Sicherheitsüberlegungen zu App-V 5.0
Letzte Aktualisierung: Mai 2015
Betrifft: Application Virtualization 5.0, Application Virtualization 5.0 SP1, Application Virtualization 5.0 SP2, Application Virtualization 5.0 SP3
Dieses Thema enthält einen kurzen Überblick über die Konten und Gruppen, die Protokolldateien und über andere sicherheitsrelevante Aspekte für App-V 5.0.
Wichtig
App-V 5.0 ist kein Sicherheitsprodukt, sodass keine Zusicherungen für eine sichere Umgebung gemacht werden.
PackageStoreAccessControl (PSAC)-Funktion veraltet
Ab dem 1. Juni 2014 ist die PackageStoreAccessControl (PSAC)-Funktion, die mit Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) eingeführt wurde, sowohl für den Einzelbenutzermodus als auch für Mehrbenutzerumgebungen veraltet.
Allgemeine Sicherheitsüberlegungen
Seien Sie sich der Sicherheitsrisiken bewusst. Das größte Risiko für App-V 5.0 besteht darin, dass die Funktionen von einem nicht autorisierten Benutzer gehackt werden, der die Schlüsseldaten auf App-V 5.0-Clients neu konfiguriert. Ein kurzzeitiger Verlust von App-V 5.0-Funktionen aufgrund eines Denial-of-Service-Angriffs würde jedoch nicht grundsätzlich zu folgenschweren Auswirkungen führen.
Computer physisch sichern. Ein Sicherheitskonzept ist ohne die physische Sicherheit unvollständig. Jede Person, die über physischen Zugriff auf einen App-V 5.0-Server verfügt, ist potenziell in der Lage, einen Angriff auf die gesamte Clientbasis auszuführen. Potenzielle Angriffe auf physischer Basis müssen als hohes Risiko eingestuft und geeignete Maßnahmen ergriffen werden. App-V 5.0-Server sollten in einem physisch gesicherten Serverraum mit beschränktem Zugang untergebracht sein. Sichern Sie die Computer bei Abwesenheit von Administratoren durch Betriebssystemsperren oder geschützte Bildschirmschoner.
Führen Sie die neuesten Sicherheitsupdates auf allen Computern durch. Abonnieren Sie den Sicherheitsbenachrichtigungsdienst (https://go.microsoft.com/fwlink/p/?LinkId=28819), um stets aktuelle Informationen zu neuen Updates für Betriebssysteme, Microsoft SQL Server und App-V 5.0 zu erhalten.
Verwenden Sie sichere Kennwörter oder Passphrasen. Verwenden Sie für App-V 5.0 und App-V 5.0-Administratorkonten grundsätzlich sichere Kennwörter mit 15 oder mehr Zeichen. Verwenden Sie niemals leere Kennwörter. Weitere Informationen zu Kennwortkonzepten finden Sie im Whitepaper „Account Passwords and Policies“ (Kennwörter und Richtlinien für Konten) auf TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009).
Konten und Gruppen in App-V 5.0
Eine bewährte Methode beim Verwalten von Benutzerkonten ist das Erstellen globaler Domänengruppen, denen die Benutzerkonten hinzugefügt werden. Dann werden die globalen Domänenkonten den erforderlichen lokalen App-V 5.0-Gruppen auf den App-V 5.0-Servern hinzugefügt.
Hinweis
App-V-Client-Computerkonten, die eine Verbindung mit dem Veröffentlichungsserver herstellen müssen, müssen Teil der lokalen Gruppe Benutzer des Veröffentlichungsservers sein. Standardmäßig sind alle Computer in der Domäne Teil der Gruppe Autorisierte Benutzer, die zur lokalen Gruppe Benutzer gehört.
Sicherheit von App-V 5.0-Servern
Während des App-V 5.0-Setups werden keine Gruppen automatisch erstellt. Sie sollten jedoch die folgenden globalen Active Directory-Domänendienste-Gruppen zum Verwalten von App-V 5.0-Servervorgängen erstellen:
| Gruppenname | Details |
|---|---|
App-V Management-Administratorgruppe |
Wird für die Verwaltung des App-V 5.0-Verwaltungsservers verwendet. Diese Gruppe wird bei der Installation des App-V 5.0-Verwaltungsservers erstellt. Wichtig Es gibt keine Möglichkeit, die Gruppe nach Abschluss der Installation mit der Verwaltungskonsole zu erstellen. |
Lese-/Schreibzugriff auf Datenbank für Verwaltungsdienstkonto |
Ermöglicht den Lese-/Schreibzugriff auf die Verwaltungsdatenbank. Dieses Konto muss während der Installation der App-V 5.0-Verwaltungsdatenbank erstellt werden. |
App-V-Verwaltungsdienst – Installieren des Administratorkontos Hinweis Dies ist nur erforderlich, wenn die Verwaltungsdatenbank vom Dienst getrennt installiert wird. |
Ermöglicht den öffentlichen Zugriff auf die Schemaversion der Tabelle in der Verwaltungsdatenbank. Dieses Konto muss während der Installation der App-V 5.0-Verwaltungsdatenbank erstellt werden. |
App-V-Berichterstellungsdienst – Installieren des Administratorkontos Hinweis Dies ist nur erforderlich, wenn die Berichtsdatenbank vom Dienst getrennt installiert wird. |
Ermöglicht den öffentlichen Zugriff auf die Schemaversion der Tabelle in der Berichtsdatenbank. Dieses Konto muss während der Installation der App-V 5.0-Berichtsdatenbank erstellt werden. |
Berücksichtigen Sie die folgenden zusätzlichen Informationen:
Zugriff auf die Paketfreigaben: Wenn Freigaben auf dem Computer mit dem Verwaltungsserver vorhanden sind, benötigt der Netzwerkdienst Lesezugriff auf die Freigabe. Darüber hinaus muss jeder App-V-Client-Computer Lesezugriff auf die Paketfreigabe besitzen.
Hinweis
In früheren Versionen von App-V wurde eine Paketfreigabe als Inhaltsfreigabe bezeichnet.
Registrierung von Veröffentlichungsservern beim Verwaltungsserver: Ein Veröffentlichungsserver muss beim Verwaltungsserver registriert werden. Er muss beispielsweise der Datenbank hinzugefügt werden, sodass die Verwaltungsdienst-API von den Computerkonten des Veröffentlichungsservers aufgerufen werden kann.
Sicherheit von App-V 5.0-Paketen
Die folgenden Informationen unterstützen Sie bei der Planung der Sicherheit von virtualisierten Paketen.
- Wenn ein Anwendungsinstallationsprogramm eine Zugriffssteuerungsliste (Access Control List, ACL) auf eine Datei oder ein Verzeichnis anwendet, wird diese ACL im Paket nicht beibehalten. Wenn bei der Bereitstellung des Pakets die Datei oder das Verzeichnis vom Benutzer geändert wird, wird die ACL im Verzeichnis %userprofile% oder die ACL des Verzeichnisses auf dem Zielcomputer übernommen. Der erste Fall tritt ein, wenn die Datei oder das Verzeichnis im virtuellen Dateisystem an keinem Ort vorhanden ist. Der zweite Fall tritt ein, wenn die Datei oder das Verzeichnis im virtuellen Dateisystem vorhanden ist, z. B. %windir%.
App-V 5.0-Protokolldateien
Beim Setup von App-V 5.0 werden Protokolldateien im Ordner %temp% des installierenden Benutzers erstellt.
-
Haben Sie einen Vorschlag für App-V?
Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit App-V das App-V-TechNet-Forum.
Siehe auch
Weitere Ressourcen
Security and Privacy for App-V 5.0
-----
Sie erfahren mehr zu MDOP in der TechNet Library, können im TechNet-Wiki nach Problemlösungen suchen oder uns auf Facebook und Twitter folgen.
-----