Consideraciones de seguridad para UE-V 2.x
Se aplica a: User Experience Virtualization 2.0, User Experience Virtualization 2.1
Este tema contiene una breve descripción de cuentas, grupos, archivos de registro y otros aspectos de seguridad de Virtualización de experiencia de usuario de Microsoft (UE-V) 2.0, 2.1, and 2.1 SP1. Para obtener más información, siga los vínculos que se proporcionan aquí.
Consideraciones de seguridad para la configuración de UE-V
Importante
Al crear el recurso compartido de almacenamiento de configuración, limite el acceso al recurso compartido solo a los usuarios que requieren acceso.
Debido a que los paquetes de configuración pueden contener información personal, debe procurar protegerlos lo mejor posible. En general, haga lo siguiente:
Restrinja el recurso compartido solo a los usuarios que requieren acceso. Cree un grupo de seguridad para los usuarios que tienen carpetas redirigidas en un recurso compartido determinado y limite el acceso únicamente a esos usuarios.
Cuando cree el recurso compartido, ocúltelo colocando un signo $ después de su nombre. Este elemento adicional oculta el recurso compartido de exploradores ocasionales, y el recurso no estará visible en Mis sitios de red.
Conceda a los usuarios únicamente la cantidad mínima de permisos que deban tener. Las siguientes tablas muestran los permisos requeridos.
Establezca los siguientes permisos de nivel de recurso compartido SMB para la carpeta de ubicación de almacenamiento de configuración.
Cuenta de usuario Permisos recomendados Todo el mundo
Sin permisos
Grupo de seguridad de UE-V
Control total
Establezca los permisos de sistema de archivos NTFS siguientes para la carpeta de ubicación de almacenamiento de configuración.
Cuenta de usuario Permisos recomendados Carpeta Creador/propietario
Sin permisos
Sin permisos
Administradores de dominio
Control total
Esta carpeta, subcarpetas y archivos
Grupo de seguridad de usuarios de UE-V
Mostrar lista de carpeta/leer datos, crear carpetas/anexar datos
Solo esta carpeta
Todo el mundo
Quitar todos los permisos
Sin permisos
Establezca los siguientes permisos de nivel de recurso compartido SMB para la carpeta del catálogo de plantillas de configuración.
Cuenta de usuario Permisos recomendados Todo el mundo
Sin permisos
Equipos del dominio
Niveles de permisos de lectura
Administradores
Niveles de permisos de lectura/escritura
Establezca los siguientes permisos NTFS para la carpeta del catálogo de plantillas de configuración.
Cuenta de usuario Permisos recomendados Aplicar a Creador/propietario
Control total
Esta carpeta, subcarpetas y archivos
Equipos del dominio
Mostrar el contenido de la carpeta y los permisos de lectura
Esta carpeta, subcarpetas y archivos
Todo el mundo
Sin permisos
Sin permisos
Administradores
Control total
Esta carpeta, subcarpetas y archivos
Utilizar Windows Server 2003 o posterior para hospedar recursos compartidos redirigidos
Los archivos de paquete de configuración de usuario contienen información personal que se transfiere entre el equipo cliente y el servidor que almacena los paquetes de configuración. Debido a este proceso, debe asegurarse de que los datos estén protegidos mientras se transmiten a través de la red.
Los datos de configuración de usuario son vulnerables a estas amenazas potenciales: la interceptación y la manipulación de los datos cuando atraviesan la red y la suplantación de identidad del servidor que hospeda los datos.
A partir de Windows Server 2003, varias características del sistema operativo Windows Server pueden ayudar a proteger los datos de usuario:
Kerberos: Kerberos es estándar en todas las versiones de Microsoft Windows 2000 Server y Windows Server a partir de Windows Server 2003. Kerberos garantiza el mayor nivel de seguridad para los recursos de red. NTLM autentica al cliente solamente, mientras que Kerberos autentica el servidor y el cliente. Cuando se utiliza NTLM, el cliente no sabe si el servidor es válido. Esta diferencia es especialmente importante si el cliente intercambia archivos personales con el servidor, como sucede con los perfiles de usuarios móviles. Kerberos proporciona mayor seguridad que NTLM. Kerberos no está disponible en Microsoft Windows NT Server 4.0 o en sistemas operativos anteriores.
IPsec: el protocolo de seguridad de Internet (IPsec) proporciona autenticación de nivel de red, integridad de los datos y cifrado. IPsec garantiza lo siguiente:
Que los datos pertenecientes a perfiles móviles no hayan sufrido modificaciones durante el trayecto.
Que los datos pertenecientes a perfiles móviles no fueron interceptados, vistos o copiados.
Que ningún tercero no autorizado pueda tener acceso a los datos pertenecientes a perfiles móviles.
Firma de SMB: el protocolo de autenticación del bloque de mensajes de servidor (SMB) es compatible con autenticación de mensajes, lo que previene ataques del mensaje activo y del tipo "Man in the middle". La firma de SMB proporciona esta autenticación colocando una firma digital en cada SMB. A continuación, tanto el cliente como el servidor verifican la firma digital. Para utilizar la firma de SMB, primero debe habilitarla o requerirla en el cliente SMB y el servidor SMB. Tenga en cuenta que la firma de SMB afecta el rendimiento. No consume más ancho de banda de red, pero usa más ciclos de CPU por parte del cliente y el servidor.
Use siempre el sistema de archivos NTFS para volúmenes que almacenan datos de los usuarios
Para lograr la configuración más segura, configure los servidores que hospedan los archivos de configuración de UE-V para que usen el sistema de archivos NTFS. A diferencia del sistema de archivos FAT, NTFS admite listas de control de acceso discrecional (DACL) y listas de control de acceso del sistema (SACL). Las listas DACL y SACL controlan quién puede realizar operaciones en un archivo y qué eventos desencadenan el registro de las acciones realizadas en un archivo.
No confíe en que el cifrado de EFS protegerá los archivos de usuarios cuando se transmiten a través de la red
Si usa el sistema de cifrado de archivos (EFS) para cifrar los archivos en un servidor remoto, los datos cifrados no estarán cifrados durante su trayecto a través de la red; solo estarán cifrados mientras están almacenados en disco.
El proceso de cifrado no se aplica cuando el sistema incluye el protocolo de seguridad de Internet (IPsec) o el Sistema distribuido de creación y control de versiones web (WebDAV). IPsec cifra datos mientras se transportan a través de una red TCP/IP. Si el archivo se cifra antes de copiarse o moverse a una carpeta WebDAV en un servidor, permanece cifrado durante la transmisión y mientras esté almacenado en el servidor.
Permita que UE-V Agent cree carpetas para cada usuario
Para asegurarse de que UE-V funciona de manera óptima, cree solo el recurso compartido de raíz en el servidor, y deje que UE-V Agent cree las carpetas para cada usuario. UE-V crea estas carpetas de usuario con la seguridad adecuada.
Esta configuración de permisos permite a los usuarios crear carpetas para almacenamiento de configuración. UE-V Agent crea y protege una carpeta de paquete de configuración mientras se ejecuta en el contexto del usuario. Los usuarios reciben el control total de la carpeta de paquete de configuración. Otros usuarios no heredan el acceso a esta carpeta. No es necesario crear y proteger directorios de usuario individuales. El agente que se ejecuta en el contexto del usuario lo hace automáticamente.
Nota
Se puede configurar seguridad adicional cuando se usa Windows Server para el recurso compartido de almacenamiento de configuración. UE-V se puede configurar para que compruebe que el grupo Administradores local o el usuario actual es el propietario de la carpeta donde están almacenados los paquetes de configuración. Para habilitar seguridad adicional utilice el comando siguiente:
- Agregue la clave del Registro de REG_DWORD RepositoryOwnerCheckEnabled a
HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.
- Establezca el valor de la clave del Registro en 1.
Si tiene que crear carpetas para los usuarios, asegúrese de haber establecido los permisos correctos.
Es muy recomendable que no cree carpetas previamente. En su lugar, deje UE-V Agent cree la carpeta para el usuario.
Asegúrese de establecer los permisos adecuados para almacenar la configuración de UE-V 2 en un directorio particular o personalizado
Si redirige la configuración de UE-V al directorio particular de un usuario o un directorio personalizado de Active Directory (AD), asegúrese de que los permisos del directorio estén correctamente establecidos para su organización.
¿Tiene alguna sugerencia sobre UE-V?
Agregue o vote sugerencias aquí. Para problemas de UE-V, use el foro de TechNet de UE-V.