Considerações de segurança para o UE-V 2.x
Aplica-se a: User Experience Virtualization 2.0, User Experience Virtualization 2.1
Este tópico contém uma breve visão geral das contas e grupos, arquivos de log e outras considerações relacionadas à segurança do Microsoft User Experience Virtualization (UE-V) 2.0 2.1 e 2.1 SP1. Para obter mais informações, siga os links fornecidos aqui.
Considerações de segurança para configuração do UE-V
Importante
Quando você criar o compartilhamento de armazenamento de configurações, limite o acesso de compartilhamento aos usuários que precisam de acesso.
Como os pacotes de configurações podem conter informações pessoais, você deve ter o cuidado de protegê-los da melhor forma possível. Em geral, faça o seguinte:
Restrinja o compartilhamento somente a usuários que precisam de acesso. Crie um grupo de segurança para usuários com pastas redirecionadas em um compartilhamento determinado e limite o acesso somente a esses usuários.
Ao criar o compartilhamento, oculte-o colocando um $ após o nome do compartilhamento. Essa adição oculta o compartilhamento de navegadores casuais, e o compartilhamento não fica visível em Meus Locais de Rede.
Forneça apenas o mínimo de permissões necessárias que eles devem ter. As tabelas a seguir mostram as permissões necessárias.
Defina as seguintes permissões SMB de nível de compartilhamento para a pasta do local de armazenamento das configurações.
Conta de usuário Permissões recomendadas Todos
Sem permissões
Grupo de segurança doUE-V
Controle total
Defina as seguintes permissões do sistema de arquivos NTFS para a pasta do local de armazenamento de configurações.
Conta de usuário Permissões recomendadas Pasta Criador/Proprietário
Sem permissões
Sem permissões
Admins. do Domínio
Controle total
Esta pasta, subpastas e arquivos
Grupo de segurança de usuários do UE-V
Relacionar pasta/ler dados, criar pastas/anexar dados
Somente esta pasta
Todos
Remover todas as permissões
Sem permissões
Defina as seguintes permissões SMB de nível de compartilhamento para a pasta do catálogo de modelos de configurações.
Conta de usuário Permissões recomendadas Todos
Sem permissões
Computadores do domínio
Níveis de permissão de leitura
Administradores
Níveis de permissão de leitura/gravação
Defina as seguintes permissões NTFS para a pasta do catálogo de modelos de configurações.
Conta de usuário Permissões recomendadas Aplica-se a Criador/Proprietário
Controle total
Esta pasta, subpastas e arquivos
Computadores do Domínio
Relacionar conteúdo da pasta e as permissões de leitura
Esta pasta, subpastas e arquivos
Todos
Sem permissões
Sem permissões
Administradores
Controle Total
Esta pasta, subpastas e arquivos
Usar o Windows Server a partir do Windows Server 2003 para hospedar compartilhamentos de arquivos redirecionados
Os arquivos de pacote de configurações do usuário contêm informações pessoais que são transferidas entre o computador cliente e o servidor que armazena os pacotes de configurações. Por causa deste processo, você deve verificar se os dados estão protegidos enquanto trafegam pela rede.
Os dados de configurações do usuário estão vulneráveis a estas ameaças potenciais: interceptação de dados enquanto trafegam pela rede; adulteração dos dados enquanto passam pela rede e falsificação do servidor que hospeda os dados.
A partir do Windows Server 2003, vários recursos do sistema operacional Windows Server podem ajudar a proteger dados do usuário:
Kerberos - Kerberos é padrão em todas as versões do Microsoft Windows 2000 Server e Windows Server que começam com o Windows Server 2003. O Kerberos assegura o mais alto nível de segurança aos recursos da rede. O NTLM autentica somente cliente; o Kerberos autentica o servidor e o cliente. Quando o NTLM é usado, o cliente não sabe se o servidor é válido. Essa diferença é importante principalmente se o cliente troca arquivos pessoais com o servidor, como no caso dos Perfis de Usuário de Roaming. O Kerberos fornece melhor segurança que o NTLM. O Kerberos não está disponível em sistemas operacionais do Microsoft Windows NT Server 4.0 ou anteriores.
IPsec - o protocolo de segurança de IP (IPsec) fornece autenticação, integridade de dados e criptografia em nível de rede. O IPsec garante o seguinte:
Os dados móveis estão seguros contra modificação de dados enquanto trafegam.
Os dados móveis estão seguros contra interceptação, exibição ou cópia.
Os dados móveis estão seguros contra o acesso de partes não autenticadas.
Assinatura SMB - o protocolo de autenticação SMB oferece suporte à autenticação de mensagens, evitando ataques à mensagem ativa e a intermediários. A assinatura SMB fornece essa autenticação colocando uma assinatura digital em cada SMB. A assinatura digital é verificada pelo cliente e pelo servidor. Para usar a assinatura SMB, é necessário primeiro habilitá-la ou solicitá-la no cliente SMB e no servidor SMB. Observe que a assinatura SMB impõe uma penalidade de desempenho. Ela não consome mais a largura de banda da rede, mas usa mais ciclos de CPU no cliente e no servidor.
Usar sempre o sistema de arquivos NTFS para volumes que armazenam dados de usuários
Para obter configuração mais segura, configure os servidores que hospedam os arquivos de configurações do UE-V para usarem o sistema de arquivos NTFS. Ao contrário do sistema de arquivos FAT, o NTFS oferece suporte a DACLs (listas de controle de acesso condicional) e a SACLs (listas de controle de acesso do sistema). As DACLs e SACLs controlam quem pode executar operações em um arquivo e quais eventos acionam o registro em log das ações executadas em um arquivo.
Não confie no EFS para criptografar os arquivos dos usuários quando transmitidos pela rede
Ao usar o EFS (Encrypting File System) para criptografar arquivos em um servidor remoto, os dados criptografados não serão criptografados durante o tráfego na rede; eles só serão criptografados quando armazenados em disco.
O processo de criptografia não se aplica quando o sistema inclui o protocolo IPsec ou WebDAV. O IPsec criptografa os dados enquanto são transportados por uma rede TCP/IP. Se o arquivo for criptografado antes de ser copiado ou movido para uma pasta de WebDAV em um servidor, ele permanecerá criptografado durante a transmissão e enquanto estiver armazenado no servidor.
Permita que o UE-V Agent crie pastas para cada usuário
Para garantir um ótimo desempenho do UE-V, crie somente o compartilhamento raiz no servidor e permita que o UE-V Agent crie as pastas para cada usuário. O UE-V cria essas pastas do usuário com a segurança adequada.
Essa configuração de permissão permite que os usuários criem pastas para armazenamento de configurações. O UE-V Agent cria e protege uma pasta do pacote de configurações enquanto executa no contexto do usuário. Os usuários recebem controle total para sua pasta do pacote de configurações. Outros usuários não herdam acesso a esta pasta. Não é necessário criar e proteger diretórios de usuário individuais. O agente que é executado no contexto do usuário faz isso automaticamente.
Dica
A segurança adicional pode ser configurada quando o Windows Server é usado para o compartilhamento de armazenamento de configurações. O UE-V pode ser configurado para verificar se o grupo local de administradores ou o usuário atual é o proprietário da pasta em que os pacotes de configurações estão armazenados. Para habilitar a segurança adicional, use o seguinte comando:
- Adicione uma chave do Registro REG_DWORD denominada RepositoryOwnerCheckEnabled para
HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.
- Defina o valor da chave do Registro como 1.
Se for necessário criar pastas para os usuários, verifique se você tem as permissões corretas definidas.
Recomendamos não criar pastas previamente. Em vez disso, deixe o UE-V Agent criar a pasta para o usuário.
Verificar as permissões corretas para armazenar as configurações do UE-V 2 em um diretório base ou personalizado
Se você redirecionar as configurações do UE-V para um diretório base do usuário ou um diretório personalizado do AD (Active Directory), verifique se as permissões no diretório estão definidas adequadamente para sua organização.
Você tem uma sugestão para UE-V?
Adicione ou vote em sugestões aqui. Para problemas com o UE-V, utilize o Fórum UE-V TechNet.