Share via

Pianificazione per la protezione dei client

  • Articolo

Aggiornamento: ottobre 2009

Si applica a: Application Virtualization

App-V Client offre diversi miglioramenti della protezione che non erano disponibili nelle versioni precedenti del prodotto. Queste modifiche offrono un miglioramento della protezione dopo l'installazione e tramite configurazioni successive dei client. Questo argomento descrive alcuni di questi miglioramenti e identifica varie impostazioni importanti relative alla protezione che è opportuno considerare durante il processo di pianificazione. È importante ricordare che le applicazioni virtuali sono comunque file eseguibili, pertanto assicurarsi che non vengano manomesse da utenti non autorizzati. Per tale motivo, la cache file OSD (Open Software Descriptor) è protetta, come descritto più avanti nel presente argomento. Si consiglia di utilizzare i protocolli RTSPS, HTTPS e IPSec per proteggere la pubblicazione e la trasmissione.

Protezione di App-V Client

Per impostazione predefinita, durante l'installazione il client App-V viene configurato con il minimo di autorizzazioni richieste per consentire a un utente di aggiornare le informazioni di pubblicazione e di avviare le applicazioni. Tra gli altri miglioramenti alla protezione forniti nel App-V sono inclusi i seguenti:

  • Per impostazione predefinita, la cache del file OSD può essere aggiornata soltanto dagli amministratori e utilizzando il processo di aggiornamento della pubblicazione.

  • Il file di registro (sftlog.txt) è accessibile solo da account che dispongono dell'autorizzazione all'accesso amministrativo locale al client.

  • Per il file di registro ora è previsto un valore massimo per quanto riguarda le dimensioni.

Associazioni di tipi di file

Per impostazione predefinita, durante l'installazione dei client vengono registrate associazioni file (FTA, file type association) per i file OSD, che consentono agli utenti di avviare applicazioni direttamente dai file OSD anziché dai collegamenti pubblicati. Se un utente che dispone di diritti di amministratore locale riceve un file OSD contenente codice dannoso tramite posta elettronica o tramite download da un sito Web, l'utente può aprire il file OSD e avviare l'applicazione anche se per il client è stata applicata una restrizione all'autorizzazione Aggiungi applicazione. È possibile deregistrare le FTA per il file OSD al fine di ridurre i rischi. Inoltre, si consiglia di considerare la possibilità di bloccare questa estensione nel sistema di posta elettronica e nel firewall. Per ulteriori informazioni sulla configurazione di Outlook per bloccare estensioni, vedere https://go.microsoft.com/fwlink/?LinkId=133278.

[Valore token del modello]

securityProtezione Nota
A partire da App-V versione 4.6, l'associazione al tipo di file per i file OSD non viene più creata durante la nuova installazione del client, anche se le impostazioni esistenti verranno mantenute con l'aggiornamento dalla versione 4.2 o 4.5 di App-V Client. Se per un motivo qualsiasi è essenziale creare l'associazione al tipo di file, è possibile creare le chiavi di registro seguenti e impostare i relativi valori come indicato:

    Creare HKEY_CLASSES_ROOT\.osd con valore predefinito SoftGrid.osd.File

    Sotto HKEY_LOCAL_MACHINE\software\classes\Softgrid.osd.file creare un valore stringa denominato AppUserModelID con valore dati Microsoft.AppV.Client.Tray

[Valore token del modello]

Autorizzazione

Durante l'installazione è possibile utilizzare il parametro RequireAuthorizationIfCached per configurare il client per la richiesta dell'autorizzazione dal server quando l'utente tenta di avviare un'applicazione. È necessario considerare attentamente il modo in cui si imposta parametro. Se il server App-V non risulta disponibile per qualsiasi motivo, per accedere all'applicazione verrà utilizzato lo stato più recente memorizzato di questo parametro. Se l'utente non ha avviato correttamente l'applicazione prima che il server App-V sia divenuto indisponibile, egli non sarà in grado di avviare l'applicazione fino a quando non avrà potuto comunicare con il server e avrà ottenuto l'autorizzazione. Tuttavia, se si imposta il parametro in modo che il client non richieda l'autorizzazione e se il server non è disponibile, tutte le applicazioni memorizzate in precedenza nella cache possono essere avviate indipendentemente dal fatto che l'utente disponga dell'autorizzazione o meno. Inoltre, se l'utente dispone dell'autorizzazione a modificare il client per la modalità Non in linea o se l'utente è un amministratore locale, egli potrà aprire tutti i pacchetti memorizzati nella cache come se l'infrastruttura App-V non fosse disponibile.

Analisi per la ricerca di virus

Il software antivirus in esecuzione su un computer App-V è in grado di rilevare e segnalare un file infetto presente nell'ambiente virtuale, tuttavia non è in grado di disinfettare il file. Se viene rilevato un virus nell'ambiente virtuale, il software antivirus esegue l'operazione di spostamento in quarantena o di riparazione del file infetto nella cache, non nel pacchetto effettivo. Configurare nel software antivirus un'eccezione per il file sftfs.fsd. Questo è il file della cache in cui sono memorizzati i pacchetti in App-V Client.

securityProtezione Nota
Se viene rilevato un virus in un pacchetto di applicazione distribuito nell'ambiente di produzione, sostituire l'applicazione o il pacchetto con una versione non infetta.

Comunicazioni tra client e server

Gli aggiornamenti delle pubblicazioni e la trasmissione di pacchetti sono altre aree in cui le considerazioni sulla protezione relativa alle comunicazioni tra client e server sono importanti.

Aggiornamento di pubblicazioni

Quando comunica con il server per eseguire l'aggiornamento di una pubblicazione, il client utilizza le credenziali dell'utente connesso per richiedere le informazioni sui pacchetti di applicazioni. È necessario proteggere le comunicazioni tra il client App-V e il server App-V Management Server per assicurare che le informazioni della pubblicazione non vengano manomesse durante il trasferimento. A tale scopo viene utilizzata l'opzione Protezione avanzata, che utilizza RTSPS/HTTPS. Le comunicazioni tra il client e la posizioni in cui sono memorizzati i file ICO e OSD dovrebbe utilizzare il protocollo IPsec per le condivisioni SMB/CIFS e il protocollo HTTPS per un server IIS.

Nota

Se si utilizza IIS per pubblicare i file ICO e OSD, configurare un tipo MIME per OSD=TXT; in caso contrario, IIS non fornirà i file ICO e OSD ai client.

Trasmissione dei pacchetti

Quando un utente avvia un'applicazione per la prima volta o se nel client sono stati impostati parametri di auto-caricamento, il pacchetto di applicazioni viene trasmesso da un server alla cache del client. Questo processo supporta i protocolli RTSP/RTSPS, HTTP/HTTPS e SMB/CIFS. I file OSD controllano i protocolli utilizzati, a meno che nei client sia stata configurata l'impostazione ApplicationSourceRoot o OverrideURL. Per garantire livelli di protezione più elevati, è consigliabile configurare le comunicazioni in modo che vengano effettuate tramite RTSPS, HTTPS o IPsec per SMB/CIFS. Per ulteriori informazioni sulla scelta del metodo di comunicazione da utilizzare, vedere la Guida alla pianificazione e distribuzione dell'App-V all'indirizzo https://go.microsoft.com/fwlink/?LinkId=122063.

Nota

Se si utilizza IIS per pubblicare i file ICO e OSD, configurare un tipo MIME per SFT=Binary; in caso contrario, IIS non fornirà i file SFT ai client.

Profili di roaming e reindirizzamento cartelle

Il sistema App-V memorizza le modifiche specifiche degli utenti apportate ai pacchetti nel file usrvol_sftfs_v1.pkg. Questo file si trova nella cartella Application Data del profilo dell'utente. Poiché tra il client e il server viene trasferito il profilo dell'utente o viene trasferita la cartella Application Data, utilizzare il protocollo IPSec per proteggere le comunicazioni.

Considerazioni sui client connessi a Internet

Per i client connessi a Internet è importante considerare se il client appartiene o meno a un dominio.

Client appartenenti a un dominio

Per impostazione predefinita, i client App-V utilizzano ticket Kerberos rilasciati da Servizi di dominio Active Directory per le autenticazioni e le autorizzazioni nella Intranet. Per impostazione predefinita, i ticket Kerberos sono validi per 10 ore. Il client utilizzerà il ticket per accedere al server App-V finché il ticket è valido, anche se il computer non è in grado di connettersi al controller di dominio per aggiornare il ticket. Una volta scaduto il ticket Kerberos, il client App-V tornerà all'autenticazione NTLM e utilizzerà le credenziali dell'utente memorizzate nella cache.

Client non appartenenti a un dominio

Se un utente lavora da casa e il computer non appartiene al dominio aziendale, App-V può comunque supportare la ricezione di applicazioni. Per autenticare e autorizzare un utente a eseguire un aggiornamento della pubblicazione e di avviare applicazioni, configurare l'account utente sul computer client in modo che vengano memorizzati il nome utente e la password per l'accesso all'ambiente App-V e fornire alle applicazioni le autorizzazioni appropriate.

Vedere anche

Altre risorse

Pianificazione della sicurezza e della protezione

-----
Per ulteriori informazioni su MDOP, vedere la libreria TechNet. Cercare la risoluzione dei problemi su TechNet Wiki oppure seguiteci su Facebook o Twitter. Inviare suggerimenti e commenti sulla documentazione di MDOP a MDOPdocs@microsoft.com.