Planen der Sequencersicherheit

  • Artikel

Letzte Aktualisierung: Dezember 2008

Betrifft: Application Virtualization

Berücksichtigen Sie die Implementierungsrichtlinien beim Konfigurieren von Application Virtualization (App-V) möglichst von Anfang an, damit der Sequencer funktionsfähig und sicherer ist. Falls Sie den Sequencer bereits konfiguriert haben, dann helfen Ihnen die folgenden Empfehlungen, mögliche Sicherheitslücken aufzudecken.

Wichtig

Alle auf dem Computer, auf dem der Sequencer ausgeführt wird, aufgezeichneten Anwendungsinformationen werden von App-V Sequencer gesammelt und bereitgestellt. Stellen Sie sicher, dass alle Benutzer, die auf diesen Computer zugreifen, über Administratoranmeldeinformationen verfügen. Benutzer mit Anmeldeinformationen für ein Benutzerkonto dürfen keinen Zugriff haben. Nur so wird der Zugriff auf Paketinhalte und Paketdateien kontrolliert. Wenn Sie einen Computer für die Sequenzierung verwenden, auf dem Client for Remote Desktop Services (zuvor als Terminal Services bezeichnet) ausgeführt wird, müssen Sie sicherstellen, dass es sich um einen dedizierten Computer für die Sequenzierung handelt und dass Benutzer mit Anmeldeinformationen für ein Benutzerkonto während der Sequenzierung nicht mit diesem Computer verbunden sind.

Bewährte Methoden für den Sequencer

Berücksichtigen Sie bei der Implementierung und Verwendung von Application Virtualization (App-V) Sequencer die folgenden Empfehlungen:

  • Virenerkennung auf dem Computer, auf dem der Sequencer ausgeführt wird: Es ist empfehlenswert, den Computer, auf dem der Sequencer ausgeführt wird, vor der Sequenzierung auf Viren zu überprüfen. Während des Vorgangs sollte die Software zur Erkennung von Viren bzw. von Schadsoftware hingegen deaktiviert werden, weil Komponenten derselben sonst dazu führen könnten, dass die Sequenzierung länger dauert. Installieren Sie anschließend das sequenzierte Paket auf einem anderem als dem Sequencer-Computer. Wenn die Installation abgeschlossen ist, überprüfen Sie diesen Computer auf Viren. Werden Viren gefunden, sollten Sie den Hersteller der Software über die infizierten Quelldateien informieren und eine virenfreie Installationsquelle anfordern. Optional kann der Sequencer nach der Installationsphase ebenfalls überprüft werden. Enthält er Viren, sollte wie im obigen Fall der Softwarehersteller informiert werden.

    Hinweis

    Wird ein Virus in einer Anwendung gefunden, darf diese nicht auf den Zielcomputern bereitgestellt werden.

  • Erfassung von Zugriffssteuerungslisten (ACLs) für NTFS-Dateien: App-V Sequencer erfasst die Berechtigungen für die bei der Produktinstallation überwachten Dateien des NTFS-Dateisystems. Dies erlaubt die präzisere Replikation des Anwendungsverhaltens, sodass die Anwendung sich so verhält, als sei sie lokal installiert. In bestimmten Szenarios werden Daten in den Anwendungsdateien gespeichert, auf welche Benutzer eigentlich keinen Zugriff haben sollen. So werden von der Anwendung u. U. Anmeldeinformationen in einer Anwendungsdatei gespeichert. Werden für das Paket keine ACLs erzwungen, sind Benutzer theoretisch in der Lage, diese Informationen abzurufen und außerhalb der Anwendung zu nutzen.

    Hinweis

    Sequenzieren Sie keine Anwendungen, in denen Sicherheitsinformationen, wie z. B. Kennwörter, unverschlüsselt gespeichert werden.

    Während der Installationsphase haben Sie die Möglichkeit, die Standardberechtigungen der Dateien zu ändern. Nach dem Sequenzieren und vor dem Speichern des Pakets können Sie festlegen, ob bei der Anwendungsinstallation erfasste Sicherheitsbeschreibungen erzwungen werden sollen. Standardmäßig setzt App-V die während der Installation der Anwendung festgelegten Sicherheitsbeschreibungen durch. Wenn Sie die Durchsetzung der Sicherheitsbeschreibungen deaktivieren möchten, sollten Sie die Anwendung zunächst testen, um sicherstellen, dass es beim Entfernen der zugehörigen Zugriffssteuerungslisten (Access Control Lists, ACL) nicht zu unerwartetem Verhalten der Anwendung kommt.

  • Keine Erfassung von Zugriffssteuerungslisten (ACLs) für die Registrierung durch den Sequencer: Vom Sequencer werden in der Installationsphase der Sequenzierung nur die Zugriffssteuerungslisten für das NTFS-Dateisystem und nicht jene für die Registrierung erfasst. Benutzer erhalten damit vollen Zugriff auf sämtliche Registrierungsschlüssel für virtuelle Anwendungen mit Ausnahme von Diensten. Änderungen an der Registrierung einer virtuellen Anwendung durch einen Benutzer werden jedoch in einen bestimmten Speicher geschrieben (uservol_sftfs_v1.pkg), wo sie keine Auswirkungen auf andere Benutzer haben.

  • Anwendungsdienste: App-V unterstützt Anwendungsdienste, die Teil einer virtualisierten Anwendung sind. Die Verfügbarkeit von Sicherheitskontexten in einer virtuellen Umgebung ist jedoch eingeschränkt: Nur die Sicherheitskontexte "Lokales System", "Lokaler Dienst" sowie "Netzwerkdienst" werden unterstützt. Wird beim Sequenzieren ein Sicherheitskontext für einen anderen als einen der drei genannten Anwendungsdienste angegeben, kommt in einer virtuellen Umgebung der Sicherheitskontext "Lokales System" zum Einsatz. Ist der Anwendungsdienst für den lokalen oder den Netzwerkdienst konfiguriert, so wird er in der virtuellen Umgebung berücksichtigt. Die Konfiguration des Dienstkontos kann während der Sequenzierung mit den drei genannten Sicherheitskontexten geschehen.

  • Beibehaltene Sicherheitsinformationen: Wenn Sie Anwendungen sequenzieren, haben Sie die Möglichkeit, diese wie ein Benutzer zu installieren oder eine automatische Installation zu entwickeln, die überwacht wird. Sämtliche nicht ausgeschlossenen Bestandteile des Pakets werden erfasst, damit die Anwendung über alle Ressourcen verfügt, die zu ihrer Ausführung in einer virtualisierten Umgebung erforderlich sind. Bei manchen Anwendungen werden sicherheitsrelevante Informationen (Kennwörter beispielsweise) während der Installation gespeichert. Bleiben diese ungeschützt, haben andere Benutzer mit Paketzugang möglicherweise darauf Zugriff. Falls Sie bei der Installation zur Eingabe von Kennwörtern bzw. anderen sicherheitsrelevanten Informationen aufgefordert werden, dann sehen Sie in der Dokumentation nach, ob diese nach der Installation gelöscht werden. Sollte dies nicht der Fall sein, dann stellen Sie (durch Verschlüsselung) sicher, dass die Daten geschützt bleiben.

  • Sichern virtueller Anwendungspakete: Speichern Sie virtuelle Anwendungspakete grundsätzlich an einem sicheren Ort im Netzwerk, um eine Manipulation oder Beschädigung des Pakets zu verhindern.

Siehe auch

Andere Ressourcen

Planen der Sicherheit und von Schutzmaßnahmen

-----
Sie können mehr über MDOP in der TechNet-Bibliothek erfahren, im TechNet Wiki nach Problemlösungen suchen oder uns auf Facebook oder Twitter folgen. Senden Sie Vorschläge und Kommentare zur MDOP-Dokumentation an MDOPdocs@microsoft.com.