Share via

UE-V 1.0-Sicherheitsüberlegungen

  • Artikel

Letzte Aktualisierung: April 2013

Betrifft: User Experience Virtualization 1.0

Dieses Thema enthält einen kurzen Überblick über Konten und Gruppen, Protokolldateien und andere sicherheitsrelevante Überlegungen für Microsoft User Experience Virtualization (UE-V). Weitere Informationen erhalten Sie über die bereitgestellten Links.

Sicherheitsüberlegungen für die Konfiguration von UE-V

Begrenzen Sie beim Erstellen der Freigabe für den Einstellungsspeicher den Zugriff auf die Freigabe auf die Benutzer, die den Zugriff wirklich benötigen.

Da Einstellungspakete persönliche Informationen enthalten können, sollten Sie sie so gut wie möglich schützen. Beachten Sie grundsätzlich Folgendes:

  • Beschränken Sie den Zugriff auf die Freigabe auf die Benutzer, die ihn benötigen. Erstellen Sie eine Sicherheitsgruppe für Benutzer, die umgeleitete Ordner in einer bestimmten Freigabe haben, und beschränken Sie den Zugriff nur für diese Benutzer.

  • Wenn Sie eine Freigabe erstellen, blenden Sie die Freigabe aus, indem Sie ein $ an den Freigabenamen anhängen. Auf diese Weise wird die Freigabe in den üblichen Browsern und in der Netzwerkumgebung nicht angezeigt.

  • Gewähren Sie Benutzern nur die minimal erforderlichen Berechtigungen. Die erforderlichen Berechtigungen werden in den folgenden Tabellen angezeigt.

    1. Legen Sie für den Ordner mit dem Einstellungsspeicherort die folgenden Berechtigungen auf Freigabeebene (SMB) fest:

      Benutzerkonto Empfohlene Berechtigungen

      Jeder

      Keine Berechtigungen

      Sicherheitsgruppe von UE-V

      Vollzugriff

    2. Legen Sie die folgenden NTFS-Berechtigungen für den Ordner mit dem Einstellungsspeicherort fest:

      Benutzerkonto Empfohlene Berechtigungen Ordner

      Ersteller/Besitzer

      Keine Berechtigungen

      Keine Berechtigungen

      Domänen-Admins

      Vollzugriff

      Dieser Ordner, Unterordner und Dateien

      Sicherheitsgruppe von UE-V-Benutzern

      Ordner auflisten/Daten lesen, Ordner erstellen/Daten anhängen

      Nur dieser Ordner

      Jeder

      Alle Berechtigungen entfernen

      Keine Berechtigungen

    3. Legen Sie für den Ordner mit dem Einstellungsvorlagenkatalog die folgenden Berechtigungen auf Freigabeebene (SMB) fest.

      Benutzerkonto Empfohlene Berechtigungen

      Jeder

      Keine Berechtigungen

      Domänencomputer

      Berechtigungsstufen lesen

      Administratoren

      Berechtigungsstufen lesen/schreiben

    4. Legen Sie die folgenden NTFS-Berechtigungen für den Ordner mit dem Einstellungsvorlagenkatalog fest:

      Benutzerkonto Empfohlene Berechtigungen Anwenden auf

      Ersteller/Besitzer

      Vollzugriff

      Diesen Ordner, Unterordner und Dateien

      Domänencomputer

      Ordnerinhalt auflisten und lesen

      Diesen Ordner, Unterordner und Dateien

      Jeder

      Keine Berechtigungen

      Keine Berechtigungen

      Administratoren

      Vollzugriff

      Diesen Ordner, Unterordner und Dateien

Verwenden Sie Windows Server 2003 oder höher, um umgeleitete Dateifreigaben zu hosten.

Paketdateien mit Benutzereinstellungen enthalten persönliche Information, die zwischen dem Clientcomputer und dem Server, auf dem die Einstellungspakete gespeichert werden, übertragen werden. Daher sollten Sie sicherstellen, dass die Daten bei der Übertragung im Netzwerk geschützt sind.

Benutzereinstellungsdaten sind anfällig für die folgenden potenziellen Sicherheitsbedrohungen: Abfangen der Daten beim Transport über das Netzwerk; Manipulation der Daten beim Transport über das Netzwerk; und Spoofing des Servers, auf dem die Daten gehostet werden.

Einige Features von Windows Server 2003 und höher können beim Schutz der Benutzerdaten helfen:

  • Kerberos: Kerberos ist Standard auf allen Versionen von Windows 2000 sowie Windows Server 2003 und höher. Kerberos garantiert die höchste Sicherheitsstufe für Netzwerkressourcen. Mit NTLM wird nur der Client authentifiziert; Von Kerberos werden Server und Client authentifiziert. Bei Verwendung von NTLM ist für den Client nicht ersichtlich, ob der Server gültig ist. Dies ist insbesondere dann wichtig, wenn vom Client persönliche Daten mit dem Server ausgetauscht werden, wie es bei servergespeicherten Profilen der Fall ist. Kerberos bietet eine höhere Sicherheit als NTLM. Kerberos ist nicht auf Windows NT Version 4.0 oder früheren Betriebssystemen verfügbar.

  • IPsec: Das IPsec-Protokoll (IP Security Protocol) bietet Authentifizierung, Datenintegrität und Verschlüsselung auf Netzwerkebene. Von IPsec wird Folgendes garantiert:

    • Per Roaming übertragene Daten sind während der Übermittlung vor Datenmanipulationen geschützt.

    • Per Roaming übertragenen Daten können nicht abgefangen, angezeigt oder kopiert werden.

    • Per Roaming übertragene Daten sind vor dem Zugriff durch nicht authentifizierte Personen geschützt.

  • SMB-Signatur: Das SMB-Authentifizierungsprotokoll (Server Message Block) unterstützt die Nachrichtenauthentifizierung. Dadurch werden Angriffe mithilfe aktiver Nachrichten sowie „Man-in-the-Middle“-Angriffe verhindert. Die SMB-Signatur bietet diese Authentifizierung, indem in jedes SMB-Paket eine digitale Signatur eingefügt wird. Die digitale Signatur wird dann vom Client und dem Server überprüft. Zur Verwendung der SMB-Signatur müssen Sie diese entweder zuerst aktivieren oder sowohl auf dem SMB-Client und dem SMB-Server anfordern. Beachten Sie, dass SMB-Signaturen zu Leistungseinbußen führen. Sie beanspruchen zwar nicht mehr Netzwerkbandbreite, erfordern aber mehr CPU-Zyklen auf dem Client und dem Server.

Verwenden Sie für Volumes mit Benutzerdaten immer das NTFS-Dateisystem

Konfigurieren Sie Server, auf denen sich die UE-V-Einstellungsdateien befinden, mit dem NTFS-Dateisystem, um eine besonders sichere Konfiguration zu erzielen. Im Gegensatz zu FAT unterstützt NTFS DACLs (Discretionary Access Control List, freigegebene Zugriffssteuerungsliste) und SACLs (System Access Control List, System-Zugriffssteuerungsliste). Über DACLs und SACLs wird gesteuert, wer Vorgänge für eine Datei ausführen kann und welche Ereignisse das Protokollieren von Dateiaktionen auslösen.

Verlassen Sie sich beim Verschlüsseln von Benutzerdateien bei der Übertragung über das Netzwerk nicht auf EFS

Wenn Sie EFS (Encrypting File System, verschlüsselndes Dateisystem) zum Verschlüsseln von Dateien auf einem Remoteserver verwenden, sind die verschlüsselten Daten während der Übertragung über das Netzwerk nicht verschlüsselt. Sie werden erst wieder verschlüsselt, wenn sie auf dem Datenträger gespeichert werden.

Eine Ausnahme hierzu ist, wenn Ihr System IPsec (Internet Protocol Security, Internetprotokollsicherheit) oder WebDAV (Web Distributed Authoring and Versioning) verwendet. Bei IPsec werden Daten bei der Übertragung über ein TCP/IP-Netzwerk verschlüsselt. Wenn eine Datei verschlüsselt wird, bevor sie in einen WebDAV-Ordner auf einem Server kopiert oder verschoben wird, ist sie auch während der Übertragung und bei der Speicherung auf dem Server verschlüsselt.

Verschlüsseln Sie den Offlinedateicache

Der Offlinedateicache ist auf NTFS-Partitionen standardmäßig durch ACLs geschützt. Eine Verschlüsselung des Caches führt aber zu einer weiteren Verbesserung der Sicherheit auf einem lokalen Computer. Standardmäßig ist der Cache auf dem lokalen Computer nicht verschlüsselt, so dass alle verschlüsselten Dateien aus dem Netzwerk, die zwischengespeichert werden, auf dem lokalen Computer nicht verschlüsselt sind. Dies kann in einigen Umgebungen zu einem Sicherheitsrisiko führen.

Wenn die Verschlüsselung aktiviert ist, werden alle Dateien im Offlinedateicache verschlüsselt. Dazu gehören das Verschlüsseln vorhandener Dateien sowie später hinzugefügter Dateien. Hiervon ist nur die zwischengespeicherte Kopie auf dem lokalen Computer betroffen, nicht aber die zugehörige Netzwerkkopie.

Der Cache kann auf zwei Arten verschlüsselt werden:

  1. Über eine Gruppenrichtlinie: Aktivieren Sie die Einstellung Offlinedateicache verschlüsseln unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Offlinedateien im Editor für lokale Gruppenrichtlinien.

  2. Manuell: Wählen Sie im Befehlsmenü von Windows-Explorer „Extras“ und dann „Ordneroptionen“. Gehen Sie auf die Registerkarte „Offlinedateien“, und aktivieren Sie das Kontrollkästchen Offlinedateien verschlüsseln, um Daten zu schützen.

Konfigurieren Sie den UE-V-Agenten so, dass für jeden Benutzer Ordner erstellt werden

Erstellen Sie zum Sicherstellen der optimalen Funktion von UE-V nur die Stammfreigabe auf dem Server, und überlassen Sie das Anlegen der Ordner für die einzelnen Benutzer dem UE-V-Agenten. Die Benutzerordner werden von UE-V mit der entsprechenden Sicherheit erstellt.

Diese Berechtigungskonfiguration ermöglicht es Benutzern, Ordner für die Speicherung von Einstellungen zu erstellen. Bei Ausführung im Benutzerkontext wird vom UE-V-Agenten ein settingspackage-Ordner erstellt und abgesichert. Der Benutzer erhält Vollzugriff auf den eigenen settingspackage-Ordner. Andere Benutzer erben den Zugriff auf diesen Ordner nicht. Sie müssen keine einzelnen Benutzerverzeichnisse anlegen und absichern. Dies geschieht automatisch durch den Agenten, der im Kontext des Benutzers ausgeführt wird.

Hinweis

Zusätzliche Sicherheit kann konfiguriert werden, wenn ein Windows-Server für die Einstellungsspeicherfreigabe verwendet wird. UE-V kann so konfiguriert werden, dass überprüft wird, ob entweder die lokale Administratorgruppe oder der aktuelle Benutzer Besitzer des Ordners ist, in dem Einstellungspakete gespeichert werden. Zum Aktivieren der zusätzlichen Sicherheit verwenden Sie den folgenden Befehl:

  1. Fügen Sie HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration einen REG_DWORD-Registrierungsschlüssel mit der Bezeichnung „RepositoryOwnerCheckEnabled“ hinzu.

  2. Legen Sie Wert des Registrierungsschlüssels auf 1 fest.

Wenn diese Konfigurationseinstellung vorgenommen wurde, wird vom UE-V-Agenten überprüft, ob die lokale Administratorgruppe oder der aktuelle Benutzer Besitzer des settingspackage-Ordners ist. Wenn nicht, wird der Zugriff auf den Ordner vom UE-V-Agenten verhindert.

Wenn Sie Ordner für die Benutzer erstellen müssen, stellen Sie sicher, dass Sie die richtigen Berechtigungen festgelegt haben.

Es wird dringend empfohlen, Ordner nicht selbst zu erstellen, sondern dem UE-V-Agenten das Erstellen der Ordner für die Benutzer zu überlassen.

Achten Sie beim Speichern von UE-V-Einstellungen im Basisverzeichnis eines Benutzers darauf, dass die richtigen Berechtigungen festgelegt sind

Wenn Sie UE-V-Einstellungen auf das Basisverzeichnis eines Benutzers umleiten, müssen Sie sicherstellen, dass die Berechtigungen für das Basisverzeichnis des Benutzers für Ihre Organisation richtig festgelegt sind.

Siehe auch

Andere Ressourcen

Sicherheit und Datenschutz für UE-V 1.0

-----
Weitere Informationen zu MDOP finden Sie in der TechNet-Bibliothek. Sie können auch im TechNet Wiki nach Problembehandlungen suchen und uns auf Facebook oder Twitter folgen.
-----