétaire

      Contrôle total

      Ce dossier, les sous-dossiers et les fichiers

      Ordinateurs du domaine

      Autorisations en affichage et lecture du contenu du dossier

      Ce dossier, les sous-dossiers et les fichiers

      Tout le monde

      Aucune autorisation

      Aucune autorisation

      Administrateurs

      Contrôle total

      Ce dossier, les sous-dossiers et les fichiers

Utiliser Windows Server à partir de Windows Server 2003 pour héberger les partages de fichiers redirigés

Les fichiers de package de paramètres utilisateur contiennent des informations personnelles qui sont transférées entre l'ordinateur client et le serveur qui stocke les packages de paramètres. Ce processus vous oblige à vous assurer que les données sont protégées lors de leur transfert via le réseau.

Les données des paramètres utilisateur sont vulnérables et souvent la cible des menaces potentielles suivantes : interception et/ou falsification des données lors de leur transmission sur le réseau, et usurpation d'identité du serveur qui héberge les données.

À partir de Windows Server 2003, plusieurs fonctionnalités du système d'exploitation Windows Server permettent de sécuriser les données utilisateur :

  • Kerberos - Kerberos est disponible en standard sur toutes les versions de Microsoft Windows 2000 Server et Windows Server à partir de Windows Server 2003. Kerberos garantit aux ressources réseau un niveau de sécurité parmi les plus élevés. NTLM authentifie le client uniquement ; Kerberos authentifie le serveur et le client. Lorsque NTLM est utilisé, le client ne sait pas si le serveur est valide. Cette différence est particulièrement importante si le client échange des fichiers personnels avec le serveur, comme c'est le cas avec les profils utilisateur itinérants. Kerberos assure une meilleure sécurité que NTLM. Kerberos n'est pas disponible sur les systèmes d'exploitation Microsoft Windows NT Server 4.0 ou les versions antérieures.

  • IPsec - IPsec (IP Security Protocol) assure l'authentification au niveau du réseau, l'intégrité des données et le chiffrement. Le protocole IPsec assure les opérations suivantes :

    • Les données itinérantes sont protégées contre la modification des données pendant leur transfert.

    • Les données itinérantes sont protégées contre l'interception, l'affichage ou la copie.

    • Les données itinérantes sont protégées contre tout accès illicite en provenance de parties non authentifiées.

  • Signature SMB - Le protocole d'authentification SMB (Server Message Block) prend en charge l'authentification des messages, ce qui évite les messages actifs et les attaques de l'intercepteur. La signature SMB assure cette authentification en plaçant une signature numérique dans chaque SMB. La signature numérique est ensuite vérifiée à la fois par le client et par le serveur. Pour pouvoir utiliser la signature SMB, vous devez d'abord l'activer ou vous devez l'exiger à la fois côté client SMB et côté serveur SMB. Notez que la signature SMB entraîne une altération des performances. Elle ne consomme pas plus de bande passante réseau, mais utilise plus de cycles processeur côté client et côté serveur.

Toujours utiliser le système de fichiers NTFS pour les volumes contenant des données utilisateur

Pour sécuriser davantage la configuration, configurez les serveurs qui hébergent les fichiers de paramètres UE-V afin qu'ils utilisent le système de fichiers NTFS. Contrairement au système de fichiers FAT, NTFS prend en charge les listes de contrôle d'accès discrétionnaire (DACL) et les listes de contrôle d'accès système (SACL). Ces listes DACL et SACL permettent de contrôler les utilisateurs qui effectuent des opérations sur un fichier et les événements qui déclenchent la journalisation des actions effectuées sur un fichier.

Ne pas compter sur le système EFS pour chiffrer les fichiers utilisateur lors de leur transmission sur le réseau

Lorsque vous utilisez le système de fichiers EFS (Encrypting File System) pour chiffrer les fichiers situés sur un serveur distant, les données chiffrées ne sont pas chiffrées lors de leur transmission sur le réseau. Elles ne le deviennent que lors de leur stockage sur disque.

Ce processus de chiffrement ne s'applique pas lorsque votre système intègre IPsec (Internet Protocol security) ou WebDAV (Web Distributed Authoring and Versioning). IPsec chiffre les données lors de leur transport sur un réseau TCP/IP. Si le fichier est chiffré avant d'être copié ou déplacé vers un dossier WebDAV sur un serveur, il reste chiffré tout au long de la transmission et du stockage sur le serveur.

Laisser UE-V Agent créer les dossiers pour chacun des utilisateurs

Pour assurer le bon fonctionnement de UE-V, créez uniquement le partage racine sur le serveur et laissez UE-V Agent créer les dossiers pour chaque utilisateur. UE-V crée ces dossiers utilisateur avec la sécurité adéquate.

Cette configuration d'autorisation permet aux utilisateurs de créer des dossiers pour le stockage des paramètres. UE-V Agent crée et protège un dossier de package de paramètres tout en s'exécutant dans le contexte de l'utilisateur. Les utilisateurs obtiennent le contrôle total sur leur dossier de package de paramètres. Les autres utilisateurs n'héritent pas d'accès à ce dossier. Vous n'avez pas besoin de créer et de sécuriser des répertoires utilisateur individuels. L'agent qui s'exécute dans le contexte de l'utilisateur le fait automatiquement.

Notes

Une sécurité supplémentaire peut être configurée quand un serveur Windows est utilisé pour le partage du stockage des paramètres. UE-V peut être configuré pour vérifier que le groupe Administrateurs local ou l'utilisateur actuel est le propriétaire du dossier dans lequel les packages de paramètres sont stockés. Pour activer une sécurité supplémentaire, utilisez la commande suivante :

  1. Ajoutez la clé de Registre REG_DWORD RepositoryOwnerCheckEnabled sous HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.

  2. Définissez la clé de Registre sur la valeur 1.

Lorsque ce paramètre de configuration est défini, UE-V Agent vérifie que le groupe Administrateurs local ou l'utilisateur actuel est le propriétaire du dossier de package des paramètres. Si ce n'est pas le cas, UE-V Agent interdit l'accès au dossier.

Si vous devez créer des dossiers pour les utilisateurs, assurez-vous de disposer des autorisations correctes.

Nous vous conseillons vivement de ne pas créer de dossiers à l'avance. Au lieu de cela, laissez UE-V Agent créer le dossier pour l'utilisateur.

Vérifier que les autorisations sont correctes pour stocker les paramètres UE-V 2 dans un répertoire de base ou un répertoire personnalisé

Si vous redirigez les paramètres UE-V vers le répertoire de base d'un utilisateur ou un répertoire Active Directory (AD) personnalisé, veillez à ce que les autorisations d'accès à ce répertoire soient définies de façon adéquate pour votre entreprise.

Vous avez une suggestion pour UE-V ?

Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à UE-V, utilisez le Forum TechNet UE-V.

Voir aussi

Autres ressources

Référence technique pour UE-V 2.x