Planen der Serversicherheit

  • Artikel

Letzte Aktualisierung: Oktober 2009

Betrifft: Application Virtualization

Um eine Umgebung optimal zu schützen, müssen Sie die Risiken für die Sicherheit der Umgebung analysieren. Die Sicherheit einer App-V-Infrastruktur gewährleisten Sie u. a., indem Sie neben den App-V-Sicherheitsfunktionen die Sicherheitsmaßnahmen und -funktionen der zugrunde liegenden Infrastruktur einsetzen. Eine Sicherung der zugrundeliegenden Infrastruktur für Dienste wie die Internetinformationsdienste (IIS), Active Directory-Domänendienste und SQL Server kann die allgemeine Sicherheit Ihres App-V-Systems verbessern.

Die Standardeinstellungen der Serverinstallation bieten den höchsten Schutz. Einigen Komponenten liegt jedoch Infrastruktur zugrunde, die nicht im Rahmen der Installation konfiguriert wird. Durch weitere Maßnahmen nach der Installation wird die Sicherheit der App-V-Infrastruktur erhöht.

Das Inhaltsverzeichnis enthält sämtliche Pakete, die an Clients gestreamt werden sollen. Diese Ressourcen müssen so sicher wie möglich sein, um Sicherheitsrisiken auszuschalten. Die folgende Liste stellt eine Hilfe dar:

  • Veröffentlichung bzw. Streaming auf UNC-Basis. Die Berechtigungen hierfür sollten die stärksten Einschränkungen der Umgebung aufweisen. Nutzen Sie NTFS-Berechtigungen für die Verwendung von Zugriffssteuerungslisten (Access Control Lists, ACLs) mit maximaler Einschränkung für das Inhaltsverzeichnis (Benutzer=Leserechte, Administratoren=Lese- und Schreibrechte).

  • Veröffentlichung bzw. Streaming mit IIS: Konfigurieren Sie IIS so, dass nur die integrierte Windows-Authentifizierung unterstützt wird. Deaktivieren Sie den anonymen Zugriff auf den IIS-Server, und schränken Sie den Zugriff auf das Verzeichnis mit NTFS-Berechtigungen ein.

  • Streaming von Anwendungspaketen mit RTSP/RTSPS – Konfigurieren Sie die App-V-Anbieterrichtlinie so, dass eine Authentifizierung angefordert wird, erzwingen Sie Zugriffsberechtigungen, und erlauben Sie nur den erforderlichen Gruppen Zugriff auf die Anbieterrichtlinie. Konfigurieren Sie die Anwendungen in der Datenbank mit den entsprechenden Berechtigungen.

Erteilen Sie so wenigen Benutzern wie nötig Administratorberechtigungen, um das Sicherheitsrisiko für die Daten im Datenspeicher gering zu halten und die Veröffentlichung schädlicher Anwendungen in der Infrastruktur auszuschließen.

Application Virtualization-Sicherheit

App-V nutzt verschiedene Methoden der Kommunikation zwischen den einzelnen Infrastrukturkomponenten. Denken Sie beim Planen Ihrer App-V-Infrastruktur daran, dass eine sichere Serverkommunikation die für das Netzwerk möglicherweise bereits bestehenden Sicherheitsrisiken reduzieren kann.

Datenspeicher

Application Virtualization Management Server und Application Virtualization Management Service kommunizieren über eine SQL-Verbindung über TCP-Port 1433 mit dem Datenspeicher. Der Management Server greift auf den Datenspeicher zurück, um Anwendungs- und Konfigurationsdaten auszulesen, und schreibt Verwendungsdaten in die Datenbank. Management Service erlaubt dem Administrator, der die App-V-Infrastruktur konfiguriert, die Kommunikation mit dem Datenspeicher. Da der Datenspeicher wichtige Informationen enthält, sind hierfür besondere Sicherheitsvorkehrungen notwendig.

Die Kommunikation zwischen App-V Management Server, Management Service und dem Datenspeicher sollte nach Möglichkeit über IPsec (Internetprotokollsicherheit ) erfolgen. Insbesondere empfiehlt sich die Erstellung von Richtlinien zum Schutz des Kommunikationskanals zwischen dem Datenspeicher (SQL) und Management Server sowie zwischen dem Datenspeicher und Management Service. Zusätzlich können Sie den Server und die Domäne mit IPsec isolieren, um zu gewährleisten, dass die Kommunikation sämtlicher App-V-Infrastrukturkomponenten ausschließlich über sichere Kanäle erfolgt. Informationen zur Verwendung von IPsec finden Sie hier:

Inhaltsverzeichnis

Bei der Installation von App-V Management Server wird ein Speicherort für das Inhaltsverzeichnis konfiguriert. Dieses Verzeichnis dient zur Speicherung virtualisierter Anwendungspakete. Es kann sich lokal auf dem Server oder auf einer Netzwerkfreigabe befinden. Aktivieren Sie IPsec für die sichere Kommunikation im Fall einer Remotespeicherung des Inhaltsverzeichnisses.

Zum Streamen von Paketen an die Clients kann auch ein virtuelles Verzeichnis auf einem IIS-Server verwendet werden. Wenn sich das virtuelle Inhaltsverzeichnis an einem Remotespeicherort befindet, aktivieren Sie IPsec für eine sichere Verbindung zwischen dem IIS-Server und dem Remotespeicherort.

Das Inhaltsverzeichnis enthält alle Pakete, die an Clients gestreamt werden sollen. Diese Ressourcen müssen so sicher wie möglich sein, um Sicherheitsrisiken auszuschalten.

Sicherheitsprotokolle

Mit RTSPS oder HTTPS wird Ihre Kommunikation sicherer. RTSPS ist das von App-V-Servern verwendete Protokoll. HTTPS wird von IIS-Servern genutzt. Diese Protokolle kommen bei der Veröffentlichung von Anwendungen auf Computern mit Application Virtualization Desktop Client zum Einsatz. Fügen Sie nach Auswahl des gewünschten Protokolls einen Veröffentlichungsserver, der das Protokoll verwendet, hinzu.

Konfigurieren von App-V Server für RTSPS

Damit App-V Management Server oder Streaming Server zur Nutzung verstärkter Sicherheitselemente (beispielsweise TLS) installiert bzw. konfiguriert werden kann, muss der App-V Server über ein X.509-Zertifikat, Version 3 verfügen. Bevor die Sicherheitseinstellungen für einen Server konfiguriert werden können, müssen mehrere Bedingungen erfüllt sein. Voraussetzungen für die Zertifikatbereitstellung und -konfiguration zur Erhöhung der Sicherheit von App-V Management Server bzw. Streaming Server:

  • Das Zertifikat muss gültig sein. Die Verbindung wird sonst vom Client abgebrochen.

  • Zertifikate müssen als erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) die Serverauthentifizierung enthalten (OID 1.3.6.1.5.5.7.3.1). Die Verbindung wird sonst vom Client abgebrochen.

  • Der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) eines Zertifikats muss dem Server, auf dem es installiert ist, entsprechen. Wird von einem Client z. B. die Aufrufanforderung RTSPS://Server.Firma.com/content/Anw.sft gesendet, obwohl das Feld Ausgegeben an des Zertifikats den Eintrag Server1.Firma.com enthält, kann die Verbindung zwischen Client und Server nicht hergestellt werden, und die Sitzung wird abgebrochen. Dies ist auch dann der Fall, wenn Server.Firma.com und Server1.Firma.com zu derselben IP-Adresse aufgelöst werden.

    Hinweis

    Falls Sie App-V in einem Cluster mit Netzwerklastenausgleich verwenden, muss das Zertifikat für die RTSPS-Unterstützung mit Subjektalternativnamen konfiguriert werden. Weitere Informationen zum Konfigurieren der Zertifizierungsstelle sowie zum Erstellen von Zertifikaten mit Subjektalternativnamen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=133228 (https://go.microsoft.com/fwlink/?LinkId=133228).

  • Der die Verbindung mit dem Server herstellende Client muss der Zertifizierungsstelle vertrauen, die das Zertifikat für den App-V-Server ausstellt. Die Verbindung wird sonst vom Client abgebrochen.

  • Ändern Sie die Berechtigungen für den privaten Zertifikatschlüssel, um den Zugriff durch den App-V-Dienst des Servers zu erlauben. Standardmäßig werden die App-V Management Server- und Streaming Server-Dienste unter dem Netzwerkdienstkonto ausgeführt. Bei der Generierung eines PKCS#10-Zertifikatsantrags auf dem Server wird automatisch ein privater Schlüssel erstellt. Nur das lokale Systemkonto und die Administratorgruppe haben Zugriff auf diesen Schlüssel. Diese Standard-ACLs hindern App-V Server an der Annahme sicherer Verbindungen.

    Hinweis

    Informationen zum Konfigurieren einer Public Key-Infrastruktur (PKI) finden Sie unter https://go.microsoft.com/fwlink/?LinkId=133229 (https://go.microsoft.com/fwlink/?LinkId=133229, möglicherweise in englischer Sprache).

Konfigurieren von IIS-Servern mit HTTPS

App-V kann je nach Infrastrukturkonfiguration mit IIS-Servern betrieben werden. Weitere Informationen zum Konfigurieren von IIS-Servern finden Sie unter https://go.microsoft.com/fwlink/?LinkId=133230 (https://go.microsoft.com/fwlink/?LinkId=133230, möglicherweise in englischer Sprache).

Hinweis

Wenn Sie die ICO- und OSD-Dateien mithilfe von IIS veröffentlichen, dann konfigurieren Sie einen MIME-Typ für OSD=TXT. Andernfalls verweigert IIS die Bedienung der Clients mit den ICO- und OSD-Dateien.

Sicherheit auf Anwendungsebene

Sie können die Server so konfigurieren, dass bestimmte Anwendungen auf den Desktop eines Benutzers gestreamt werden. Die Zugriffsberechtigungen werden jedoch für das Paket und nicht auf Anwendungsebene erteilt. Selbst wenn nicht alle Anwendungen eines Pakets auf dem Desktop des Benutzers veröffentlicht werden, kann der Benutzer auf dem Client Verknüpfungen erstellen und die Anwendungen ausführen, sofern er zum Hinzufügen von Anwendungen berechtigt ist bzw. Administratorrechte für den Clientcomputer besitzt.

Konfigurieren der App-V-Verwaltung für eine verteilte Umgebung

Wenn Sie die Infrastruktur für Ihr Unternehmen planen, können Sie den App-V Management Web Service auf einem anderen Computer als dem App-V Management Server installieren. Häufige Gründe für eine Trennung dieser App-V-Komponenten sind u. a.:

  • Leistung

  • Zuverlässigkeit

  • Verfügbarkeit

  • Skalierbarkeit

Um eine korrekt funktionierende Infrastruktur aufbauen zu können, sind bei Trennung von App-V Management Console, Management Server und Management Web Service zusätzliche Konfigurationsschritte erforderlich. Ausführliche Informationen zum Konfigurieren des Servers finden Sie unter So wird's gemacht: Konfigurieren des Servers, damit er für die Delegierung als vertrauenswürdig gilt.

Siehe auch

Andere Ressourcen

Planen der Sicherheit und von Schutzmaßnahmen

-----
Sie können mehr über MDOP in der TechNet-Bibliothek erfahren, im TechNet Wiki nach Problemlösungen suchen oder uns auf Facebook oder Twitter folgen. Senden Sie Vorschläge und Kommentare zur MDOP-Dokumentation an MDOPdocs@microsoft.com.