Übersicht über Sicherheit und Schutzmaßnahmen

  • Artikel

Letzte Aktualisierung: September 2009

Betrifft: Application Virtualization

Microsoft Application Virtualization 4.5 stellt die folgenden verstärkten Sicherheitsfunktionen bereit, um Sie bei der Planung und Implementierung einer Bereitstellungsstrategie mit verstärkter Sicherheit zu unterstützen:

  • Application Virtualization System unterstützt nun TLS (Transport Layer Security) mit X.509 V3-Zertifikaten. Unter der Voraussetzung, dass auf dem geplanten Application Virtualization Management oder Streaming Server ein Serverzertifikat installiert wurde, wird die Installation standardmäßig im sicheren Modus unter Verwendung des RTSPS-Protokolls über Port 322 durchgeführt. Mit der Verwendung von RTSPS ist gewährleistet, dass die Kommunikation zwischen Application Virtualization Server und Application Virtualization Client signiert und verschlüsselt wird. Wenn sich bei der Installation von Application Virtualization Server kein Zertifikat auf dem Server befindet, erfolgt die Kommunikation per RTSP über Port 554.

    securitySicherheit Hinweis
    Zur Unterstützung einer sicheren Installation des Servers müssen die RTSP-Ports deaktiviert sein, und zwar auch dann, wenn alle Pakete für die Verwendung von RTSPS konfiguriert wurden.

    Wenn Sie dem Server nach dessen Installation Sicherheitszertifikate hinzufügen, werden diese u. U. nicht erkannt. Starten Sie den Server deshalb im Anschluss an das Hinzufügen von Zertifikaten neu.

  • Der Client muss für die Verwendung des gleichen Protokolls und Ports wie der Server konfiguriert sein, um mit dem Server kommunizieren zu können. Der Client muss dem Herausgeber des Zertifikats darüber hinaus vertrauen und wird mit einigen primären Anbietern in seinem Speicher für vertrauenswürdige Stammzertifikate ausgeliefert. Sie können auch selbst signierte Zertifikate verwenden, müssen in dem Fall jedoch die Clients aktualisieren.

  • Beim Konfigurieren von IIS-Servern für die Verwendung des HTTPS-Protokolls für das Streaming müssen Sie SSL (Secure Sockets Layer) auf dem IIS-Server einrichten und das Zertifikat für den Server bereitstellen. Die Clients müssen ebenfalls so konfiguriert werden, dass sie der Stammzertifizierungsstelle vertrauen, die das Serverzertifikat ausgegeben hat.

  • Microsoft Application Virtualization verwendet nun die Kerberos-Authentifizierung als Standardauthentifizierungsmechanismus. Bei früheren Versionen erfolgte die Authentifizierung über NTLM V2. Die Verwendung der Kerberos-Authentifizierung erhöht die Sicherheit der Kommunikation zwischen dem Client und Application Virtualization Server. Wenn der Client eine Verbindung hergestellt hat, gleicht Application Virtualization Server das Sitzungsticket mit dem Schlüsselverteilungscenter (Key Distribution Center, KDC) ab.

  • Dank der Unterstützung für die Verwendung von Serverzertifikaten und der Protokolle RTSPS oder HTTPS werden nun auch Clients außerhalb des Unternehmensnetzwerks unterstützt. Hiermit kann es sich erübrigen, dass mobile Benutzer eine sichere Verbindung zum Unternehmensnetzwerk (über VPN, RAS usw.) herstellen müssen, bevor von Application Virtualization bereitgestellte Anwendungen gestartet werden.

Weitere wichtige Sicherheitsüberlegungen, die angestellt werden müssen, sind u. a. folgende:

  • Halten Sie Server immer auf dem neuesten Stand und geschützt.

  • Soll Application Virtualization Management Server zur Erhöhung der Kommunikationssicherheit ein Zertifikat hinzugefügt werden, müssen die folgenden Bedingungen erfüllt sein:

    • Zum Hinzufügen des Zertifikats muss der Benutzer über Administratorrechte für den Server, auf dem sich der Zertifikatspeicher befindet, verfügen.

    • Der Serverdienst muss gestartet worden sein.

    • Port 139 auf dem Management Server muss für die IP-Adresse des Web Service-Servers geöffnet sein.

  • Verwenden Sie ACLs (Zugriffssteuerungslisten), um sicherzustellen, dass Anwendungspakete und alle Paketdateien geschützt sind und nicht von Unbefugten verändert werden können. Mit ACLs wird der Zugriff auf den Speicherort oder den Ordner beschränkt, in dem die Pakete gespeichert sind, sodass der Zugriff nur mit bestimmten Konten möglich ist.

  • Stellen Sie sicher, dass der Kanal zwischen Application Virtualization Management Server und der Datenbank gesichert ist, z. B. mit IPsec.

  • Wenn Pakete auf einem SAN oder NAS gespeichert sind, stellen Sie sicher, dass die Verbindung zwischen dem zentralen Speichergerät und Application Virtualization Server geschützt ist.

  • Alle Kommunikationskanäle zum Client sollten geschützt sein, wozu auch Verbindungen zum Veröffentlichungsserver, zu Application Virtualization Server und der Pfad zu den OSD- und ICO-Dateien gehören, und zwar mithilfe von Protokollen wie HTTPS oder IPsec.

  • Die Clientberechtigungen sollten so konfiguriert sein, dass sichergestellt ist, dass Pakete von den Benutzern nicht in ungeeigneter Weise verändert werden können. Es ist besonders wichtig, dass Sie Benutzern nicht das Recht zum Hinzufügen oder Aktualisieren von Paketen auf Systemen gewähren, die von mehreren Benutzern gemeinsam genutzt werden, wie dies bei Remotedesktop-Sitzungshostservern (RD-Sitzungshosts) der Fall ist.

  • Die Kerberos-Authentifizierung muss für die ganze Domäne bzw. die Gesamtstrukturumgebung erlaubt sein, damit Server Management Console einwandfrei funktioniert.

  • Das Hosten eines Kerberos-basierten RTSP-Servers und eines IIS-Servers, der nur die NTLM-Authentifizierung erlaubt, auf demselben Computer ist mit dieser Softwareversion nicht möglich. Entfernen Sie zum Hosten des RTSP-Servers und des IIS-Servers auf demselben Computer den SPN vom IIS-Server, und verwenden Sie die NTLM-Authentifizierung.

Siehe auch

Andere Ressourcen

Planen der Bereitstellung von Application Virtualization System

-----
Sie können mehr über MDOP in der TechNet-Bibliothek erfahren, im TechNet Wiki nach Problemlösungen suchen oder uns auf Facebook oder Twitter folgen. Senden Sie Vorschläge und Kommentare zur MDOP-Dokumentation an MDOPdocs@microsoft.com.